Audyt zgodności z NIS2

Czym jest NIS2?

Kogo dotyczy?

Podmioty, które osiągają określoną skalę działalności (co do zasady: średnie i duże przedsiębiorstwa — 50 pracowników lub 10 mln € obrotu/bilansu za poprzedni rok) i świadczą usługi, których zakłócenie miałoby istotny wpływ na bezpieczeństwo, zdrowie, gospodarkę lub porządek publiczny.

Łańcuch dostaw

NIS2 dotyczy również podmiotów, które dostarczają usługi lub produkty do podmiotów kluczowych bądź ważnych. Główne kryterium podlegania to znaczenie dla ciągłości krytycznych usług lub bycie częścią łańcucha dostaw.

Od kiedy obowiązuje w Polsce?

NIS2 jest zawarty w ustawie o KSC. Ustawa w podpisie Prezydenta (stan na luty 2026). Vacatio legis: 14 dni od dnia ogłoszenia w Dzienniku Ustaw. Start przepisów: przewidywany w marcu 2026.

Terminy dostosowawcze

Parlament wydłużył terminy dostosowawcze: 6 miesięcy na rejestrację, 12 miesięcy na wdrożenie oraz wprowadził 2-letnie moratorium na kary.

Podmioty kluczowe i ważne

Sektor i rola w gospodarce ważniejsze niż forma prawna. Polskie oddziały korporacji z branż regulowanych muszą być zgodne z polską ustawą uKSC/NIS2.

Podmioty kluczowe — Obszary krytyczne

Energetyka

Transport

Bankowość

Infrastruktura Rynków Finansowych

Opieka zdrowotna

Woda pitna

Ścieki

Infrastruktura Cyfrowa

Zarządzanie usługami ICT

Administracja publiczna

Przestrzeń kosmiczna

Podmioty ważne

Usługi Pocztowe i Kurierskie

Gospodarowanie Odpadami

Przemysł Chemiczny

Produkcja Żywności

Produkcja & Technologia

Usługi Cyfrowe

Badania Naukowe

Odpowiedzialność zarządu i sankcje

Obowiązki i odpowiedzialność spoczywają na kierownictwie / zarządzie jednostki — również finansowo.

Odpowiedzialność zarządu

Nadzór bezpośredni: Zarząd odpowiada za wdrożenie i skuteczność środków cyberbezpieczeństwa.

Obowiązki formalne: Zatwierdzanie polityk IT, analiza ryzyka oraz obowiązkowe szkolenia dla kadry zarządzającej.

Ryzyko osobiste: Możliwość nałożenia kar finansowych bezpośrednio na osoby zarządzające za rażące zaniedbania.

Sankcje

Kary finansowe: Do 10 mln EUR lub 2% światowego obrotu (dla podmiotów kluczowych).

Uprawnienia organów: Możliwość nakładania nakazów, zakazów oraz przeprowadzania doraźnych audytów.

Skutki biznesowe: Odpowiedzialność cywilna wobec kontrahentów oraz ryzyko utraty reputacji i kontraktów w łańcuchu dostaw.

Środki zarządzania ryzykiem

Dyrektywa NIS2 wymaga wdrożenia kompleksowych środków zarządzania ryzykiem w cyberbezpieczeństwie.

Polityka bezpieczeństwa IT i analiza ryzyka

Opracowanie i wdrożenie polityki bezpieczeństwa IT oraz metod, procedur i narzędzi oceny i zarządzania ryzykiem cybernetycznym np. zgodnie z ISO/IEC 27005.

Obsługa incydentów IT

Zestaw działań i procedur służących reagowaniu na incydenty bezpieczeństwa — od wykrycia po raportowanie i eliminację skutków. Zgłaszanie incydentów do CSIRT w ciągu 24 godzin.

Ciągłość działania i zarządzanie kryzysowe

Plan ciągłości działania biznesu (BCP) i plan odtworzenia IT po katastrofie (DRP). Codzienne kopie zapasowe, testowe odtworzenia z backupu.

Bezpieczeństwo łańcucha dostaw

Zarządzanie ryzykiem wynikającym z korzystania z usług podwykonawców i dostawców IT. Audyty bezpieczeństwa dostawców, certyfikaty (np. ISO 27001).

Bezpieczeństwo sieci i systemów IT

Bezpieczeństwo w całym cyklu życia systemów IT — przy zakupie, tworzeniu, aktualizowaniu, utrzymaniu, wycofaniu z użycia. „Security by Design”.

Ocena skuteczności środków zarządzania ryzykiem

Audyty wewnętrzne i zewnętrzne, testy penetracyjne, benchmarking wobec norm (ISO 27001, CIS Benchmark). Raportowanie do kierownictwa.

Cyberhigiena i szkolenia

Silne hasła i MFA, szkolenia z cyberbezpieczeństwa, symulacje phishingu, zasada minimalnych uprawnień (least privilege), kampanie uświadamiające.

Kryptografia i szyfrowanie

Szyfrowanie danych w spoczynku (BitLocker) i w tranzycie (TLS 1.3, VPN). Zarządzanie kluczami kryptograficznymi (KMS). Podpisy cyfrowe i PKI.

Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami

Uwierzytelnianie wieloskładnikowe (MFA), RBAC, inwentaryzacja aktywów IT, klasyfikacja danych, monitorowanie cyklu życia aktywów, DLP.

Metodyka audytu zgodności z NIS2

Nasz audyt obejmuje cztery kluczowe etapy — od planowania po dostarczenie raportu z rekomendacjami działań naprawczych.

Planowanie audytu

Ustalenie zakresu i kryteriów audytowych (NIS2 + KSC)
Identyfikacja obszarów objętych oceną
Przygotowanie planu prac

Przeprowadzenie audytu

Przegląd dokumentacji i procedur
Wywiady z kluczowymi osobami
Analiza procesów i praktyk operacyjnych
Próbkowa weryfikacja konfiguracji wybranych systemów i mechanizmów bezpieczeństwa (np. firewall, systemy IAM, backup, segmentacja sieci)
Zebranie i ocena dowodów audytowych

Analiza zgodności (Gap analysis)

Porównanie stanu obecnego z wymaganiami NIS2/KSC
Identyfikacja luk
Ocena istotności zidentyfikowanych niezgodności

Raportowanie

Raport z ustaleniami
Rekomendacje działań naprawczych
Ramowy harmonogram wdrożenia
Prezentacja wyników kierownictwu

Zapraszamy do kontaktu

Pomożemy Twojej organizacji przygotować się na wymagania NIS2.

Rozpocznij rozmowę →