Czym różni się podmiot kluczowy od podmiotu ważnego?

Podmioty kluczowe (essential): sektory Załącznika I (energia, transport, bankowość, zdrowie, infrastruktura cyfrowa, woda, administracja, przestrzeń kosmiczna) — firmy 250+ pracowników lub 50M+ EUR obrotu. Wyższe kary (10M EUR / 2%), proaktywny nadzór, audyty. Podmioty ważne (important): sektory Załącznika II (poczta, odpady, chemia, żywność, produkcja, usługi cyfrowe, badania) — firmy 50+ pracowników lub 10M+ EUR obrotu. Niższe kary (7M EUR / 1,4%), nadzór reaktywny.

Czy NIS2 dotyczy poddostawców i firm IT?

Tak. Art. 21(2)(d) NIS2 wprowadza pierwszy w UE obowiązek oceny bezpieczeństwa łańcucha dostaw. Firmy IT (MSP/MSSP) obsługujące podmioty regulowane muszą spełniać wymagania bezpieczeństwa określone przez swoich klientów — kwestionariusze, audyty, klauzule umowne. Nawet jeśli Twoja firma nie podlega bezpośrednio pod NIS2, klienci mogą wymagać od Ciebie udowodnienia zgodności, aby zachować kontrakt.

Czy NIS2 dotyczy samorządów i administracji publicznej?

Tak. Administracja publiczna jest wymieniona w Załączniku I jako sektor kluczowy. Obejmuje to organy administracji rządowej, jednostki samorządu terytorialnego oraz ich jednostki organizacyjne. Samorządy muszą wdrożyć analizę ryzyka, procedury obsługi incydentów, BCP i szkolenia — analogicznie do podmiotów komercyjnych.

Do kiedy muszę wdrożyć NIS2 w mojej firmie?

Prezydent podpisał nowelizację ustawy KSC 19 lutego 2026 r. Od wejścia w życie (~marzec 2026) masz: 6 miesięcy na rejestrację w wykazie podmiotów (wrzesień 2026), 12 miesięcy na pełne wdrożenie wymagań (marzec 2027). Moratorium na kary trwa 24 miesiące od wejścia w życie (do marca 2028), ALE nie obejmuje obowiązku rejestracji i raportowania incydentów.

Jakie kary grożą za nieprzestrzeganie NIS2?

Podmioty kluczowe: do 10 mln EUR lub 2% rocznego obrotu (wyższa kwota). Podmioty ważne: do 7 mln EUR lub 1,4% obrotu. Dodatkowo: osobista odpowiedzialność zarządu do 300% miesięcznego wynagrodzenia, kary dzienne 500-100 000 PLN za zwłokę, a w przypadku zagrożenia bezpieczeństwa państwa — do 100 mln PLN.

Czy moratorium na kary oznacza, że mogę czekać z wdrożeniem?

Nie. Moratorium dotyczy WYŁĄCZNIE administracyjnych kar pieniężnych nakładanych na organizację. Obowiązki takie jak rejestracja w wykazie podmiotów, raportowanie incydentów do CSIRT oraz osobista odpowiedzialność zarządu (do 300% wynagrodzenia) obowiązują od dnia wejścia ustawy w życie, bez żadnego okresu przejściowego. Odkładanie wdrożenia to pułapka.

Jak NIS2 wpływa na zarząd firmy?

Art. 20 NIS2 wymaga, aby zarząd: (1) zatwierdzał środki zarządzania ryzykiem, (2) nadzorował ich wdrożenie, (3) odbył szkolenie z cyberbezpieczeństwa, (4) ponosił osobistą odpowiedzialność za naruszenia. W polskiej ustawie KSC kara osobista sięga 300% miesięcznego wynagrodzenia. Możliwe jest też zawieszenie w pełnieniu funkcji. Standardowe ubezpieczenie D&O zazwyczaj NIE pokrywa kar administracyjnych NIS2.

Czy ubezpieczenie D&O chroni zarząd przed karami NIS2?

Standardowe polisy D&O (Directors & Officers) zazwyczaj NIE pokrywają kar administracyjnych wynikających z NIS2. Kary o charakterze publicznoprawnym są z reguły wyłączone z ochrony ubezpieczeniowej. Zarząd powinien: (1) przeanalizować warunki istniejącej polisy D&O z brokerem, (2) negocjować rozszerzenie ochrony o koszty obrony prawnej i reprezentacji w postępowaniach administracyjnych, (3) formalnie protokołować decyzje budżetowe dotyczące cyberbezpieczeństwa jako dowód należytej staranności.

Jak szybko muszę zgłosić incydent cyberbezpieczeństwa?

NIS2 wprowadza trzyetapowe raportowanie: (1) Wczesne ostrzeżenie — do 24 godzin od wykrycia incydentu poważnego, (2) Pełne powiadomienie — do 72 godzin ze wstępną oceną, wskaźnikami kompromitacji (IoC) i wpływem transgranicznym, (3) Raport końcowy — do 1 miesiąca z analizą przyczyn źródłowych i podjętymi działaniami naprawczymi. Zgłoszenia kierujesz do właściwego sektorowego CSIRT.

Co to jest CSIRT i do którego zgłaszam incydent?

CSIRT (Computer Security Incident Response Team) to zespół reagowania na incydenty. W Polsce działają trzy krajowe CSIRT-y: CSIRT NASK (sektor cywilny, większość firm), CSIRT GOV (administracja rządowa, infrastruktura krytyczna) i CSIRT MON (sektor wojskowy). Firmy z sektora cywilnego zgłaszają incydenty do CSIRT NASK poprzez portal incydent.cert.pl.

Ile kosztuje wdrożenie NIS2?

Zależy od wielkości firmy. Podmioty kluczowe (250+ pracowników): 400-950K PLN w pierwszym roku. Podmioty ważne (50-250 pracowników): 250-600K PLN. Z istniejącym ISO 27001: 120-250K PLN. Quick wins na start (MFA, awareness, backup): 220-375K PLN. Rok 2+: 250K-1,5M PLN rocznie (utrzymanie). Dla porównania: średni koszt naruszenia danych to $4,88M (IBM 2024), więc compliance jest wielokrotnie tańszy niż incydent.

Czy ISO 27001 wystarczy do zgodności z NIS2?

ISO 27001 pokrywa 60-70% wymagań NIS2, ale nie wszystko. Kluczowe luki to: raportowanie incydentów 24/72h do CSIRT, osobista odpowiedzialność zarządu (deklaracja), obowiązkowe szkolenie zarządu, wymóg MFA, plan komunikacji kryzysowej, wielopoziomowa ocena dostawców i ciągłe zbieranie dowodów. Z certyfikatem ISO zamknięcie luk zajmuje 4-8 miesięcy. Bez ISO: 12-18 miesięcy.

Od czego zacząć wdrożenie NIS2?

Krok 1: Samoidentyfikacja — określ czy jesteś podmiotem kluczowym czy ważnym. Krok 2: Gap analysis — porównaj obecny stan zabezpieczeń z wymaganiami Art. 21. Krok 3: Rejestracja w wykazie podmiotów (system S46) — w ciągu 6 miesięcy od wejścia ustawy. Krok 4: Dokumentacja — polityka bezpieczeństwa, procedury IR, BCP, analiza ryzyka. Krok 5: Wdrożenie techniczne — MFA, monitoring, backup 3-2-1-1-0. Krok 6: Szkolenia zarządu i pracowników.

Jak ocenić bezpieczeństwo dostawców zgodnie z NIS2?

NIS2 wymaga wielopoziomowej oceny: (1) Klasyfikacja dostawców na Tier 1 (krytyczni), Tier 2 (istotni), Tier 3 (standardowi). (2) Kwestionariusz bezpieczeństwa obejmujący: certyfikaty (ISO 27001, SOC 2), polityki cyberbezpieczeństwa, procedury IR, szyfrowanie, kontrolę dostępu, backup. (3) Klauzule umowne zobowiązujące do powiadamiania o incydentach. (4) Regularne audyty i przeglądy dla dostawców Tier 1.

Czy NIS2 wymaga uwierzytelniania wieloskładnikowego (MFA)?

Tak. Art. 21(2)(j) NIS2 wymaga stosowania 'uwierzytelniania wieloskładnikowego lub ciągłego' jako jednego ze środków zarządzania ryzykiem. W praktyce MFA powinno obejmować: dostęp administracyjny do systemów, dostęp zdalny (VPN, RDP), konta uprzywilejowane, portale webowe z danymi wrażliwymi. Microsoft Entra ID z Conditional Access jest jednym z rozwiązań spełniających ten wymóg.

Czym jest architektura Zero Trust i czy NIS2 jej wymaga?

Zero Trust ('nigdy nie ufaj, zawsze weryfikuj') to model bezpieczeństwa, w którym każdy dostęp jest weryfikowany niezależnie od lokalizacji użytkownika. NIS2 nie wymaga wprost Zero Trust, ale jej wymagania (MFA, segmentacja sieci, kontrola dostępu, monitoring) naturalnie prowadzą do tego modelu. Wdrożenie Zero Trust pokrywa jednocześnie wiele wymagań NIS2 i jest rekomendowane przez ENISA.

Ustawa KSC podpisana 19 lutego 2026

NIS2 w Polsce

Q: Czy NIS2 dotyczy mojej firmy?

NIS2 dotyczy firm z 18 sektorów, które zatrudniają 50+ pracowników LUB mają obrót powyżej 10 mln EUR rocznie. Dotyczy też mniejszych firm, jeśli są krytycznym dostawcą dla podmiotu regulowanego. Szacuje się, że w Polsce bezpośrednio podlega ok. 10 000 podmiotów, a pośrednio (przez łańcuch dostaw) nawet 42 000.

Kompletny przewodnik po dyrektywie NIS2 i nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Dowiedz się, kogo dotyczy, jakie grożą kary i jak przygotować firmę — zanim będzie za późno.

Bezpłatna konsultacja NIS2 Czy NIS2 dotyczy mojej firmy?

10 000+

podmiotów w Polsce

bezpośrednio objętych

10 mln €

maksymalna kara

lub 2% obrotu

300%

kara osobista

wynagrodzenia zarządu

24h

na zgłoszenie

incydentu do CSIRT

Nowe

Pierwsza Encyklopedia NIS2

Zawsze aktualna dzięki AI — 22 pojęcia cyberbezpieczeństwa wyjaśnione dla menedżerów i zarządów.

Bez żargonu. Z animacjami. Z kontekstem NIS2.

Otwórz NIS2 IQ — Encyklopedię

MFAEDRSIEMSOCXDRCSIRTZero TrustRansomware+14 więcej →

Podstawy

Czym jest dyrektywa NIS2?

NIS2 (Network and Information Security Directive 2) to dyrektywa Unii Europejskiej, która ustanawia jednolite wymagania cyberbezpieczeństwa dla firm i instytucji w 18 sektorach kluczowych dla gospodarki. W Polsce jest wdrażana poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), podpisaną przez Prezydenta 19 lutego 2026 roku.

Było — NIS1

—
7 sektorów objętych regulacją
—
Brak osobistej odpowiedzialności zarządu
—
Brak konkretnych terminów raportowania
—
Brak wymogów dla łańcucha dostaw
—
Brak obowiązkowych szkoleń zarządu

Jest — NIS2 / KSC 2026

18 sektorów — ponad 2× więcej
Osobista kara do 300% wynagrodzenia zarządu
Raportowanie: 24h wstępne, 72h pełne, 30 dni końcowe
Obowiązkowa ocena bezpieczeństwa dostawców
Szkolenie zarządu z cyberbezpieczeństwa wymagane

Moratorium na kary to pułapka pozornego bezpieczeństwa

Sejm odroczył możliwość nakładania administracyjnych kar pieniężnych o 24 miesiące. Wielu menedżerów interpretuje to jako “mamy 2 lata czasu”. To błąd, który może kosztować zarząd fortunę.

Co jest odroczone (24 mies.)

Kary finansowe dla organizacji (10M EUR / 2%)
Kary dzienne za zwłokę (500-100K PLN/dzień)

Co obowiązuje OD RAZU

Rejestracja w wykazie podmiotów (6 mies.)
Raportowanie incydentów do CSIRT (24h/72h)
Osobista odpowiedzialność zarządu (300%)
Szkolenie zarządu z cyberbezpieczeństwa
Samoidentyfikacja jako podmiot kluczowy/ważny

Harmonogram

Kluczowe terminy NIS2 w Polsce

Zegar tyka. Po podpisie Prezydenta 19 lutego 2026 rozpoczął się odliczanie do obowiązkowej rejestracji i pełnego wdrożenia.

19 lutego 2026

Prezydent podpisał nowelizację KSC

Ustawa implementująca NIS2 w Polsce została podpisana. Rozpoczyna się vacatio legis.

~Marzec 2026

Wejście w życie ustawy

Ustawa KSC wchodzi w życie. Od tego dnia biegną wszystkie terminy.

Wrzesień 2026 (6 mies.)

Deadline rejestracji

Każdy podmiot musi dokonać samoidentyfikacji i zarejestrować się w wykazie podmiotów kluczowych lub ważnych w systemie S46. Brak rejestracji = kara.

Marzec 2027 (12 mies.)

Pełna zgodność wymagana

Wszystkie wymagania NIS2 muszą być wdrożone: analiza ryzyka, procedury incydentów, BCP, bezpieczeństwo łańcucha dostaw, szkolenia, dokumentacja.

Marzec 2028 (24 mies.)

Koniec moratorium na kary

Od tej daty organy nadzorcze mogą nakładać pełne kary finansowe. UWAGA: moratorium NIE obejmuje obowiązku rejestracji i raportowania incydentów — te obowiązują od dnia wejścia w życie.

18 sektorów

Kogo dotyczy NIS2 w Polsce?

NIS2 obejmuje firmy z 18 sektorów, które zatrudniają 50+ pracowników lub mają obrót powyżej 10 mln EUR. Mniejsze firmy też mogą podlegać, jeśli są krytycznym dostawcą.

Energia

Elektroenergetyka, ciepłownictwo, gaz, ropa, wodór

Transport

Lotniczy, kolejowy, wodny, drogowy

Bankowość i finanse

Instytucje kredytowe, infrastruktura rynku

Ochrona zdrowia

Szpitale, laboratoria, producenci wyrobów medycznych

Telekomunikacja

Operatorzy sieci, dostawcy usług komunikacji elektronicznej

Infrastruktura cyfrowa

DNS, TLD, chmura, centra danych, CDN

Usługi ICT B2B

Dostawcy usług zarządzanych (MSP/MSSP)

Administracja publiczna

Rząd centralny, samorządy, jednostki publiczne

Przestrzeń kosmiczna

Operatorzy infrastruktury naziemnej

Usługi pocztowe

Poczta, usługi kurierskie

Gospodarka odpadami

Zbieranie, przetwarzanie, recykling

Produkcja chemiczna

Produkcja i dystrybucja chemikaliów

Produkcja

Wyroby medyczne, elektronika, maszyny, pojazdy

Dostawcy usług cyfrowych

Platformy online, wyszukiwarki, social media

Woda pitna i ścieki

Zaopatrzenie w wodę, odprowadzanie ścieków

Badania naukowe

Organizacje badawcze, uczelnie

Żywność

Produkcja, przetwórstwo, dystrybucja żywności

Sprawdź, czy NIS2 dotyczy Twojej firmy

Odpowiedz na 4 pytania i poznaj swoją klasyfikację. Bezpłatnie, bez rejestracji.

W jakim sektorze działa Twoja firma?

Krok 1 z 4 · Wg załączników nr 1 i 2 do ustawy o KSC

Samoidentyfikacja jest obowiązkowa — to Ty musisz określić, czy Twoja firma jest podmiotem kluczowym czy ważnym. 36% polskich firm nie wie, czy podlega pod NIS2 (PIT.pl, 2025). Test powyżej to punkt wyjścia — umów się na bezpłatną konsultację po formalną analizę.

Art. 21 NIS2

6 kluczowych wymagań NIS2

Art. 21 dyrektywy NIS2 definiuje środki zarządzania ryzykiem w cyberbezpieczeństwie, które każdy podmiot musi wdrożyć. Oto najważniejsze z nich.

Analiza ryzyka

Systematyczna ocena ryzyk cyberbezpieczeństwa z uwzględnieniem aktywów, zagrożeń i podatności. Matryca ryzyka 5×5 z planem postępowania.

Obsługa incydentów

Procedura wykrywania, analizy, containment i odtwarzania. Raportowanie do CSIRT: wstępne w 24h, pełne w 72h, końcowe w 30 dni.

Ciągłość działania (BCP)

Plan ciągłości z RTO/RPO dla krytycznych procesów. Backup wg zasady 3-2-1-1-0. Testy BCP minimum raz w roku.

Bezpieczeństwo łańcucha dostaw

Ocena ryzyka dostawców, klasyfikacja Tier 1/2/3, kwestionariusz bezpieczeństwa, klauzule umowne, ciągły monitoring.

Szkolenia i świadomość

Obowiązkowe szkolenie zarządu z cyberbezpieczeństwa. Program awareness dla pracowników. Regularne ćwiczenia tabletop.

Kryptografia i kontrola dostępu

MFA dla dostępu administracyjnego i zdalnego. Szyfrowanie danych w tranzycie i spoczynku. Zarządzanie tożsamością.

Sankcje

Kary za nieprzestrzeganie NIS2

NIS2 wprowadza trzypoziomowy system kar: organizacyjne, osobiste dla zarządu i dzienne za zwłokę.

Kary organizacyjne

10 mln €

lub 2% rocznego obrotu — wyższa kwota. Podmioty ważne: 7 mln € / 1,4% obrotu.

Kary osobiste zarządu

300%

miesięcznego wynagrodzenia członka zarządu. Możliwe zawieszenie w pełnieniu funkcji.

Kary dzienne

100 tys.

PLN dziennie za zwłokę. Minimalnie 500 PLN/dzień. W przypadku zagrożenia bezpieczeństwa państwa — do 100 mln PLN.

Uwaga: Standardowe ubezpieczenie D&O zazwyczaj nie pokrywa kar administracyjnych NIS2. Stosunek kosztów wdrożenia do potencjalnej kary wynosi 1:5 do 1:7. Compliance jest wielokrotnie tańszy niż sankcje.

Art. 20 NIS2

Odpowiedzialność osobista zarządu

NIS2 to pierwsza europejska dyrektywa, która przenosi odpowiedzialność za cyberbezpieczeństwo bezpośrednio na zarząd firmy. To nie jest problem “działu IT” — to kwestia nadzoru korporacyjnego.

Obowiązki zarządu wg Art. 20

Zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa
Nadzór nad wdrożeniem tych środków w organizacji
Odbycie szkolenia z cyberbezpieczeństwa (obowiązkowe!)
Osobista odpowiedzialność za naruszenia przepisów
Zapewnienie, że pracownicy przechodzą regularne szkolenia

Konsekwencje dla zarządu

Kara osobista do 300% miesięcznego wynagrodzenia
Zawieszenie w pełnieniu funkcji członka zarządu
Odpowiedzialność cywilna za szkody wynikłe z zaniedbań
Standardowe D&O zazwyczaj NIE pokrywa kar NIS2
Kary osobiste obowiązują BEZ moratorium — od dnia wejścia ustawy

Rekomendacja dla zarządu: (1) Formalnie protokołuj każdą decyzję budżetową dotyczącą cyberbezpieczeństwa — to Twój dowód należytej staranności. (2) Przeanalizuj z brokerem warunki polisy D&O — wynegocjuj pokrycie kosztów obrony prawnej. (3) Odbądź szkolenie z cyberbezpieczeństwa i udokumentuj je certyfikatem — Art. 20 NIS2 tego wymaga.

Procedura

Raportowanie incydentów — 24h / 72h / 30 dni

NIS2 wprowadza ścisłe terminy zgłaszania incydentów poważnych do właściwego CSIRT (zespołu reagowania na incydenty). Niedotrzymanie terminów samo w sobie stanowi naruszenie i podlega karze.

Wczesne ostrzeżenie

24h

Od wykrycia incydentu poważnego. Informacja o tym, że incydent wystąpił i czy jest podejrzenie naruszenia prawa.

Pełne powiadomienie

72h

Wstępna ocena incydentu, jego waga, wpływ, wskaźniki kompromitacji (IoC). Informacja o wpływie transgranicznym (jeśli dotyczy).

Raport końcowy

30 dni

Analiza przyczyn źródłowych (root cause analysis), podjęte działania naprawcze, wpływ transgraniczny, wnioski i rekomendacje.

W Polsce zgłoszenia kierujesz do: CSIRT NASK (sektor cywilny — większość firm) przez portal incydent.cert.pl, CSIRT GOV (administracja, infrastruktura krytyczna) lub CSIRT MON (sektor wojskowy). SOC SecIQ monitoruje 24/7 i przygotowuje zgłoszenia do CSIRT w ramach pakietu. Poznaj SOC SecIQ →

Art. 21(2)(d)

Łańcuch dostaw i dostawcy wysokiego ryzyka

NIS2 wymaga od podmiotów regulowanych weryfikacji cyberbezpieczeństwa w całym łańcuchu dostaw. To powoduje efekt domina — dziesiątki tysięcy mniejszych firm muszą udowodnić swoją odporność cybernetyczną, aby nie stracić kontraktów.

Tier 1 — Krytyczni

Pełny audyt bezpieczeństwa
Klauzule umowne NIS2
Kwartalny przegląd
Certyfikat ISO 27001 wymagany

Tier 2 — Istotni

Kwestionariusz bezpieczeństwa
Klauzule incydentowe
Roczny przegląd
Dowód ubezpieczenia cyber

Tier 3 — Standardowi

Samoocena ryzyka
Podstawowe klauzule
Monitoring pasywny
Ocena przy onboardingu

Dostawca Wysokiego Ryzyka (DWR): Polska nowelizacja KSC wprowadza instytucję DWR — Kolegium ds. Cyberbezpieczeństwa może uznać dostawcę sprzętu lub oprogramowania ICT za “wysokiego ryzyka”, co wymusza wymianę produktów w ciągu 4-7 lat. Przepis budzi kontrowersje — jest jednym z elementów wniosku Prezydenta do Trybunału Konstytucyjnego. Niezależnie od wyroku TK, firmy powinny mapować zależności od dostawców ICT i przygotować plany alternatywne.

Mapa drogowa

Wdrożenie NIS2 krok po kroku

Praktyczna ścieżka wdrożenia w 6 krokach — od samoidentyfikacji po pełną zgodność z wymogami ustawy KSC.

Samoidentyfikacja i klasyfikacja

Natychmiast

Określ, czy Twoja firma jest podmiotem kluczowym czy ważnym. Sprawdź sektor (PKD), liczbę pracowników (≥50) i obrót (≥10 mln EUR). Uwzględnij, czy jesteś częścią łańcucha dostaw podmiotu regulowanego.

Gap analysis — analiza luk

Miesiąc 1-2

Porównaj obecny stan zabezpieczeń z 10 wymaganiami Art. 21 NIS2. Zidentyfikuj braki w: analizie ryzyka, procedurach IR, BCP, bezpieczeństwie łańcucha dostaw, szkoleniach, MFA i kryptografii.

Rejestracja w wykazie podmiotów

Do 6 mies. od wejścia ustawy

Zarejestruj firmę w systemie S46 jako podmiot kluczowy lub ważny. Podaj dane kontaktowe SPOC (Single Point of Contact), zakresy IP, domeny i informacje o infrastrukturze.

Dokumentacja i polityki bezpieczeństwa

Miesiąc 2-4

Przygotuj wymagane dokumenty: Polityka Bezpieczeństwa Informacji, Procedura Obsługi Incydentów, Plan Ciągłości Działania (BCP/DRP), Analiza Ryzyka, Polityka Kryptograficzna, Polityka Kontroli Dostępu. SecIQ dostarcza 12+ dokumentów w ramach Smart Start.

Wdrożenie techniczne

Miesiąc 3-8

MFA dla wszystkich dostępów administracyjnych i zdalnych. SIEM/SOC do monitoringu 24/7. Backup wg zasady 3-2-1-1-0. Segmentacja sieci. Szyfrowanie danych w tranzycie i spoczynku. Zarządzanie podatnościami.

Szkolenia i ciągłe doskonalenie

Ciągle

Obowiązkowe szkolenie zarządu z cyberbezpieczeństwa (z certyfikatem). Program awareness dla pracowników. Ćwiczenia tabletop (symulacje incydentów). Regularne audyty i przeglądy — minimum raz w roku.

Potrzebujesz pomocy z wdrożeniem? SecIQ oferuje pełne wsparcie: od gap analysis, przez dokumentację Smart Start, po SOC 24/7 i szkolenia zarządu. Umów bezpłatną konsultację →

Mapowanie

NIS2 a ISO 27001 — co pokrywa, a czego nie?

ISO 27001 pokrywa 60-70% wymagań NIS2, ale kilka kluczowych obszarów wymaga dodatkowych działań.

Wymaganie NIS2	ISO 27001	Luka do zamknięcia
Analiza ryzyka		—
Procedury obsługi incydentów		Terminy 24h/72h/30d do CSIRT
Ciągłość działania (BCP/DRP)		—
Bezpieczeństwo łańcucha dostaw		Wielopoziomowa ocena Tier 1/2/3
Szkolenie zarządu		Obowiązkowe z certyfikatem
Odpowiedzialność osobista zarządu		Deklaracja + protokołowanie decyzji
MFA / uwierzytelnianie ciągłe		Wdrożenie MFA dla dostępu admin/remote
Raportowanie do CSIRT		24h/72h/30d + SPOC w S46
Rejestracja w wykazie podmiotów		System S46 — nowy obowiązek
Ciągłe zbieranie dowodów audytowych		Automatyzacja i dashboard KPI

Wniosek: Jeśli masz ISO 27001, masz solidny fundament — zamknięcie luk NIS2 zajmie 4-8 miesięcy. Bez certyfikatu ISO, pełne wdrożenie wymaga 12-18 miesięcy. W obu przypadkach kluczowe jest dodanie: raportowania do CSIRT, szkolenia zarządu, MFA i oceny łańcucha dostaw.

Nie znasz pojęć? Sprawdź NIS2 IQ

MFA, EDR, SIEM, SOC, XDR — słownik cyberbezpieczeństwa dla menedżerów. Każde pojęcie wyjaśnione przystępnie, z analogiami i kontekstem NIS2.

Otwórz NIS2 IQ — Słownik

Rozwiązanie

Jak SECIQ pomaga w zgodności z NIS2?

Łączymy dokumentację compliance z operacyjnym cyberbezpieczeństwem. Nie dostaniesz tylko papierów — dostaniesz realną ochronę.

Dokumentacja NIS2 — Smart Start

12+ wymaganych dokumentów NIS2 przygotowanych i zweryfikowanych przez ekspertów. Polityka bezpieczeństwa, procedury IR, BCP, analiza ryzyka.

SOC 24/7 — monitoring w pakiecie

Microsoft Sentinel + Defender XDR, zespół analityków L1-L3, reakcja < 15 minut. Spełniasz wymóg ciągłego monitoringu od pierwszego dnia.

Szkolenia zarządu i pracowników

Obowiązkowe szkolenie zarządu z certyfikatem. Program awareness dla zespołu. Ćwiczenia tabletop z realnymi scenariuszami ataków.

Raporty i KPI dla zarządu

Comiesięczne raporty compliance z KPI w języku biznesowym. Dowody wdrożenia gotowe na audyt.

Dlaczego SecIQ?

12+

Dokumentów NIS2

24/7

Monitoring SOC

<15min

Czas reakcji

12+

Dokumentów w pakiecie

Jedyni na rynku łączymy compliance (dokumentacja) z operacyjnym bezpieczeństwem (SOC 24/7). Inni dają Ci papier lub monitoring — my dajemy jedno i drugie.

Umów konsultację NIS2

Baza wiedzy

Pogłęb wiedzę o NIS2

Artykuły, poradniki i narzędzia, które pomogą Ci przygotować firmę do NIS2.

NIS2 w 2026 — kluczowe terminy i obowiązki

Harmonogram, wymagania i kary. Czy Twoja firma jest gotowa?

Czytaj

SOC SecIQ — monitoring 24/7

Centrum Operacji Bezpieczeństwa spełniające wymogi NIS2 od pierwszego dnia.

Poznaj SOC

Książka: NIS2 Start

Praktyczny przewodnik NIS2 dla menedżerów — z szablonami dokumentów i case studies.

Dowiedz się więcej

Wkrótce: poradniki wdrożeniowe, checklista NIS2, kalkulator kar, artykuły branżowe (szpitale, samorządy, energetyka, transport, IT/MSP). Śledź naszego bloga i wydarzenia.

Pytania i odpowiedzi

Najczęściej zadawane pytania o NIS2

Źródła

Dyrektywa NIS2 (2022/2555) — EUR-Lex
Nowelizacja ustawy o KSC — Dziennik Ustaw 2026 poz. 252
ENISA — European Union Agency for Cybersecurity
CERT Polska / CSIRT NASK
IBM Security — Cost of a Data Breach Report 2024
Gartner — Supply Chain Risk Management Survey 2024
Ponemon Institute — Third-Party Risk Management Report 2024

Nie czekaj na karę. Zacznij wdrożenie NIS2 dziś.

Umów się na bezpłatną konsultację. Sprawdzimy, czy NIS2 dotyczy Twojej firmy, ocenimy stan gotowości i zaproponujemy plan wdrożenia.

Bezpłatna konsultacja NIS2 Poznaj SOC SecIQ