Przejdź do treści
nis2.org.plby AYO Solutions

Centrum kompetencji NIS2/KSC

NIS2 i KSC praktycznie —od obowiązku do realnej odporności

Pomagamy organizacjom zrozumieć nowe obowiązki, właściwie określić zakres i przełożyć wymagania na działające procesy, zabezpieczenia i dowody. Bez zbędnej biurokracji, bez przypadkowych zakupów technologii i bez sprowadzania NIS2 do projektu działu IT.

Test ma charakter wstępny. Ostateczna kwalifikacja zależy od działalności, sektora, wielkości, struktury grupy i wyjątków ustawowych.

Aktualności prawne

Najważniejsze terminy w Polsce

  1. 3 kwietnia 2026

    Nowelizacja KSC weszła w życie — obowiązki już obowiązują

  2. 7 maja – 3 października 2026

    Samorejestracja w Wykazie KSC dla podmiotów niewpisywanych z urzędu

  3. do 3 kwietnia 2027

    Wdrożone wymagania (w tym SZBI) i korzystanie z S46 zgodnie z harmonogramem

  4. do 3 kwietnia 2028

    Pierwszy audyt dla nowych podmiotów kluczowych (co do zasady)

Zobacz pełny kalendarz obowiązków

Od czego zacząć?

Cztery pytania, które porządkują cały program

1. Czy organizacja podlega KSC?

Najpierw zweryfikuj sektor, rodzaj działalności, wielkość organizacji, strukturę grupy oraz przypadki szczególne. Bez poprawnej kwalifikacji nie da się ustalić obowiązków, terminów i właściwego organu.

Sprawdź kwalifikację

2. Jakie usługi i procesy są krytyczne?

BIA pokazuje, które procesy nie mogą długo czekać, jakie skutki wywoła przerwa i od czego zależy ich działanie. To punkt wyjścia do RTO, RPO, backupu, disaster recovery oraz planów awaryjnych.

Poznaj BIA

3. Jakie ryzyka trzeba ograniczyć?

Analiza ryzyka pozwala ustalić priorytety. Nie wszystkie systemy wymagają tego samego poziomu ochrony, a technologia ma odpowiadać na konkretny scenariusz zagrożenia.

Zobacz podejście do ryzyka

4. Jak udowodnić, że system działa?

Potrzebne są nie tylko polityki, lecz także zapisy: wyniki testów, przeglądy dostępów, raporty z backupu, obsłużone incydenty, decyzje zarządu, działania korygujące i mierniki skuteczności.

Zobacz dokumenty i dowody

Pozycjonowanie programu

NIS2 nie jest projektem IT

NIS2 dotyczy odporności całej organizacji. IT i cyberbezpieczeństwo dostarczają rozwiązania, ale to właściciele biznesowi określają krytyczność procesów, dopuszczalny czas przerwy, skutki utraty danych, wymagania wobec dostawców i akceptowalny poziom ryzyka. Zarząd nadaje mandat, zatwierdza budżet, nadzoruje wdrożenie i podejmuje decyzje dotyczące ryzyka rezydualnego.

Skuteczny model to program organizacyjny prowadzony przez Komitet Sterujący, koordynowany przez CIO lub wyznaczonego dyrektora programu i realizowany w strumieniach biznesowych, prawnych, operacyjnych oraz technologicznych.

Zobacz model zarządzania programem

Co naprawdę trzeba zbudować?

Pięć zdolności, które mają znaczenie podczas incydentu

ZdolnośćCo oznacza w praktyceWartość dla organizacji
Wiedzieć, co chronimyusługi, procesy, aktywa, dane, właściciele i zależnościwłaściwe priorytety i wydatki
Zapobiegaćkontrola dostępu, aktualizacje, konfiguracja, szkolenia i dostawcymniejsze prawdopodobieństwo incydentu
Wykrywaćmonitoring endpointów, tożsamości, sieci, chmury i logówkrótszy czas obecności atakującego
Reagowaćrole, playbooki, eskalacja, komunikacja i raportowanieograniczenie skutków i chaosu
OdtwarzaćBCP, DRP, kopie, obejścia i testyszybszy powrót do bezpiecznej działalności

Priorytety

Minimalny rozsądny standard bezpieczeństwa

Dla większości średnich organizacji priorytetem powinno być:

1ustalenie zakresu i właścicieli usług

2inwentaryzacja aktywów i zależności

3analiza BIA i analiza ryzyka

4wieloskładnikowe uwierzytelnianie dla kluczowych dostępów

5zarządzana ochrona stacji i serwerów, najczęściej EDR

6sprawny proces aktualizacji i podatności

7kopie odporne na atak oraz udokumentowane testy odtworzenia

8segmentacja najważniejszych środowisk

9monitoring krytycznych systemów i uzgodniona obsługa alertów

10plan reagowania na incydenty i procedura raportowania

11BCP i DRP wynikające z BIA

12ocena dostawców krytycznych

13szkolenia, ćwiczenia i przeglądy skuteczności

Zastrzeżenie: to punkt startowy, nie uniwersalna lista zgodności. Zakres musi wynikać z ryzyka i charakteru organizacji.

Nie zaczynaj od zakupu narzędzia. Zacznij od poprawnego zakresu i ryzyka.

Podczas krótkiej rozmowy zweryfikujemy sytuację organizacji, najważniejsze terminy, aktualny poziom przygotowania i sensowny pierwszy krok. Bez zobowiązania do zakupu pełnego programu.

igor.bielecki@gmail.com