NIS2 i KSC
NIS2 i ustawa KSC — kompletny przewodnik dla organizacji
NIS2 to unijne podej ście do podnoszenia cyberbezpieczeństwa sektorów ważnych dla państwa, gospodarki i obywateli. W Polsce wymagania zostały wdrożone przez znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa. Organizacje objęte przepisami muszą nie tylko posiadać dokumentację, lecz przede wszystkim zarządzać ryzykiem, zapobiegać incydentom, wykrywać je, reagować, utrzymywać ciągłość i wykazywać skuteczność przyjętych środków.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- NIS2 rozszerza liczbę sektorów i organizacji objętych obowiązkami
- polska ustawa posługuje się kategoriami podmiotu kluczowego i ważnego
- kierownik podmiotu lub zarząd odpowiada za nadzór i decyzje
- wymagane są adekwatne i proporcjonalne środki organizacyjne oraz techniczne
- podstawą programu są zakres, BIA, analiza ryzyka, SZBI, incydenty, ciągłość, dostawcy, szkolenia i testy
Czym jest NIS2?
Dyrektywa NIS2 ustanawia wspólny poziom cyberbezpieczeństwa w Unii Europejskiej. Jej celem nie jest narzucenie jednego produktu technologicznego. Celem jest zbudowanie zdolności organizacji do zarządzania ryzykiem i odpornego świadczenia ważnych usług.
W praktyce oznacza to konieczność odpowiedzi na pytania:
- jakie usługi i procesy są krytyczne
- od jakich systemów, danych, ludzi i dostawców zależą
- jakie scenariusze mogą przerwać ich działanie
- jakie zabezpieczenia ograniczają prawdopodobieństwo i skutki
- jak organizacja wykryje incydent
- kto podejmie decyzje i jak będzie komunikował
- jak szybko organizacja odtworzy działalność
- jakie dowody potwierdzą, że przyjęte środki działają
NIS2 a polska ustawa KSC
Dyrektywa wyznacza ramy europejskie, natomiast konkretne obowiązki w Polsce wynikają z aktualnej ustawy o krajowym systemie cyberbezpieczeństwa oraz aktów wykonawczych i komunikatów właściwych organów. Dlatego organizacja nie powinna opierać wdrożenia wyłącznie na zagranicznych checklistach NIS2.
Polskie elementy wymagające szczególnej uwagi to między innymi:
- wpis do Wykazu KSC
- system S46
- relacja z właściwym CSIRT i organem właściwym
- osoby wyznaczone do kontaktu
- sposób prowadzenia dokumentacji bezpieczeństwa
- terminy raportowania incydentów
- audyt podmiotów kluczowych
- odpowiedzialność kierownika podmiotu
- wymagania dotyczące personelu realizującego określone zadania
Główne obszary środków bezpieczeństwa
Organizacja powinna objąć systemem zarządzania co najmniej następujące obszary:
- polityki bezpieczeństwa i analizę ryzyka
- bezpieczne pozyskiwanie, rozwój, utrzymanie i testowanie systemów
- bezpieczeństwo fizyczne i środowiskowe
- bezpieczeństwo personelu
- łańcuch dostaw
- ciągłość działania, plany awaryjne i odtworzeniowe
- monitoring i ocenę skuteczności
- szkolenia i cyberhigienę
- kryptografię i szyfrowanie
- bezpieczną komunikację i uwierzytelnianie wieloskładnikowe tam, gdzie jest to zasadne
- zarządzanie aktywami i dostępem
- zarządzanie podatnościami, aktualizacjami i incydentami
Co zarząd powinien wiedzieć?
Co zarząd powinien wiedzieć?
Zarząd nie musi samodzielnie konfigurować zabezpieczeń ani pisać procedur. Musi jednak zapewnić, że organizacja:
- posiada właściwy zakres programu
- ma przydzielone role i budżet
- regularnie ocenia ryzyko
- wdraża adekwatne środki
- monitoruje postęp i skuteczność
- usuwa zidentyfikowane niezgodności
- podejmuje świadome decyzje o ryzyku rezydualnym
- zapewnia coroczne, udokumentowane szkolenie osób objętych wymaganiem ustawowym
- posiada mechanizm szybkiej eskalacji incydentów
Największym błędem zarządczym jest formalne przekazanie całego projektu do IT bez ustanowienia właścicieli biznesowych i mechanizmu decyzji.
Jak wygląda prawidłowe wdrożenie?
Prawidłowe wdrożenie nie zaczyna się od wyboru systemu SIEM ani zakupu dokumentacji. Zaczyna się od mandatu zarządu, kwalifikacji, zakresu, audytu stanu obecnego, BIA i analizy ryzyka. Dopiero potem można odpowiedzialnie określić priorytety, polityki, zabezpieczenia i budżet.
- kwalifikacja i zakres
- governance i plan programu
- audyt GAP
- BIA
- inwentaryzacja aktywów i zależności
- analiza ryzyka
- docelowy model SZBI i dokumentacji
- plan remediacji
- wdrożenie procesów i technologii
- testy, ćwiczenia i audyt wewnętrzny
- przegląd zarządczy
- ciągłe doskonalenie
Czego NIS2 nie oznacza
- nie oznacza obowiązku certyfikacji ISO 27001, chyba że wynika to z innego zobowiązania
- nie oznacza zakupu konkretnej marki lub klasy produktu w każdej organizacji
- nie oznacza przeniesienia pełnej odpowiedzialności na dostawcę usług IT
- nie oznacza, że polityka bezpieczeństwa bez dowodów działania wystarczy
- nie oznacza, że wszystkie systemy muszą mieć identyczny poziom zabezpieczeń
- nie oznacza, że zgodność osiąga się jednorazowo
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com