Przejdź do treści
nis2.org.plby AYO Solutions

Jak wdrożyć

Jak wdrożyć NIS2/KSC — praktyczna roadmapa

Najskuteczniejszy program łączy trzy perspektywy: biznesową, organizacyjną i technologiczną. Każdy etap powinien kończyć się decyzją, właścicielem, mierzalnym rezultatem i dowodem wykonania.

Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0

Odpowiedź w 30 sekund

  • nadaj programowi mandat zarządu
  • zacznij od zakresu i audytu GAP
  • wykonaj BIA przed projektowaniem backupu i DR
  • przeprowadź analizę ryzyka przed zakupem technologii
  • buduj SZBI jako system zarządzania, nie zbiór plików
  • testuj działanie i raportuj do Komitetu Sterującego

Etap 0 — mandat, kwalifikacja i zakres

Cel: upewnić się, że organizacja wie, dlaczego prowadzi program, czego dotyczy zakres i kto podejmuje decyzje.

  • potwierdzenie kwalifikacji
  • określenie usług i jednostek objętych zakresem
  • wskazanie sponsora i powołanie Komitetu Sterującego
  • wyznaczenie CIO lub innego dyrektora programu
  • utworzenie strumieni i właścicieli
  • przyjęcie zasad raportowania i eskalacji
  • zabezpieczenie budżetu na diagnozę

Produkty: karta programu, zakres, governance, RACI, harmonogram audytu, rejestr interesariuszy. Bramka: zatwierdzenie zakresu i mandatu przez zarząd.

Etap 1 — audyt GAP

Cel: ustalić stan faktyczny, nie deklarowany. Audyt powinien łączyć przegląd dokumentów, wywiady, próbki dowodów i weryfikację techniczną. Wynik ma pokazać: wymaganie, stan obecny, istniejący dowód, lukę, ryzyko, rekomendację, właściciela, szacowany wysiłek, priorytet oraz szybkie działania ograniczające ryzyko.

Nie wystarczy zaznaczyć „polityka istnieje”. Trzeba sprawdzić, czy proces jest stosowany, czy rejestry są aktualne, a zabezpieczenia działają.

Etap 2 — BIA

Cel: ustalić priorytety biznesowe i wymagania odtworzeniowe. BIA powinna zostać przeprowadzona z właścicielami procesów. Dla każdego procesu określa się:

  • produkty lub usługi, klientów i zobowiązania
  • skutki przerwy w czasie
  • MTPD lub maksymalny tolerowany okres zakłócenia
  • minimalny akceptowalny poziom działania
  • RTO procesu i wspierających zasobów oraz RPO dla danych
  • zależności od ludzi, lokalizacji, IT, OT, dostawców, energii i komunikacji
  • możliwe obejścia manualne i kolejność odtwarzania

Bramka: zatwierdzenie procesów krytycznych, RTO i RPO przez biznes.

Etap 3 — aktywa i analiza ryzyka

  • stworzenie mapy usług i zależności
  • uporządkowanie rejestru aktywów i klasyfikacja informacji
  • identyfikacja zagrożeń i podatności
  • ocena prawdopodobieństwa oraz skutku i istniejących kontroli
  • określenie ryzyka rezydualnego i wybór sposobu postępowania
  • zatwierdzenie planu i właścicieli

Analiza nie może być anonimową tabelą przygotowaną przez konsultanta. Właściciel ryzyka musi rozumieć scenariusz i podjąć decyzję.

Etap 4 — docelowy SZBI i dokumentacja

Nie tworzyć osobnej polityki dla każdego zdania ustawy. Łączyć tematy logicznie i dopasować dokumentację do rzeczywistego modelu działania. Dla każdego procesu opisać: cel i zakres, właściciela, role, wejścia i wyjścia, kroki, częstotliwość, kryteria eskalacji, wymagane zapisy, KPI lub KRI, wyjątki oraz przegląd i doskonalenie.

Etap 5 — remediacja

  • governance: role, komitety, raportowanie, ryzyko
  • biznes: BCP, obejścia, dostawcy, wymagania dostępności
  • ludzie: szkolenia, JML, odpowiedzialność, zastępstwa
  • proces: incydenty, zmiany, podatności, dostęp, backup
  • technologia: środki wybrane na podstawie ryzyka
  • dowody: rejestry, raporty, wyniki testów i decyzje

Priorytet ustalać według połączenia: ryzyko, krytyczność procesu, obowiązek, zależności, czas wdrożenia i koszt.

Etap 6 — testy i ćwiczenia

  • odtworzenie kopii oraz realizacja RTO i RPO
  • scenariusz ransomware
  • niedostępność kluczowego dostawcy
  • utrata lokalizacji lub systemu
  • komunikacja, eskalacja i raportowanie incydentu
  • dostępy awaryjne i wykrywanie najważniejszych scenariuszy
  • działanie zastępstw personalnych

Ćwiczenie ma kończyć się raportem, listą problemów, właścicielami i terminami. Samo stwierdzenie „test zakończony sukcesem” nie jest wystarczającym dowodem.

Etap 7 — gotowość i ciągłe doskonalenie

  • audyt wewnętrzny i przegląd zarządczy
  • status działań naprawczych i akceptacja ryzyka rezydualnego
  • plan audytu zewnętrznego i cykl KPI/KRI
  • aktualizacja po zmianach, incydentach i testach
  • coroczne szkolenia i ćwiczenia
  • okresowe przeglądy dostawców oraz uprawnień

Minimalny harmonogram 12-miesięczny

OkresGłówne rezultaty
Miesiące 1–2zakres, governance, audyt GAP, szybkie działania
Miesiące 2–4BIA, mapa usług, aktywa, analiza ryzyka
Miesiące 4–6projekt SZBI, dokumenty krytyczne, plan remediacji i budżet
Miesiące 5–10wdrożenie procesów, dostawców, szkoleń i technologii
Miesiące 8–11testy backupu/DR, ćwiczenia incydentowe, pomiary
Miesiące 11–12audyt wewnętrzny, poprawki, przegląd zarządu i gotowość

Zacznij od rzetelnej diagnozy

Powiązane materiały

Źródła i podstawa opracowania

Igor Bielecki

CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA

O zespole

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.

Porozmawiajmy o Twojej sytuacji

Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.

igor.bielecki@gmail.com