Strona główna Axence
Wcag tools
Nis2 Aktualne Kompendium Wiedzy Dla It

NIS2

Aktualne kompendium wiedzy dla IT

Temat unijnej dyrektywy NIS2 powraca do debaty publicznej, ponieważ nieuchronnie zbliża się moment, w którym polskie firmy będą zobowiązane do wdrożenia jej zapisów. NIS2 pojawia się w raportach, artykułach i na konferencjach, ale jak w gąszczu informacji wyłowić to, co naprawdę istotne z perspektywy IT?

Zapraszamy Cię na webinar, który odbędzie się 26.03.2026 r. o godz. 11:00 i podczas którego eksperci wyjaśnią wszystkie aspekty nowego prawa i rozwieją wątpliwości podczas sesji Q&A. Nie może Cię z nami zabraknąć!

Zapisuję się na webinar
Image
Image

Czym jest NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to dokument, który ustanawia ogólne standardy w zakresie cyberbezpieczeństwa. Dyrektywa obejmuje instytucje i firmy, które są określone jako kluczowe z punktu widzenia funkcjonowania społeczeństwa.

 

NIS2 to aktualizacja dyrektywy NIS z 2016 roku. W Polsce jej wymogi były realizowane przez Ustawę o Krajowym Systemie Cyberbezpieczeństwa, która również jest aktualizowana. Dyrektywa została uchwalona, jako odpowiedź na zmiany w cyfrowym krajobrazie i coraz bardziej zaawansowane ataki cybernetyczne.

 

NIS2 określa nowe zasady bezpieczeństwa dla dostawców usług kluczowych. Zapisy NIS2 obejmują zarówno instytucje publiczne, jak i firmy prywatne. Przykładowe obszary działalności tych podmiotów to: energetyka, bankowość czy opieka zdrowotna.

Jakie najważniejsze zmiany wprowadza NIS2?

Dyrektywa NIS2 znacząco rozszerza zakres regulacji — obejmuje większą liczbę sektorów gospodarki oraz więcej podmiotów niż dotychczasowe przepisy.

 

Nowe regulacje nakładają na organizacje dodatkowe obowiązki w kluczowych obszarach.

Image

Polityki bezpieczeństwa

Konieczność opracowania i wdrożenia formalnych dokumentów dotyczących zarządzania ryzykiem oraz ochrony systemów informatycznych.

Image

Ciągłości działania

Przygotowanie planów zapewniających odtworzenie systemów po awarii, w tym procedur backupu i zarządzania kryzysowego.

Image

Obsługi incydentów

Wdrożenie procedur umożliwiających szybkie wykrywanie, zgłaszanie i ograniczanie skutków incydentów cyberbezpieczeństwa.

Image

Bezpieczeństwa łańcucha dostaw

Wzmocnienie kontroli nad poziomem zabezpieczeń u dostawców i partnerów zewnętrznych, szczególnie w obszarze oprogramowania i usług IT.

Weź udział w darmowym webinarze 26.03.2026 r. o godzinie 11:00 i dowiedz się więcej o NIS2

dni0
godziny0
minuty0
sekundy0

Kogo obejmuje NIS2?

Podmioty kluczowe


Nowa dyrektywa rozszerza katalog o następujące podmioty kluczowe, które zaliczają się do firm dużych (250+ pracowników lub >50 mln € obrotu) oraz podmioty o krytycznym znaczeniu (np. dostawcy DNS, administracja) niezależnie od wielkości.

Image

Energia

Wytwarzanie, przesył i dystrybucja energii elektrycznej, gazu oraz ropy naftowej.

Image

Transport

Lotniczy, kolejowy, wodny oraz drogowy.

Image

Bankowość

Banki oraz podmioty prowadzące systemy obrotu.

Image

Ochrona zdrowia

Szpitale, laboratoria, producenci wyrobów medycznych i farmaceutycznych.

Image

Woda Pitna i Ścieki

Dostarczanie wody oraz odprowadzanie i oczyszczanie ścieków.

Image

Infrastruktura Cyfrowa

Dostawcy usług chmury obliczeniowej, centrów danych, sieci łączności elektronicznej oraz usług zaufania.

Image

Administracja publiczna

Organy administracji rządowej oraz wybrane jednostki samorządu terytorialnego.

Image

Przestrzeń Kosmiczna

Operatorzy infrastruktury naziemnej wspierającej usługi kosmiczne.

Podmioty ważne


Do tej kategorii, która także jest zobowiązana do wdrożenia NIS2 wliczają się średnie przedsiębiorstwa (50+ pracowników lub >10 mln € obrotu) reprezentujące sektory:

Image

Usługi pocztowe i kurierskie

Image

Gospodarowanie odpadami

Image

Produkcja i dystrybucja chemikaliów

Image

Produkcja żywności

Szczególnie przetwórstwo i dystrybucja hurtowa.

Image

Produkcja wyrobów

Np. elektroniki, maszyn, pojazdów.

Image

Dostawcy usług cyfrowych

Internetowe platformy handlowe, wyszukiwarki i sieci społecznościowe.

Mechanizm Dostawcy Wysokiego Ryzyka (HRV)

To jeden z najbardziej kontrowersyjnych elementów wprowadzonych przez nowe prawo. Minister właściwy ds. informatyzacji będzie mógł uznać dostawcę sprzętu lub oprogramowania (np. wykorzystywanego w sieciach 5G) za dostawcę wysokiego ryzyka. Decyzja ta ma być podejmowana na podstawie kryteriów technicznych oraz pozatechnicznych, takich jak np. wpływ państwa pochodzenia dostawcy na jego działalność.

Termin wycofania sprzętu

W przypadku uznania dostawcy za HRV podmioty kluczowe i ważne będą zobowiązane do wycofania jego rozwiązań w ciągu 7 lat. Dla wybranych elementów infrastruktury krytycznej termin ten może zostać skrócony nawet do 4 lat.

Możliwość odwołania

Decyzję o uznaniu dostawcy za wysokiego ryzyka będzie można zaskarżyć do sądu administracyjnego.

Mechanizm dostawcy wysokiego ryzyka

Zgłaszanie incydentówTerminy:

Nowe przepisy wprowadzają bardzo rygorystyczne terminy raportowania poważnych incydentów:

  • Wczesne ostrzeżenie – w ciągu 24 godzin od momentu wykrycia incydentu.
  • Zgłoszenie incydentu – w ciągu 72 godzin, wraz z przekazaniem szczegółowych informacji.
  • Raport końcowy – w terminie do miesiąca od wystąpienia zdarzenia.
Image

 

Ważne terminy

W najnowszej wersji projektu złagodzono część terminów, aby dać przedsiębiorstwom więcej czasu na dostosowanie się do nowych regulacji:

1
Do 6 miesięcy

Wpis do wykazu

Termin zgłoszenia do rejestru podmiotów kluczowych i ważnych został wydłużony z 3 do 6 miesięcy.

2
Do 12 miesięcy

Wdrożenie środków bezpieczeństwa

Czas na dostosowanie systemów i wdrożenie wymaganych zabezpieczeń zwiększono z 6 do 12 miesięcy od momentu wejścia ustawy w życie.

3
+ 2 lata

Odroczenie kar

Możliwość nakładania kar pieniężnych za naruszenie części przepisów została odroczona o 2 lata od dnia obowiązywania ustawy.

 

 

 

 

Do kiedy czas na przygotowanie?

  • Ustawa wdrażająca dyrektywę NIS2 nie weszła jeszcze w życie, choć prace legislacyjne są zaawansowane.
  • Termin implementacji (17 października 2024 r.) nie został dotrzymany, wobec Polski wszczęto procedurę naruszeniową.
  • NIS2 jest wdrażana poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa.
  • 23 stycznia 2026 r. Sejm uchwalił ustawę; obecnie czeka ona na rozpatrzenie przez Senat, podpis Prezydenta i publikację w Dzienniku Ustaw.
  • Wejście w życie spodziewane jest w 2026 r.; firmy powinny już teraz przygotowywać się do nowych obowiązków.

 

Image

Jakie kary są przewidziane za niedostosowanie się do NIS2?

NIS2 zawiera także sankcje, które będą nakładane na podmioty, które nie dostosują się do dyrektywy. Mowa tu o wysokich karach finansowych, które mogą być nakładane nie tylko na organizacje, ale też na osoby zarządzające.

Image

Podmioty Kluczowe:

Maksymalna kara może wynosić 10 mln EUR lub 2% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. Minimalna kara to 20 000 zł.

Image

Podmioty Ważne:

Maksymalna kara może wynosić 7 mln EUR lub 1,4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym zastosowanie będzie mieć kwota wyższa. Minimalna kara to 15 000 zł.

Image

Osoby zarządzające:

Kara pieniężna, o której mowa w Art. 73a. ust. 1–3, może być wymierzona w kwocie nie większej niż 600% otrzymywanego przez ukaranego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop.

Image

Tymczasowy zakaz pełnienia funkcji

W przypadku poważnych naruszeń organ nadzorczy może wystąpić o nałożenie na daną osobę czasowego zakazu pełnienia funkcji kierowniczych w danym podmiocie.

Image

Publiczne ogłoszenie o naruszeniu

Możliwe będzie także opublikowanie informacji o niedopełnieniu obowiązków przez konkretną osobę, z podaniem jej imienia i nazwiska, co może wiązać się z istotnym ryzykiem wizerunkowym.

Image

Okresowe kary pieniężne:

Możliwe są w sytuacji, gdy podmiot opóźnia się z wykonaniem czynności określonych w ostrzeżeniu lub decyzji organu właściwego do spraw cyberbezpieczeństwa. Za każdy dzień opóźnienia można nałożyć karę od 500 zł do 100 000 zł.

 

Wszystko co IT powinno wiedzieć o NIS2

Zapraszamy na webinar, który odbędzie się 26 marca o godzinie 11:00

Podczas niego nasi eksperci omówią najważniejsze aspekty NIS2 i odpowiedzą na pytania uczestników w trakcie sesji Q&A. Dołącz do nas i przygotuj się na wejście NIS2 w życie jak zawodowiec!

 

 

 

Przemysław Frąk
Presales Engineer w Axence

 

 

Mirosław Gumularz
Radca prawny, Doktor nauk prawnych

 

 

 

Axence odpowiada na NIS2

Wyzwanie
Analiza ryzyka
Podstawowym krokiem do zapewnienia zgodności z NIS2 jest odpowiednio przeprowadzona analiza ryzyka. Jednym z kluczowych kroków jest określenie aktywów (assets) podstawowych i wspierających Twojej firmy.
Rozwiązanie Axence
Poznaj moduł Inventory w Axence nVision®. Pozwala on na łatwe i szybkie przeprowadzenie inwentaryzacji. Z jego pomocą, możesz klasyfikować zarówno zasoby fizyczne, takie jak sprzęt czy elementy infrastruktury sieciowej, ale również zasoby niematerialne np. zbiory informacji. Inwentaryzacja zasobów jest kluczowa w procesie analizy ryzyka. Pozwala na odpowiednie zidentyfikowanie kluczowych zasobów takich jak elementy infrastruktury IT oraz zagrożeń, które na nie wpływają. To podstawa do wdrożenia zintegrowanego systemu bezpieczeństwa informacji.
Wyzwanie
Zarządzanie incydentem
NIS2 kładzie duży nacisk na ten aspekt cyberbezpieczeństwa. Ataki cyberprzestępców czy wycieki danych zdarzają się coraz częściej. Dlatego w nowym prawie kwestię zarządzenia incydentem potraktowano priorytetowo.
Rozwiązanie Axence
Moduł HelpDesk w Axence nVision® pozwala na:
  • Rejestrację zdarzeń i incydentów
  • Szybką reakcję i rozwiązywanie problemów
  • Klasyfikację i ocenę incydentu
  • Przypisanie zadań i eskalację incydentu
  • Śledzenie postępów i raportowanie
  • Prowadzenie dokumentacji i wyciąganie wniosków na przyszłość
    • Wyzwanie
    Szkolenia z cyberbezpieczeństwa
    Cyberoszuści od dawna wiedzą, że nawet najlepsze systemy i technologie nic nie wskórają, gdy Twoim pracownikom brakuje świadomości zagrożeń. Wiedzą o tym też unijni prawodawcy. Dlatego właśnie NIS2 wprowadza obowiązek przeszkolenia pracowników w zakresie cyberbezpieczeństwa. Dyrektywa podkreśla szczególnie problemy socjotechnik oraz ataków phishingowych.
    Rozwiązanie Axence
    Axence SecureTeam® to platforma szkoleniowa, która oferuje lekcje online dla Twoich pracowników. Pozwoli ona zdobyć im niezbędną wiedzę z zakresu cyberbezpieczeństwa w wygodny dla siebie sposób. Szkolenia można wykonywać w swoim tempie i w dogodnym czasie. System monitoruje też postępy w nauce i utrwala zdobyte informacje dzięki testom wiedzy.
     

    NIS2 zawiera o wiele więcej norm i uregulowań, do których pomożemy Ci się dostosować

    Wyzwanie
    Ciągłość działania
    Np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe.
    Rozwiązanie Axence
    Moduł Network - jako jeden z elementów oprogramowania Axence nVision® zapobiega kosztownym przestojom. Wykrywa anomalie w działaniu urządzeń oraz monitoruje parametry wydajności kluczowych z nich. Dzięki nam Twoja serwerownia jest również w pełni bezpieczna, monitorujesz na bieżąco temperaturę i wilgotność w pomieszczeniu.
    Wyzwanie
    Bezpieczeństwo łańcucha dostaw
    W tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.
    Rozwiązanie Axence
    module Inventory - części oprogramowania Axence nVision® - możesz tworzyć rejestr dostawców sprzętu i oprogramowania. Poprawia to bezpieczeństwo łańcucha dostaw. Odpowiednia inwentaryzacja zasobów wraz z informacją na temat producenta danego rozwiązania ułatwia ewidencję dostawców oraz ocenę ryzyka związanego z łańcuchem dostaw.
    Wyzwanie
    Bezpieczeństwo - nabywanie
    Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie.
    Rozwiązanie Axence
    Axence nVision® pozwala na analizowanie używanych aktywów w module Inventory, co jest warunkiem wstępnym dla skutecznego zarządzania podatnościami technicznymi.
    Wyzwanie
    Polityki i procedury
    Polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania.
    Rozwiązanie Axence
    Moduł Dataguard w Axence nVision® pozwala na szyfrowanie zdalne dysków i pozostałych podłączanych nośników danych za pomocą funkcji BitLocker.
    Wyzwanie
    Bezpieczeństwo
    Bezpieczeństwo ludzi, politykę kontroli dostępu i zarządzanie aktywami.
    Rozwiązanie Axence
    Moduł Inventory w Axence nVision® pozwala na ewidencjonowanie dostępów do systemów informacyjnych oraz zarządzanie aktywami podstawowymi oraz wspierającymi.