1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. Cyberbezpieczeństwo
  5. Praktyka wdrożenia NIS 2 i KSC – checklisty, dobre praktyki, wyzwania
Wyszukiwanie...

Praktyka wdrożenia NIS 2 i KSC – checklisty, dobre praktyki, wyzwania

Spis treści

Nowe wymogi w obszarze cyberbezpieczeństwa dotyczą już tysięcy polskich firm – nie tylko sektora finansowego czy energetycznego, ale także produkcji, transportu, usług cyfrowych czy nawet dostawców żywności. Dyrektywa NIS 2 i nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) wymuszają na przedsiębiorcach wprowadzenie konkretnych procedur, narzędzi i szkoleń. Ten poradnik pokazuje krok po kroku, jak przygotować organizację do nowych realiów – uniknąć kar i zabezpieczyć się przed atakami cyberprzestępców.

Dlaczego ten temat jest ważny?

Niespełnienie nowych obowiązków grozi nie tylko wysokimi karami finansowymi (do 10 mln euro lub nawet 100 mln zł w określonych przypadkach!), ale też ryzykiem utraty zaufania klientów, przerwaniem działalności czy realną szkodą dla firmy. Dzięki poradnikowi dowiesz się, co realnie zrobić – od audytu po wdrożenie procedur i zgłaszanie incydentów.

Najważniejsze zmiany i nowe obowiązki – praktyczny przewodnik

Kogo dotyczą nowe regulacje?

Obowiązki NIS 2 i KSC dotyczą obecnie znacznie szerszej grupy podmiotów – nie tylko dużych korporacji, ale również średnich przedsiębiorstw i firm z sektorów uznanych za kluczowe lub ważne dla gospodarki i społeczeństwa (np. transport, ochrona zdrowia, bankowość, e-commerce, produkcja żywności i leków, zarządzanie siecią wodną, usługi cyfrowe).

Uwaga! Często nie wystarczy być „świadomym zagrożenia” – od przedsiębiorcy wymaga się udokumentowanych działań, procedur oraz okresowych audytów.

Checklista – jak krok po kroku przygotować firmę do wymogów NIS 2 i KSC?

Poniżej znajdziesz praktyczną listę działań, które powinna podjąć każda firma objęta nowymi przepisami:

1. Sprawdź, czy podlegasz ustawie

  • Czy firma działa w sektorze uznanym za kluczowy lub ważny (np. transport, energetyka, administracja, produkcja żywności)?
  • Czy zatrudniasz co najmniej 50 osób lub roczny obrót przekracza 10 mln euro?
  • Czy świadczysz usługi cyfrowe lub zarządzasz systemami informatycznymi o znaczeniu krytycznym?

2. Zarejestruj firmę w odpowiednim wykazie

  • Nowy mechanizm samoidentyfikacji wymaga, aby podmiot samodzielnie zgłosił się do wykazu podmiotów kluczowych lub ważnych.
  • Rejestracja odbywa się przez system wskazany przez organy ds. cyberbezpieczeństwa (szczegóły na stronach rządowych – aktualne procedury są w toku wdrożenia).

3. Wdrożenie systemu zarządzania bezpieczeństwem informacji (ISMS)

  • Opracuj i wdroż polityki oraz procedury cyberbezpieczeństwa (np. procedura reagowania na incydenty, polityka dostępu do systemów).
  • Powołaj osobę odpowiedzialną za cyberbezpieczeństwo (nie musi to być informatyk, ale musi mieć przeszkolenie z zakresu KSC).
  • Zorganizuj cykliczne szkolenia dla pracowników z zakresu cyberzagrożeń i dobrych praktyk.
  • Zadbaj o monitorowanie systemów oraz bieżące aktualizacje oprogramowania i zabezpieczeń.

4. Audyty bezpieczeństwa – obowiązek i praktyka

  • Przeprowadź pierwszy audyt cyberbezpieczeństwa – najlepiej z udziałem zewnętrznego specjalisty.
  • Regularnie (co 36 miesięcy w przypadku podmiotów kluczowych) odnawiaj audyty i weryfikuj wdrożone środki.
  • Sporządzaj raporty pokontrolne i wdrażaj zalecenia wynikające z audytów.

5. Zgłaszanie incydentów i współpraca z CSIRT

  • Opracuj procedurę szybkiego zgłaszania poważnych incydentów do CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) – np. poprzez system S46.
  • Prowadź wewnętrzny rejestr incydentów.
  • Przetestuj „na sucho” scenariusze działania w przypadku ataku (np. ransomware, wyciek danych, blokada systemu).

6. Zarządzanie dostawcami i łańcuchem dostaw

  • Weryfikuj dostawców usług IT, oprogramowania i sprzętu pod kątem zgodności z wymogami NIS 2 (np. czy nie są uznani za dostawców wysokiego ryzyka).
  • W umowach z dostawcami uwzględniaj obowiązki w zakresie cyberbezpieczeństwa.
  • Pamiętaj o konieczności wymiany sprzętu lub zaprzestania korzystania z usług dostawców uznanych za wysokiego ryzyka (HRV).

7. Dokumentacja i archiwizacja

  • Prowadź szczegółową dokumentację działań – polityki, raporty z audytów, listy szkoleń, zgłoszone incydenty.
  • Przygotuj się na możliwość kontroli ze strony organów nadzoru.

Przykład praktyczny 1: Wdrożenie w średniej firmie transportowej

Firma Transportowa TransLider z Krakowa, zatrudniająca 120 osób, obsługuje przewozy międzymiastowe oraz współpracuje z podmiotami publicznymi. Po wejściu w życie nowych przepisów:

  • Zarząd powołał specjalistę ds. cyberbezpieczeństwa i wdrożył nowy regulamin korzystania z systemów informatycznych (np. zakaz używania nieautoryzowanych urządzeń USB).
  • Wszyscy pracownicy przeszli szkolenie z rozpoznawania prób phishingu i bezpiecznego korzystania z internetu.
  • Firma wdrożyła system monitorowania sieci i regularnie aktualizuje oprogramowanie.
  • Po raz pierwszy przeprowadzono audyt zewnętrzny – wykryto luki w zarządzaniu hasłami, wdrożono menedżera haseł i zmieniono zasady ich przydzielania.
  • Ustalono procedurę zgłaszania poważnych incydentów do CSIRT i uruchomiono testowe zgłoszenie (symulowany incydent).
  • Wszystkie umowy z dostawcami IT zostały uzupełnione o wymogi zgodności z NIS 2.

Przykład praktyczny 2: Wyzwania dużego producenta elektroniki

ElektronikPRO z Wrocławia to zakład produkcyjny zatrudniający 500 osób, eksportujący produkty na rynki UE. Po analizie ryzyka:

  • Zdecydowano o wdrożeniu rozbudowanego systemu zarządzania bezpieczeństwem informacji (zgodnego z ISO 27001).
  • Powołano zespół ds. cyberbezpieczeństwa z szefem wyznaczonym jako osoba kontaktowa do CSIRT.
  • Wykonano zewnętrzny audyt infrastruktury IT – wykryto podatność w systemach kontroli produkcji i zainstalowano dodatkowe firewalle.
  • Zarząd przeszedł dedykowane szkolenie z odpowiedzialności karnej i finansowej.
  • Przeprowadzono testy reakcji na atak ransomware (tzw. testy penetracyjne).
  • Firma zaczęła prowadzić rejestr wszystkich incydentów i regularnie przesyła raporty do CSIRT.

Najczęstsze błędy i pułapki – na co szczególnie uważać?

  • Zaniechanie rejestracji w wykazie podmiotów kluczowych/ważnych – brak rejestracji = wysokie ryzyko kary.
  • Fikcyjne procedury – same „papierowe” regulaminy bez realnego wdrożenia nie wystarczą.
  • Brak szkoleń dla kadry zarządzającej – to właśnie zarząd ponosi osobistą odpowiedzialność za cyberbezpieczeństwo firmy!
  • Ignorowanie łańcucha dostaw – nie tylko systemy własne, ale też partnerzy, podwykonawcy i dostawcy muszą być zgodni z przepisami.
  • Zaniedbanie raportowania i dokumentacji – bez tego trudno się obronić w razie kontroli lub incydentu.

Kary i konsekwencje

  • Kara za niewykonanie obowiązków przez podmiot kluczowy – do 10 mln EUR lub 2% przychodów, minimum 20.000 zł.
  • Kara dla podmiotu ważnego – do 7 mln EUR lub 1,4% przychodów, minimum 15.000 zł.
  • Dodatkowa kara do 100 mln zł w przypadku poważnego zagrożenia bezpieczeństwa państwa, zdrowia lub mienia.
  • Osobista kara dla kierownika (członka zarządu) – do 600% miesięcznego wynagrodzenia.

Praktyczne narzędzia i dobre praktyki

  • System S46 – centralna platforma do wymiany informacji o incydentach i zagrożeniach.
  • CSIRT GOV, CSIRT MON, CSIRT NASK – trzy zespoły do kontaktu i wsparcia technicznego w razie ataku.
  • Szablony polityk i procedur – dostępne na stronach rządowych i u renomowanych doradców.
  • Szkolenia online – dedykowane dla pracowników i zarządów, często finansowane z funduszy UE.

Najważniejsze wskazówki na start

  • Nie czekaj na ostatni moment – terminy wdrożenia są krótkie, a liczba firm objętych przepisami znacznie wzrosła.
  • Zacznij od audytu i przeglądu umów z dostawcami.
  • Szkol kadrę i pracowników – co roku!
  • Wszystko dokumentuj – bez tego nawet najlepsze wdrożenia mogą zostać zakwestionowane przez organ nadzoru.

Podstawa prawna

  • art. 2, art. 5, art. 7c, art. 8i, art. 46 – ustawa z 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2024 poz. 1077)
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS 2)

Tematy porad zawartych w poradniku

  • wdrożenie NIS 2 w firmie
  • obowiązki cyberbezpieczeństwa przedsiębiorców 2025
  • audyt cyberbezpieczeństwa w przedsiębiorstwie
  • kary za nieprzestrzeganie KSC
  • checklisty cyberbezpieczeństwa dla firm
Ostatnia aktualizacja: 02.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: