C Conformis PrzygotowanieNIS2.pl

Analiza ryzyka NIS2 – jak wygląda w praktyce?

„Analiza ryzyka” brzmi jak coś, co robią duże korporacje z dedykowanymi zespołami security. W praktyce, dla firmy objętej NIS2, jest to ustrukturyzowany proces, który można przeprowadzić z zewnętrznym wsparciem w ciągu kilku tygodni — i który ma bardzo konkretny, użyteczny wynik.

Po co w ogóle analiza ryzyka?

NIS2 nie narzuca listy konkretnych zabezpieczeń do wdrożenia. Zamiast tego wymaga, żeby organizacja wiedziała, co chroni, przed czym i jakie środki do tego stosuje. Analiza ryzyka jest mechanizmem, który to umożliwia: pozwala świadomie priorytetyzować działania i alokować zasoby tam, gdzie ryzyko jest najwyższe — a nie tam, gdzie technologia jest najtańsza lub najłatwiejsza do wdrożenia.

Etap 1: Inwentaryzacja aktywów

Zanim można ocenić ryzyko, trzeba wiedzieć, co się chroni. Inwentaryzacja obejmuje:

  • Systemy IT — serwery, stacje robocze, usługi chmurowe, aplikacje biznesowe
  • Dane — jakie kategorie danych przetwarza organizacja, gdzie są przechowywane, kto ma do nich dostęp
  • Procesy biznesowe — które procesy są krytyczne dla działania organizacji
  • Infrastruktura sieciowa — topologia, dostępy zdalne, integracje z zewnętrznymi systemami

W wielu organizacjach ten etap przynosi zaskoczenia: systemy, o których „wszyscy zapomnieli”, stare integracje, usługi chmurowe założone przez indywidualnych pracowników. Inwentaryzacja jest wartościowa sama w sobie — niezależnie od NIS2.

Etap 2: Identyfikacja zagrożeń i podatności

Dla każdego zidentyfikowanego aktywa lub grupy aktywów określa się:

  • Zagrożenia — co może się złego wydarzyć? Ransomware, phishing, błąd pracownika, awaria dostawcy, wyciek danych przez podatność w oprogramowaniu.
  • Podatności — co sprawia, że organizacja jest narażona na dane zagrożenie? Brak MFA, nieaktualne oprogramowanie, brak segmentacji sieci, brak szkoleń.

Nie chodzi o stworzenie wyczerpującej listy wszystkich możliwych zagrożeń na świecie — lecz o zidentyfikowanie tych realnych dla profilu i kontekstu konkretnej organizacji.

Etap 3: Ocena ryzyka

Każde zidentyfikowane ryzyko ocenia się przez dwa wymiary:

  • Prawdopodobieństwo — jak realne jest, że dane zdarzenie wystąpi w kontekście tej organizacji?
  • Skutek — jakie byłyby konsekwencje: finansowe, operacyjne, reputacyjne, regulacyjne?

Iloczyn tych dwóch wymiarów daje poziom ryzyka — zwykle klasyfikowany jako niski, średni, wysoki lub krytyczny. To jest podstawa priorytetyzacji: nie wdraża się wszystkiego naraz, tylko zaczyna od tego, co jest jednocześnie prawdopodobne i poważne w skutkach.

Etap 4: Decyzja o postępowaniu z ryzykiem

Dla każdego ryzyka organizacja podejmuje jedną z czterech decyzji:

  • Redukcja — wdrożenie zabezpieczeń zmniejszających prawdopodobieństwo lub skutek
  • Akceptacja — świadoma decyzja, że ryzyko jest na akceptowalnym poziomie lub koszt redukcji jest niewspółmierny
  • Transfer — np. ubezpieczenie cyber lub przeniesienie odpowiedzialności umownie na dostawcę
  • Unikanie — rezygnacja z działalności lub technologii, która generuje ryzyko

Kluczowe: akceptacja ryzyka jest jak najbardziej uprawniona — ale musi być świadoma i udokumentowana. Brak decyzji nie jest akceptacją; jest brakiem zarządzania ryzykiem.

Co jest wynikiem analizy ryzyka?

Dwa dokumenty:

Rejestr ryzyk — zestawienie wszystkich zidentyfikowanych ryzyk z ich oceną, decyzją o postępowaniu i statusem.

Plan postępowania z ryzykiem — lista konkretnych działań do wykonania, z terminami i osobami odpowiedzialnymi. To dokument roboczy, nie archiwalny.

Ile to trwa i co jest potrzebne?

Dla organizacji zatrudniającej 50–200 osób, bez wcześniejszej dokumentacji bezpieczeństwa, pełna analiza ryzyka zajmuje zazwyczaj 3–5 tygodni przy zaangażowaniu zewnętrznego analityka. Kluczowe zasoby po stronie organizacji to: czas kilku kluczowych osób (zarząd, IT, operacje) na wywiady i weryfikację wyników oraz dostęp do inwentarza systemów i umów z dostawcami.

Analiza ryzyka nie jest projektem jednorazowym. NIS2 wymaga jej regularnej aktualizacji — co najmniej raz w roku oraz po istotnych zmianach środowiska.

Analiza ryzyka jako narzędzie zarządzania

Organizacje, które przeszły przez ten proces, często wskazują, że największą wartością nie był sam dokument, lecz rozmowa: o tym, co jest ważne dla organizacji, gdzie są realne słabe punkty i co zrobić w pierwszej kolejności. Analiza ryzyka, przeprowadzona dobrze, jest narzędziem podejmowania decyzji — nie tylko spełnianiem wymagania regulacyjnego.

Materiał ma charakter informacyjny i doradczy. Nie jest poradą prawną ani audytem certyfikacyjnym. Metodyki analizy ryzyka (ISO 27005, OCTAVE, NIST SP 800-30) różnią się szczegółami — wybór metodyki powinien być dostosowany do organizacji.

NIS2 a wymagania klientów i dostawców

Jednym z ważniejszych, a często niedocenianych elementów NIS2 jest wymaganie zarządzania ryzykiem łańcucha dostaw. Podmioty objęte dyrektywą muszą oceniać i zarządzać ryzykiem stwarzanym przez swoich dostawców — co w praktyce oznacza, że wymagania cyberbezpieczeństwa przepływają w dół przez całą sieć dostawczą.

Mechanizm przepływu wymagań

NIS2 nakłada na podmioty kluczowe i ważne obowiązek uwzględnienia bezpieczeństwa łańcucha dostaw w swojej analizie ryzyka. Aby to zrealizować, organizacje te muszą:

  • zinwentaryzować kluczowych dostawców usług IT i ICT
  • ocenić ich poziom bezpieczeństwa
  • uwzględnić ryzyko dostawcze w swoim zarządzaniu ryzykiem
  • zawrzeć odpowiednie klauzule bezpieczeństwa w umowach

To ostatnie jest kluczowym mechanizmem przepływu: firma objęta NIS2 zaczyna wymagać od swoich dostawców spełnienia określonych standardów bezpieczeństwa — i robi to przez umowę, nie przez przepis. Dostawca, który chce utrzymać kontrakt, musi się dostosować.

Jakie wymagania mogą płynąć z umów?

Forma i treść są zróżnicowane, ale najczęściej pojawiają się:

  • Kwestionariusze bezpieczeństwa — odbiorca prosi o wypełnienie ankiety dotyczącej polityk, procedur i kontroli technicznych
  • Wymagania dotyczące certyfikacji — ISO 27001, SOC 2, TISAX (automotive), IEC 62443 (OT) — zależnie od branży
  • Klauzule umowne — prawo do audytu, obowiązek zgłaszania incydentów, wymagania dotyczące szyfrowania i kontroli dostępu
  • Prawo do odstąpienia od umowy — w przypadku incydentu bezpieczeństwa lub stwierdzenia braku zgodności

Kto jest szczególnie narażony?

Ryzyko dotyczy przede wszystkim firm, które:

  • świadczą usługi IT lub zarządzane usługi bezpieczeństwa (MSP, MSSP)
  • dostarczają oprogramowanie używane przez podmioty kluczowe lub ważne
  • mają zdalny dostęp do infrastruktury klienta
  • przetwarzają dane klientów objętych NIS2
  • są dostawcami komponentów dla sektorów kluczowych (energetyka, automotive, ochrona zdrowia)

Dla tych firm pytanie „czy NIS2 nas dotyczy?” ma mniejsze znaczenie niż pytanie „czy nasi klienci zaczną wymagać zgodności?”. Odpowiedź w wielu przypadkach brzmi: już zaczynają.

Dostawca usług IT — najwyższe ryzyko

Firmy IT i MSP są w szczególnej sytuacji: mają zdalny dostęp do systemów klientów, często do wielu jednocześnie. Z perspektywy klienta objętego NIS2, taki dostawca jest punktem ryzyka o potencjalnie szerokim promieniu rażenia. Kilka głośnych ataków ransomware wykorzystało właśnie podatności w narzędziach do zdalnego zarządzania używanych przez MSP.

Dlatego klienci z sektorów objętych NIS2 coraz częściej wymagają od dostawców IT wykazania: własnej polityki bezpieczeństwa, zarządzania dostępem uprzywilejowanym, szyfrowania danych, procedur reagowania na incydenty i często — możliwości audytu lub certyfikacji.

Jak się przygotować jako dostawca?

Niezależnie od tego, czy firma formalnie podlega NIS2, przygotowanie ma sens jako inwestycja w utrzymanie i pozyskiwanie klientów z regulowanych sektorów. Praktyczny punkt startu:

Zrób przegląd kontraktów. Czy istniejące umowy zawierają już klauzule bezpieczeństwa? Jakie są wymagania? To określa, z czym możesz się spotkać na odnowieniu lub nowym przetargu.

Przygotuj „security baseline”. Zestaw podstawowych polityk i procedur, który możesz przedstawić klientowi: polityka bezpieczeństwa, zarządzanie dostępem, procedura incydentów, zarządzanie podatnościami. Nie musi to być od razu ISO 27001 — ale musi być realne.

Bądź gotowy na kwestionariusz. Wiele dużych organizacji stosuje standardowe kwestionariusze (np. CAIQ od CSA dla usług chmurowych, lub własne formularze). Odpowiedź „nie mamy polityki bezpieczeństwa” jest dyskwalifikująca w przetargu.

NIS2 jako argument handlowy

Firmy, które przygotują się wcześniej, zyskują przewagę: mogą powiedzieć potencjalnemu klientowi z sektora regulowanego, że są gotowe spełnić jego wymagania — i udowodnić to dokumentacją. To konkretny wyróżnik, szczególnie w segmencie B2B, gdzie decyzje zakupowe coraz częściej mają komponent oceny ryzyka cyberbezpieczeństwa dostawcy.

Materiał ma charakter informacyjny i doradczy. Nie jest poradą prawną ani audytem certyfikacyjnym. Konkretne wymagania kontraktowe zależą od klienta, sektora i jurysdykcji — skonsultuj się z radcą prawnym.

NIS2 dla firm produkcyjnych

Kiedy NIS2 trafiło do mediów, większość uwagi skupiała się na sektorach oczywistych: energetyce, telekomunikacji, bankowości. Firmy produkcyjne zareagowały spokojniej — i często błędnie. Dyrektywa wprost wymienia produkcję jako sektor objęty wymaganiami, a skala i profil typowego zakładu przemysłowego stawiają go w obliczu wyzwań, których nie mają firmy czysto usługowe.

Kto z sektora produkcyjnego podlega NIS2?

Dyrektywa obejmuje produkcję w kilku kategoriach. Jako podmioty ważne wymienione są m.in.:

  • producenci wyrobów medycznych i diagnostycznych
  • producenci komputerów, elektroniki i optyki
  • producenci urządzeń elektrycznych
  • producenci maszyn i urządzeń ogólnego przeznaczenia
  • producenci pojazdów samochodowych i przyczep
  • pozostałe przetwórstwo przemysłowe

Do tego dochodzi próg wielkości: co najmniej 50 pracowników lub 10 mln EUR przychodu. Duży zakład przemysłowy spełnia go niemal zawsze. Mniejszy podwykonawca — często też, jeśli jest częścią grupy kapitałowej.

Specyfika środowiska OT — dlaczego to trudniejsze niż w biurze?

W typowej firmie IT bezpieczeństwo oznacza głównie serwery, laptopy i chmurę. W zakładzie produkcyjnym dochodzi środowisko OT (Operational Technology): sterowniki PLC, systemy SCADA, sieci przemysłowe, maszyny z firmware sprzed dekady i protokoły, które nie były projektowane z myślą o bezpieczeństwie.

Kilka kluczowych różnic:

  • Dostępność ponad bezpieczeństwo — linia produkcyjna nie może sobie pozwolić na restart „dla aktualizacji”. Klasyczne patch management nie działa tak samo jak w IT.
  • Długi cykl życia urządzeń — maszyny działają 15–20 lat. Ich oprogramowanie często nie jest już wspierane przez producenta.
  • Brak separacji sieci — w wielu zakładach sieć biurowa i sieć produkcyjna są połączone, czasem bez świadomości zespołu IT.
  • Zdalny dostęp dostawców — serwis maszyn często odbywa się zdalnie przez VPN lub nawet przez bezpośrednie połączenia modemowe, które nie są inwentaryzowane.

Co NIS2 konkretnie wymaga od producenta?

Wymagania są te same co dla innych podmiotów ważnych, ale ich realizacja w środowisku przemysłowym wymaga uwzględnienia specyfiki OT:

Analiza ryzyka musi obejmować nie tylko systemy IT, ale również środowisko OT — sterowniki, systemy SCADA, sieci przemysłowe. Inwentarz aktywów w zakładzie produkcyjnym to często projekt sam w sobie.

Segmentacja sieci — NIS2 nie nakazuje konkretnej architektury, ale wymaga zarządzania ryzykiem. Brak separacji między siecią biurową a produkcyjną to ryzyko, które musi być albo zredukowane, albo świadomie zaakceptowane.

Zarządzanie dostępem zdalnym dostawców — każdy zdalny dostęp serwisowy powinien być inwentaryzowany, kontrolowany (najlepiej przez VPN z MFA) i logowany.

Reagowanie na incydenty — procedury muszą uwzględniać scenariusze specyficzne dla produkcji: co robimy, gdy atak dotknął linię produkcyjną? Kto decyduje o zatrzymaniu produkcji?

Ryzyko zatrzymania produkcji — wymiar finansowy

Dla firmy produkcyjnej incydent cyberbezpieczeństwa to nie tylko wyciek danych. To potencjalne zatrzymanie linii produkcyjnej, opóźnienia w dostawach, kary umowne dla odbiorców i koszty odtworzenia. Branżowe szacunki mówią o dziesiątkach tysięcy euro za każdą godzinę przestoju w typowym zakładzie. To sprawia, że inwestycja w zgodność z NIS2 ma konkretny biznesowy rachunek — nie tylko regulacyjny.

Wymagania od dostawców i odbiorców

Nawet jeśli firma produkcyjna nie spełnia progów NIS2, może być objęta wymaganiami pośrednio. Duzi odbiorcy — szczególnie z sektorów kluczowych (energetyka, automotive Tier 1, ochrona zdrowia) — coraz częściej wymagają od dostawców wykazania podstawowego poziomu cyberbezpieczeństwa. Może to mieć formę ankiety, wymagań kontraktowych lub standardów takich jak IEC 62443 czy TISAX.

Od czego zacząć?

Dla zakładu produkcyjnego rekomendowany punkt startowy to nie dokumentacja, lecz inwentaryzacja. Zanim powstanie analiza ryzyka, trzeba wiedzieć, co w zakładzie jest — jakie systemy, jakie połączenia sieciowe, jakie dostępy zdalne. Bez tego każdy dokument będzie fikcją.

Dopiero na bazie aktualnego obrazu środowiska można sensownie ocenić ryzyko, zidentyfikować priorytety i zaplanować działania — zarówno organizacyjne, jak i techniczne.

Materiał ma charakter informacyjny i doradczy. Nie jest poradą prawną ani audytem certyfikacyjnym. Wymagania mogą się różnić w zależności od sektora, kategorii podmiotu i interpretacji przepisów — skonsultuj się z radcą prawnym lub specjalistą ds. zgodności.

Jakie dokumenty są wymagane przez NIS2?

Jednym z pierwszych pytań, gdy organizacja stwierdzi, że NIS2 ją dotyczy, jest: „co konkretnie musimy przygotować?”. Dyrektywa i ustawa o KSC nie narzucają jednej listy plików do wyprodukowania — wymagają wdrożenia systemu zarządzania bezpieczeństwem. Ale w praktyce ten system opiera się na dokumentach. Poniżej zestawienie, co powinno powstać i dlaczego.

Polityka bezpieczeństwa informacji

To dokument fundacyjny — opisuje, dlaczego organizacja zarządza bezpieczeństwem, jakie są cele, zakres i zasady ogólne. Nie musi być długi. Ważne, żeby był zatwierdzony przez kierownictwo i realnie odzwierciedlał to, co organizacja robi. Dokument czysto formalny, niespójny z praktyką, nie spełnia wymagań.

Analiza ryzyka

NIS2 wymaga systematycznej identyfikacji i oceny ryzyk dla sieci i systemów informatycznych. Analiza powinna obejmować: inwentarz aktywów (systemy, dane, infrastruktura), zidentyfikowane zagrożenia i podatności, ocenę prawdopodobieństwa i skutków oraz decyzje dotyczące postępowania z ryzykiem.

Analiza ryzyka nie jest jednorazowym dokumentem — powinna być aktualizowana co najmniej raz w roku oraz po istotnych zmianach w środowisku IT lub organizacji.

Plan postępowania z ryzykiem

Uzupełnienie analizy: konkretne działania, terminy i osoby odpowiedzialne za redukcję ryzyk. Plan powinien być realny — jeśli zawiera 40 punktów bez priorytetów i właścicieli, jest dokumentem dla audytora, nie narzędziem zarządzania.

Procedury reagowania na incydenty

Organizacja musi mieć udokumentowany sposób wykrywania incydentów, ich klasyfikacji oraz eskalacji. Kluczowe elementy:

  • definicja incydentu i jego poziomów (poważny, istotny, krytyczny)
  • ścieżka eskalacji — kto jest powiadamiany i kiedy
  • obowiązek zgłoszenia do CSIRT — w ciągu 24 godzin wstępne powiadomienie, w ciągu 72 godzin raport
  • dokumentacja po incydencie (post-mortem / lessons learned)

Termin 24/72 godzin na zgłoszenie incydentu do właściwego CSIRT (w Polsce: CSIRT NASK, CSIRT GOV lub CSIRT MON zależnie od sektora) to jeden z twardszych wymogów operacyjnych NIS2.

Polityki zarządzania dostępem

Dokumentacja określająca, kto ma dostęp do jakich systemów, na jakiej podstawie i jak dostęp jest przyznawany, modyfikowany i odbierany. Obejmuje to m.in. zasadę least privilege, zarządzanie kontami uprzywilejowanymi (administratorzy, konta serwisowe) oraz procedurę offboardingu pracowników.

Polityka kopii zapasowych i ciągłości działania

Wymagania NIS2 obejmują zarządzanie ciągłością działania, co w praktyce oznacza: udokumentowaną strategię backupu (co, jak często, gdzie przechowywane, jak długo), zdefiniowane cele RTO (Recovery Time Objective) i RPO (Recovery Point Objective) dla krytycznych systemów oraz plan odtworzenia działania po poważnym incydencie.

Dokumentacja bezpieczeństwa łańcucha dostaw

NIS2 wprost wymaga zarządzania ryzykiem dostawców. W praktyce oznacza to:

  • rejestr kluczowych dostawców usług IT i ICT
  • ocenę ich poziomu bezpieczeństwa (np. przez kwestionariusz lub wymagania umowne)
  • klauzule bezpieczeństwa w umowach z dostawcami

Nie trzeba audytować każdego dostawcy — ale organizacja powinna umieć wykazać, że ryzyko dostawcze jest świadomie zarządzane.

Ewidencja szkoleń i świadomości

NIS2 wymaga, aby pracownicy byli świadomi zagrożeń i zasad cyberhigieny. Wystarczy udokumentować: co i kiedy było realizowane, kto uczestniczył. Może to być e-learning, spotkanie z zespołem, newsletter — ważna jest regularność i możliwość potwierdzenia.

Rejestr incydentów

Każdy istotny incydent powinien być odnotowany: data, opis, klasyfikacja, podjęte działania, wynik. Rejestr jest podstawą raportowania do CSIRT i dowodem systematyczności dla ewentualnego audytu nadzorczego.

Ile czasu zajmuje przygotowanie tych dokumentów?

Dla małej lub średniej organizacji, która zaczyna od zera, realny czas to 6–10 tygodni przy zaangażowaniu wewnętrznym i wsparciu zewnętrznym. Dłużej, jeśli organizacja nie ma zinwentaryzowanych systemów i danych — bo wtedy analiza ryzyka poprzedzona jest żmudną pracą odkrywczą.

Warto zacząć od diagnozy: co już istnieje (często jest więcej, niż się wydaje), czego brakuje i co wymaga tylko aktualizacji. To skraca drogę i pozwala skupić wysiłek tam, gdzie naprawdę jest luka.

Materiał ma charakter informacyjny i doradczy. Nie jest poradą prawną ani audytem certyfikacyjnym. Konkretne wymagania dokumentacyjne mogą zależeć od sektora i kategorii podmiotu — skonsultuj się z radcą prawnym lub specjalistą ds. zgodności.

Czy moja firma podlega NIS2? Praktyczny przewodnik

Dyrektywa NIS2 (Network and Information Security) i jej polska implementacja w ustawie o Krajowym Systemie Cyberbezpieczeństwa nakładają nowe obowiązki na organizacje z określonych sektorów. Pytanie „czy nas to dotyczy?” jest jednym z pierwszych, jakie zadają firmy, gdy temat pojawia się u klientów, partnerów lub w mediach.

Odpowiedź nie zawsze jest oczywista. Ale można ją systematycznie ustalić.

Dwa rodzaje podmiotów objętych NIS2

NIS2 rozróżnia dwie kategorie:

Podmioty kluczowe to organizacje z sektorów o największym znaczeniu dla gospodarki i bezpieczeństwa: energia, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT oraz administracja publiczna.

Podmioty ważne to szersza kategoria obejmująca m.in. usługi pocztowe i kurierskie, zarządzanie odpadami, produkcję (żywność, chemikalia, wyroby medyczne, elektronikę, maszyny), dostawców usług cyfrowych oraz sieci wodociągowe.

Podmioty kluczowe podlegają surowszemu nadzorowi i wyższym karom — ale obowiązki dotyczące zarządzania ryzykiem i incydentami są zbliżone dla obu grup.

Próg wielkości: 50 pracowników lub 10 mln EUR

Sama przynależność do sektora to za mało. Co do zasady obowiązek dotyczy organizacji, które zatrudniają co najmniej 50 osób lub osiągają przychód (albo sumę bilansową) przekraczający 10 mln EUR. Firmy poniżej tych progów zazwyczaj nie podlegają obowiązkom bezpośrednio.

Ważna uwaga: progi liczone są dla całej grupy kapitałowej. Jeśli firma jest częścią większej struktury korporacyjnej, decyduje łączna liczba pracowników i przychód całej grupy — nie tylko lokalnej spółki.

Wyjątek od progu wielkości: niezależnie od rozmiaru NIS2 obejmuje m.in. operatorów infrastruktury krytycznej, dostawców sieci publicznych i niektóre podmioty administracji publicznej.

Praktyczna lista sektorów — które firmy powinny sprawdzić?

Dla firm z segmentu MŚP najczęściej pojawia się pytanie o te obszary:

  • produkcja przemysłowa — elektronika, maszyny, urządzenia elektryczne, pojazdy, wyroby medyczne
  • firmy IT, dostawcy usług zarządzanych (MSP), dostawcy oprogramowania
  • usługi cyfrowe — marketplace, cloud computing, wyszukiwarki
  • firmy logistyczne i transportowe
  • podmioty z sektora żywnościowego
  • dostawcy i podwykonawcy dla organizacji kluczowych

Lista sektorów w dyrektywie jest długa, a definicje niejednorodne. Firma zajmująca się np. integracją systemów, usługami chmurowymi czy produkcją komponentów dla różnych branż może być trudnym przypadkiem do samodzielnej oceny.

Jak to ocenić w trzech krokach?

Pierwsza weryfikacja nie wymaga prawnika ani konsultanta. Sprawdź trzy rzeczy:

Krok 1 — branża i działalność. Czy firma działa w jednym z sektorów wymienionych w ustawie? Czasem granice są nieoczywiste — firma IT obsługująca wyłącznie klientów z sektora zdrowia może podlegać dodatkowym wymaganiom jako dostawca dla podmiotu kluczowego.

Krok 2 — liczba pracowników i przychód. Czy przekraczacie próg 50 pracowników lub 10 mln EUR obrotu (licząc całą grupę kapitałową)?

Krok 3 — rola w łańcuchu dostaw. Nawet jeśli firma nie podlega NIS2 bezpośrednio, duzi klienci mogą wymagać zgodności jako warunku umownego. Rośnie liczba przetargów i kontraktów B2B, w których wymagania cyberbezpieczeństwa dotyczą całego łańcucha dostawców.

Co jeśli firma podlega wymaganiom?

Zakres obowiązków obejmuje przede wszystkim:

  • wdrożenie systemu zarządzania bezpieczeństwem informacji
  • analizę ryzyka i dokumentację polityk bezpieczeństwa
  • procedury reagowania na incydenty i ich zgłaszania
  • zarządzanie ciągłością działania i kopiami zapasowymi
  • kontrolę dostępu i bezpieczeństwo łańcucha dostaw
  • szkolenia i polityki cyberhigieny dla pracowników

To dużo, ale większość tych obszarów da się wdrożyć etapami — zaczynając od diagnozy i dokumentacji, a kończąc na planie działań. Ryzyko kar jest realne (do 10 mln EUR lub 2% globalnego obrotu dla podmiotów kluczowych), ale ważniejsze jest to, że brak podstaw powoduje realne ryzyko operacyjne i reputacyjne.

Nie jesteś pewien? To normalne

Wiele firm, które do nas trafia, nie wie jeszcze, czy NIS2 ich dotyczy — albo wie, że dotyczy, ale nie wie, od czego zacząć. To jest właśnie punkt wyjścia naszej analizy gotowości.

W ramach wywiadu organizacyjnego i ankiety ustalamy zakres obowiązywania, identyfikujemy braki i dostarczamy raport z konkretnym uzasadnieniem. Nie ogólnikami, nie straszeniem — tylko tym, co naprawdę wymaga działania.

Materiał ma charakter informacyjny i doradczy. Nie jest poradą prawną ani audytem certyfikacyjnym. W sprawach wymagających interpretacji przepisów skonsultuj się z radcą prawnym lub adwokatem.