Dyrektywa NIS2 to nowy rozdział w unijnym prawie cyberbezpieczeństwa, zastępujący pierwszą dyrektywę NIS z 2016 r. Zmiany są znaczące – rozszerza się krąg firm objętych regulacją, precyzjniej określono wymagania bezpieczeństwa, a za nieprzestrzeganie zasad grożą surowsze kary. Dla osób odpowiedzialnych za bezpieczeństwo i zgodność w średnich i dużych przedsiębiorstwach w Polsce oznacza to konieczność przeglądu dotychczasowego podejścia do cyberbezpieczeństwa. Czy Twoja organizacja jest gotowa na NIS2? Poniżej w przystępny sposób wyjaśniamy, co praktycznie zmienia ta dyrektywa i na co należy zwrócić uwagę.
Więcej sektorów i podmiotów objętych NIS2
Pierwsza ważna zmiana to znaczne rozszerzenie zakresu podmiotowego dyrektywy. NIS2 obejmie wiele nowych sektorów i usług, które wcześniej nie podlegały przepisom NIS. Do listy chronionych sektorów dodano m.in. gospodarkę ściekową, sektor kosmiczny, administrację publiczną, usługi zarządzania ICT (B2B), usługi pocztowe i kurierskie oraz gospodarkę zarządzania odpadami. Łącznie dyrektywa wymienia ok. 18 sektorów uznanych za kluczowe lub ważne dla cyberbezpieczeństwa, podczas gdy poprzednio chronionych sektorów było tylko 7. Oznacza to, że dziesiątki tysięcy podmiotów w całej UE zostanie po raz pierwszy objętych nowymi obowiązkami – wśród nich wiele średnich firm, które dotąd nie musiały spełniać tak rygorystycznych wymogów.
Co więcej, NIS2 wprowadza rozróżnienie na podmioty essential (kluczowe) i important (ważne). Do kategorii „essential” zaliczają się duże organizacje świadczące usługi krytyczne, np. w sektorze energetycznym, transportowym, bankowym, ochrony zdrowia czy administracji centralnej – podmioty te podlegają najbardziej restryjcyjnym wymaganiom i nadzorowi. Podmioty kategorii „important” to z kolei firmy, których usługi są istotne, ale nie aż tak krytyczne dla funkcjonowania społeczeństwa. Należą do nich między innymi przedsiębiorstwa z sektorów takich jak gospodarka zarządzania odpadami, sektor kosmiczny, produkcja żywności, usługi pocztowe i kurierskie, administracja samorządowa, wybrane usługi cyfrowe (np. platformy społecznościowe, dostawcy usług w chmurze, data center) czy produkcja w określonych gałęziach przemysłu. NIS2 obejmie z zasady średnie i duże przedsiębiorstwa działające w tych sektorach. Mikro i małe firmy pozostają co do zasady wyłączone, chyba że świadczą usługi kluczowe o znaczeniu krytycznym (np. są jedynym dostawcą danego typu usługi w kraju, rejestrem domen itp.). W praktyce więc wiele firm, które dotąd nie musiały martwić się dyrektywą NIS, teraz będzie musiało włączyć cyberbezpieczeństwo do listy priorytetów zarządczych.
Jasno określone obowiązki w zakresie cyberbezpieczeństwa
Druga istotna zmiana to doprecyzowanie wymagań bezpieczeństwa. Poprzednia dyrektywa NIS nakładała dość ogólne obowiązki (np. stosowanie odpowiednich środków bezpieczeństwa), pozostawiając państwom członkowskim dużą swobodę w określaniu szczegółowych wymagań. Skutkowało to rozbieżnościami – w różnych krajach oczekiwania wobec firm były różne, a wiele organizacji miało problem ze zrozumieniem, czego dokładnie się od nich wymaga. NIS2 naprawia ten problem poprzez wyraźne wskazanie minimalnych środków, które każda objęta firma musi wdrożyć. Dyrektywa wymienia 10 kategorii działań i polityk, które razem składają się na kompleksowe zarządzanie ryzykiem cyberbezpieczeństwa:
1. polityka bezpieczeństwa informacji i analiza ryzyka – firmy muszą posiadać sformalizowane polityki bezpieczeństwa systemów informacyjnych oraz prowadzić okresowe analizy ryzyka. Chodzi o przyjęcie spójnej strategii cyberbezpieczeństwa i ocenę, jakie zagrożenia są najistotniejsze dla danego biznesu.
2. procedury reagowania na incydenty – obowiązkowe jest posiadanie planu obsługi incydentów, aby skutecznie wykrywać, analizować i reagować na incydenty bezpieczeństwa. Organizacja powinna z góry określić role i działania na wypadek ataku lub awarii (np. procedury powiadamiania, izolowania zagrożenia, przywracania systemów).
3. ciągłość działania – NIS2 wymaga przygotowania się na poważne zakłócenia poprzez plany ciągłości działania, w tym backupy, plany kryzysowe i Disaster Recovery (odtwarzanie po awarii). Firmy muszą zadbać, by incydent nie przerwał krytycznych usług – np. regularnie wykonywać kopie zapasowe i testować procedury awaryjne.
4. bezpieczeństwo łańcucha dostaw – nowością jest duży nacisk na bezpieczeństwo dostawców i partnerów. Przedsiębiorstwa muszą ocenić i zapewnić, że ich dostawcy usług ICT i kluczowych komponentów również spełniają standardy bezpieczeństwa. Relacje z dostawcami powinny być zarządzane pod kątem ryzyk (np. poprzez wymagania bezpieczeństwa w umowach, weryfikacje dostawców, planowanie alternatyw).
5. bezpieczeństwo przy nabywaniu i rozwoju systemów – NIS2 wprowadza obowiązek uwzględniania cyberbezpieczeństwa już na etapie pozyskiwania, tworzenia i utrzymania systemów IT. Obejmuje to m.in. zarządzanie podatnościami – firmy muszą mieć proces wykrywania i usuwania luk bezpieczeństwa oraz, w razie potrzeby, zgłaszania ich (co nawiązuje do promowanego przez UE procederu zgłaszania podatności – tzw. coordinated vulnerability disclosure).
6. ocena skuteczności zabezpieczeń (testy i audyty) – dyrektywa wymaga, by organizacje regularnie oceniały i testowały swoje mechanizmy bezpieczeństwa. Powinny istnieć procedury audytu wewnętrznego bezpieczeństwa, testów penetracyjnych lub innych form sprawdzania, czy zastosowane środki faktycznie działają i spełniają wymagania.
7. szkolenia i higiena cyberbezpieczeństwa – podnoszenie świadomości pracowników to obowiązkowy element. Firmy muszą zapewnić podstawowe szkolenia z cyberbezpieczeństwa oraz promować dobre praktyki tzw. cyberhigieny (np. stosowanie mocnych haseł, ostrożność wobec podejrzanych e-maili itp.). Dotyczy to zarówno personelu IT, jak i ogółu pracowników, adekwatnie do ich roli.
8. zarządzanie dostępem i tożsamością, bezpieczeństwo zasobów i danych – NIS2 nakazuje wdrożenie polityk w zakresie zarządzania zasobami oraz kontrolą dostępu do systemów. Obejmuje to m.in. prowadzenie rejestru zasobów IT, nadawanie uprawnień zgodnie z rolą (tzw. „need-to-know”), monitorowanie dostępu, zabezpieczenie danych wrażliwych, a także elementy bezpieczeństwa personalnego (np. weryfikacje pracowników na wrażliwych stanowiskach).
9. kryptografia i szyfrowanie – tam, gdzie to zasadne, organizacje muszą stosować odpowiednie mechanizmy kryptograficzne do ochrony informacji. NIS2 podkreśla np. użycie szyfrowania do zabezpieczania danych w spoczynku i transmisji oraz korzystanie z zaufanych usług i certyfikowanych produktów (zgodnie z unijnym Aktem o certyfikacji cyberbezpieczeństwa, zaimplementowanym polską Ustawą o krajowym systemie certyfikacji cyberbezpieczeństwa, która weszła w życie 28 sierpnia 2025 roku) w celu podniesienia poziomu ochrony informacji.
10. uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja – dyrektywa kładzie nacisk na silne uwierzytelnianie użytkowników (np. logowanie dwu- lub wieloskładnikowe, czyli tzw. 2FA oraz MFA) a także zabezpieczenie systemów komunikacji, zwłaszcza tych używanych w sytuacjach awaryjnych. Firmy powinny wdrożyć środki typu MFA oraz dbać o poufność i dostępność kanałów komunikacji (np. telefonu alarmowego, systemów powiadamiania), aby w razie incydentu móc sprawnie się komunikować w ramach organizacji i z organami zewnętrznymi.
Powyższe wymagania stanowią bazowy standard – swoisty „kodeks cyberbezpieczeństwa” dla firm. Dla wielu przedsiębiorstw w Polsce część z nich może nie być nowością (zwłaszcza jeśli stosują już normy pokroju ISO/IEC 27001 czy dobre praktyki rynkowe/branżowe). Jednak NIS2 sprawia, że staną się one legalnym obowiązkiem, a nie tylko dobrowolnym zaleceniem. Co ważne, wymagania te będą ujednolicone w całej UE – Komisja Europejska zadbała o spójność, wydając w październiku 2024 r. rozporządzenie wykonawcze ustanawiające jednolite techniczne i metodologiczne wymagania dla tych środków bezpieczeństwa. W ślad za tym ENISA (Unijna Agencja ds. Cyberbezpieczeństwa) przygotowała obszerny przewodnik techniczny z praktycznymi wskazówkami, jak wdrażać poszczególne środki z art. 21(2) NIS2, wraz z przykładami dowodów spełnienia wymogów i mapowaniem na standardy branżowe. Dzięki temu firmy mogą lepiej zrozumieć, jak przełożyć regulacyjne obowiązki na konkretne działania techniczne i organizacyjne.
Szybsze i precyzyjne zgłaszanie incydentów
Kolejną istotną nowością NIS2 są bardziej rygorystyczne zasady zgłaszania incydentów bezpieczeństwa. Poprzednio firmy miały dość ogólny obowiązek meldowania „istotnych incydentów” bez zbędnej zwłoki – brakowało jednak jasnej definicji, co jest „istotne”, i konkretnego terminu na zgłoszenie. Teraz dyrektywa wyraźnie definiuje kryteria poważnego incydentu oraz wprowadza ścisły harmonogram raportowania. Zgodnie z NIS2 incydent uznaje się za znaczący, jeśli m.in. spowodował lub może spowodować poważne straty finansowe i operacyjne dla firmy albo istotnie wpłynął na innych odbiorców (wyrządzając szkody materialne lub niematerialne). Gdy dojdzie do takiego incydentu, przedsiębiorstwo musi podjąć następujące kroki:
– wstępne zgłoszenie (early warning) – w ciągu 24 godzin od chwili, gdy firma ujawni incydent (czyli zorientuje się, że doszło do poważnego incydentu), trzeba powiadomić właściwy CSIRT lub krajowy organ o podstawowych faktach. Ten wstępny alert ma informować o zaistniałym zdarzeniu i np. wstępnie ocenić, czy mogło dojść do działania atakującego (czynnik ludzki), czy to np. awaria.
– pełne zgłoszenie incydentu – w ciągu maksymalnie 72 godzin od wykrycia incydentu należy przekazać właściwym władzom pełniejszy raport incydentalny. Taki raport powinien zawierać aktualizację informacji z pierwszego zgłoszenia, wyniki wstępnej analizy incydentu, ocenę jego skali i wpływu, wykryte podatności lub wektory ataku, oraz opis podjętych kroków zaradczych. Innymi słowy, po 2–3 dniach od incydentu firma ma dostarczyć organom konkretne informacje, jak poważny jest incydent i co robi, by go opanować.
– raport końcowy – najpóźniej w ciągu miesiąca od zgłoszenia incydentu należy przedstawić raport finalny ze szczegółowym podsumowaniem. Powinien on obejmować pełny opis incydentu, jego przyczyny, przebieg, konsekwencje, a także działania naprawcze i plan zapobiegania podobnym zdarzeniom w przyszłości. Raport końcowy to de facto post-mortem incydentu – dokumentacja, która pozwoli organom i firmie wyciągnąć wnioski.
Warto podkreślić, że te terminy są nieprzekraczalne – tj. odpowiednio 24h, 72h, miesiąc. To oznacza, że firmy muszą mieć zdolność bardzo szybkiego reagowania i raportowania. Konieczne będzie zatem ustanowienie wewnętrznych procedur monitorowania zdarzeń, eskalacji problemów i przygotowania raportów niemal od ręki. Dla porównania, wcześniej wiele podmiotów zgłaszało incydenty tygodnie po fakcie – teraz zwłoka powyżej 3 dni będzie naruszeniem prawa. Zmiana ta ma zapewnić bieżącą świadomość sytuacyjną organów państwowych i umożliwić szybsze wsparcie oraz ostrzeganie innych przed trwającymi zagrożeniami.
Standaryzacja procesu raportowania w całej UE oznacza też, że z czasem pojawią się ujednolicone formularze i kanały zgłoszeń. Już sama dyrektywa wspomina, że zgłoszenia mają być kierowane albo do CSIRT, albo do organu kompetentnego, przy czym państwa członkowskie mają wyznaczyć konkretne ścieżki. Ponadto powstaje na poziomie UE sieć wymiany informacji o incydentach (EU-CyCLONe – Europejska Sieć Łącznikowa ds. Kryzysów Cybernetycznych), aby duże incydenty transgraniczne były koordynowane między krajami. Dla firm jednak najważniejsze jest przygotowanie się wewnętrznie, tj. czy mamy kompetencje, by w 24h ocenić incydent i powiadomić władze? Jeśli nie, to jest to obszar do wzmocnienia przed wejściem NIS2.
Odpowiedzialność i rola kadry zarządzającej
NIS2 kładzie również istotny nacisk na zaangażowanie zarządów i kierownictwa firm w kwestie cyberbezpieczeństwa. W poprzedniej dyrektywie rola ta nie była wyraźnie zaznaczona – często bezpieczeństwo było traktowane jako domena działu IT, a zarząd interesował się nim dopiero po większej awarii. Nowe przepisy chcą to zmienić, wprowadzając obowiązki na poziomie organów zarządczych przedsiębiorstwa.
Po pierwsze, członkowie najwyższego kierownictwa (zarządu) będą musieli formalnie zatwierdzać wdrożenie środków zarządzania ryzykiem cyberbezpieczeństwa w firmie. Innymi słowy, zarząd nie może już uchylać się od odpowiedzialności – powinien świadomie przyjąć politykę bezpieczeństwa i kluczowe procedury wymagane przez NIS2. Ma to zagwarantować, że bezpieczeństwo informacji stanie się tematem omawianym na posiedzeniach zarządu, a nie tylko technicznym szczegółem pozostawionym specjalistom IT.
Po drugie, co bardzo ważne, NIS2 przewiduje odpowiedzialność osobistą kadry zarządzającej za naruszenia obowiązków. Wprost stwierdzono, że członkowie organów zarządzających mogą zostać pociągnięci do odpowiedzialności za uchybienia, jeśli ich firma nie zatwierdzi i nie wdroży wymaganych środków bezpieczeństwa. Innymi słowy, jeżeli np. zarząd zignoruje obowiązek wdrożenia polityki zarządzania ryzykiem i dojdzie do incydentu lub kontroli, to osoby z zarządu mogą ponieść konsekwencje. To istotna zmiana kulturowa – cyberbezpieczeństwo przestaje być tylko sprawą działu IT, a staje się elementem compliance, za który głowy mogą polecieć tak samo jak za łamanie prawa ochrony danych czy przepisów księgowych.
W praktyce państwa członkowskie mają wprowadzić adekwatne sankcje dla menedżerów – mogą to być np. kary finansowe, czasowy zakaz pełnienia funkcji kierowniczych, a także nakaz publicznego ogłoszenia informacji o naruszeniu i winnych osobach. Oczywiście szczegółowe regulacje powstaną w prawie krajowym, ale sygnał jest jasny – zarząd musi traktować cyberbezpieczeństwo poważnie. Dyrektywa wymaga też, by kadra kierownicza posiadała odpowiednią wiedzę w dziedzinie cyberbezpieczeństwa. W artykule 20 dyrektywy zapisano obowiązek zapewnienia szkoleń dla członków organów zarządzających na temat ryzyk cyberbezpieczeństwa i ich wpływu na działalność firmy. Menedżerowie powinni rozumieć, z jakimi zagrożeniami mierzy się organizacja, jakie są konsekwencje incydentów i jakie działania są podejmowane, by im zapobiec. To już nie tylko dobra praktyka – to wymóg prawny, który ma podnieść kompetencje decydentów.
Dla wielu polskich firm może to oznaczać konieczność zmiany podejścia w radzie nadzorczej i zarządzie. Warto już teraz upewnić się, że przynajmniej jedna osoba z kierownictwa czuwa nad kwestiami bezpieczeństwa (np. wyznaczony CISO – Chief Information Security Officer raportujący do zarządu, lub inny sponsor na poziomie zarządu). Szkolenia dla zarządu z podstaw cyberzagrożeń także staną się standardem. Krótko mówiąc, odpowiedzialność idzie w górę struktury organizacyjnej, aż do samego szczytu.
Surowsze kary za brak zgodności z NIS2
Nowe obowiązki to jedno, ale co jeśli firma je zlekceważy? NIS2 przewiduje znacznie ostrzejszy reżim kar i egzekwowania przepisów niż poprzednio. Celem jest zapewnienie, że cyberbezpieczeństwo nie będzie traktowane „po macoszemu” – ryzyko finansowe i prawne związane z nieprzestrzeganiem dyrektywy ma skutecznie zniechęcać do zaniedbań.
Przede wszystkim, dyrektywa ujednolica katalog środków nadzorczych dostępnych dla organów państw członkowskich. W razie stwierdzenia niezgodności, organ nadzorczy będzie mógł wydać wiążące polecenia (np. nakaz wdrożenia określonych środków bezpieczeństwa), wydawać nakazy usunięcia naruszeń w wyznaczonym terminie, a nawet żądać przeprowadzenia niezależnego audytu bezpieczeństwa na koszt firmy. Co więcej, w uzasadnionych sytuacjach władze będą mogły ostrzec klientów danej firmy o zagrożeniach – np. poinformować publicznie, że dany dostawca nie spełnia standardów NIS2, co jest środkiem o dużej sile reputacyjnej.
Jeśli chodzi o kary finansowe, NIS2 wprowadza minimalne maksima obowiązujące we wszystkich krajach UE. Dla podmiotów kluczowych (essential) przewidziano administracyjne kary pieniężne do 10 milionów euro lub 2% światowego rocznego obrotu firmy – w zależności, która wartość jest wyższa. Dla podmiotów ważnych (important) maksymalna kara to 7 milionów euro lub 1,4% obrotu (również w zależności od tego, co więcej). Są to górne pułapy, co oznacza, że państwa mogą wprowadzić w swoim prawie takie właśnie maksymalne grzywny. Dla porównania, obecnie obowiązujące w Polsce kary na mocy ustawy o krajowym systemie cyberbezpieczeństwa z 2018 roku są dużo niższe – NIS2 to zatem realne ryzyko kar idących w dziesiątki milionów złotych przy dużych obrotach. Co ważne, zapis „whichever is higher” sprawia, że globalne koncerny nie ukryją się za mniejszą kwotą – zawsze zostanie zastosowany bardziej dolegliwy finansowo próg.
Kary administracyjne to nie wszystko. Wspomniana już odpowiedzialność członków zarządu może przybrać formę sankcji osobistych. Przykładowo, przy rażącym naruszeniu przepisów organ nadzorczy będzie mógł zobowiązać firmę do publicznego ogłoszenia informacji o naruszeniu i wskazania osób za nie odpowiedzialnych. W skrajnych przypadkach, np. uporczywego łamania przepisów, możliwe ma być nawet czasowe odsunięcie menedżera od pełnienia funkcji kierowniczych (de facto zakaz zajmowania stanowisk związanych z cyberbezpieczeństwem). To już bardzo poważna konsekwencja dla kariery takiej osoby. Możemy się spodziewać, że krajowe prawo (po transpozycji NIS2) doprecyzuje przesłanki takich sankcji – niemniej sama ich groźba z pewnością zmotywuje wielu decydentów do większej dbałości o kwestie zgodności.
Podsumowując, brak wdrożenia NIS2 będzie się realnie wiązał z ryzykiem dotkliwych kar finansowych i reputacyjnych. Organy krajowe otrzymają od UE silniejsze narzędzia nadzoru – już nie tylko „miękkie” zalecenia, ale i twarde mandaty. Dla firm oznacza to, że compliance w obszarze cyberbezpieczeństwa staje się równie ważny, co np. ochrona danych osobowych (RODO). Warto zauważyć, że maksymalne kary NIS2 (2% obrotu) są co prawda niższe niż w RODO (4% obrotu), ale wciąż mogą być bardzo wysokie, a przy tym łatwiej będzie je nałożyć w następstwie incydentu czy kontroli wykazującej braki w zabezpieczeniach.
Jak się przygotować do NIS2?
Dyrektywa NIS2 formalnie powinna była zostać wdrożona do prawa krajowego do 17 października 2024 r., przy czym nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która ma zaimplementować NIS2 w Polsce, wciąż jest w przygotowaniu (rządowy projekt ustawy został skierowany do opinii Biura Legislacyjnego w dniu 12 listopada 2025 r.). Po wejściu ustawy firmy będą mieć jedynie 30–60 dni na zgłoszenie się do rejestru i pół roku na pełne spełnienie wymogów. Czasu pozostało niewiele, dlatego warto już teraz podjąć działania przygotowawcze. Oto kilka kluczowych kroków i wskazówek, które pomogą przygotować organizację – bez wdawania się w szczegółową „checklistę” (takie listy kontrolne opracujemy w kolejnych artykułach):
1. Ustal, czy i w jakim zakresie Twoja firma podlega NIS2
Przeanalizuj, czy działacie w sektorze objętym dyrektywą i czy spełniacie kryterium średniego lub dużego przedsiębiorstwa. Jeśli tak, określcie, czy będziecie zakwalifikowani jako podmiot kluczowy czy ważny – jest to istotne dla poziomu wymagań i ewentualnych kar. W razie wątpliwości warto zasięgnąć informacji u krajowego regulatora lub konsultanta. Pamiętaj, że wiele firm, które wcześniej nie były regulowane, teraz znajdzie się w reżimie NIS2 – np. duże firmy z branży IT/B2B, transportowej, przetwórczej i inne wcześniej nieoczywiste sektory.
2. Zapewnij wsparcie i świadomość na poziomie zarządu
Bez aktywnego poparcia kierownictwa skuteczne wdrożenie NIS2 będzie trudne. Przedstaw zarządowi najważniejsze zmiany (możesz wykorzystać niniejszy artykuł jako punkt wyjścia) i wyjaśnij ryzyka związane z niezgodnością – zarówno finansowe, jak i prawno-reputacyjne. Podkreśl osobistą odpowiedzialność, jaka spoczywa na kadrze kierowniczej. Dobrym ruchem będzie wyznaczenie osoby z zarządu odpowiedzialnej za nadzór nad wdrożeniem NIS2 oraz zapewnienie jej (i całemu zarządowi) szkolenia w zakresie cyberbezpieczeństwa, by mogli świadomie podejmować decyzje.
3. Przeprowadź ocenę luk (tzw. „gap analysis”) względem nowych wymagań
Zbadaj obecny stan zabezpieczeń i procedur w firmie w odniesieniu do 10 obszarów wymienionych w dyrektywie. Sprawdź, które z wymaganych polityk i planów już posiadacie (np. plan ciągłości działania, politykę bezpieczeństwa informacji), a czego brakuje. Oceń też, na ile skutecznie działają obecne środki – np. czy macie sprawny system wykrywania incydentów i czy potraficie je raportować w przeciągu 24h. Taka analiza pozwoli zidentyfikować priorytety do poprawy. Wielu organizacjom może brakować nie tyle technologii, co formalnych procedur i dokumentacji – NIS2 wymaga ich posiadania, więc warto uzupełnić ewentualne braki.
4. Opracuj plan wdrożenia wymaganych środków
Na podstawie oceny luk stwórz plan działań dostosowawczych. Może on obejmować np. wdrożenie brakujących polityk i procesów, aktualizację istniejących procedur pod kątem zgodności z NIS2, inwestycje w nowe rozwiązania bezpieczeństwa (jeśli okażą się potrzebne, np. systemy monitorowania, narzędzia do zarządzania dostępem czy szyfrowaniem). Upewnij się, że plan uwzględnia również szkolenia personelu – zarówno ogólne uświadamiające (cyberhigiena), jak i specjalistyczne dla administratorów, zespołu IT, a także szkolenia kadry menedżerskiej. Dyrektywa kładzie duży nacisk na czynnik ludzki, więc przygotuj program budowania kompetencji wewnątrz firmy.
5. Zabezpiecz odpowiednie zasoby i kompetencje
Wiele firm stwierdza, że aby sprostać NIS2, muszą wzmocnić swoje zespoły ds. cyberbezpieczeństwa – według raportu ENISA aż 89% organizacji przewiduje potrzebę zatrudnienia dodatkowego personelu cyberbezpieczeństwa do zgodności z NIS2. Oceń, czy masz wystarczający zespół i czy dysponuje on właściwymi umiejętnościami. Być może potrzebne będzie powołanie stanowiska CISO, zatrudnienie nowych specjalistów lub skorzystanie z usług zewnętrznych (outsourcingu) w obszarach, których nie pokrywacie własnymi siłami. Unia promuje tu podejście oparte na ramach kompetencji – np. Europejskie Ramy Kompetencji Cyberbezpieczeństwa (ECSF) – które pomagają zidentyfikować, jakie role i umiejętności są potrzebne do wypełnienia poszczególnych obowiązków. ENISA przygotowała nawet przewodnik mapujący konkretne obowiązki NIS2 na profile ról z ECSF, co może pomóc w zaplanowaniu zespołu. Innymi słowy, upewnij się, że masz ludzi do zadań, jakie narzuca dyrektywa.
6. Śledź postępy legislacyjne i korzystaj z dostępnych wytycznych
Monitoruj prace nad polską ustawą wdrażającą NIS2 – dowiedz się, jakie dokładnie przepisy będą obowiązywać w Polsce (np. czy pojawią się dodatkowe wytyczne sektorowe, kto będzie pełnił rolę organu nadzorczego, jak zgłaszać incydenty itp.). Wykorzystaj też materiały publikowane przez organy i ekspertów. Komisja Europejska i ENISA wydają wytyczne, raporty i FAQ (najczęściej pojawiające się pytania i odpowiedzi), które pomagają interpretować wymagania. Już teraz dostępne są np. wspomniane techniczne wytyczne ENISA dotyczące środków bezpieczeństwa czy dobre praktyki mapowania ról. Warto z nich skorzystać, by nie wymyślać koła na nowo – wiele rozwiązań podpowiadają również eksperci unijni.
Podsumowanie
Dyrektywa NIS2 to duża zmiana jakościowa w podejściu do cyberbezpieczeństwa na poziomie przedsiębiorstw. Dla średnich i dużych firm w Polsce oznacza to konieczność „podniesienia poprzeczki” – od poszerzenia zakresu stosowanych środków, przez szybsze reagowanie na incydenty, po zaangażowanie zarządu i liczenie się z surowymi karami za zaniedbania. Choć nowe obowiązki mogą wydawać się wymagające, warto pamiętać, że ich cel jest zasadniczo pozytywny, tj. podniesienie ogólnego poziomu odporności cyfrowej w naszym coraz bardziej zinformatyzowanym społeczeństwie.
Zamiast traktować NIS2 tylko jako kolejny narzut regulacyjny, warto potraktować ją jako szansę na wzmocnienie własnej organizacji. Praktyczne podejście do wdrożenia dyrektywy – z nastawieniem na realne zwiększenie bezpieczeństwa, a nie tylko „odhaczenie wymogu” – przyniesie firmie długofalowe korzyści w postaci mniejszego ryzyka poważnych incydentów, większego zaufania klientów i regulatorów oraz lepszej pozycji konkurencyjnej.
Na koniec zachęcam do refleksji, tj. czy jesteśmy gotowi na NIS2? Czy nasza firma przetrwałaby surowy test zgodności i bezpieczeństwa, jaki ta dyrektywa de facto stanowi? Jeśli masz wątpliwości, to sygnał, że należy już dziś podjąć działania – zanim zrobi to za nas regulator lub, co gorsza, cyberprzestępca. W kolejnych artykułach z tej serii będziemy szczegółowo omawiać poszczególne aspekty NIS2 i podpowiadać, jak krok po kroku osiągnąć zgodność z nowymi przepisami, nie tracąc przy tym z oczu nadrzędnego celu – skutecznej ochrony naszego cyfrowego świata.