Przejdź do treści
dyrektywanis2.com

Blog · 20 stycznia 2026 · 8 min

NIS2 w praktyce — pierwsze 30 dni po klasyfikacji

Każdy tydzień stycznia 2026 r. ktoś z polskich zarządów odkrywa, że firma w marcu wchodzi w zakres NIS2. Pierwsza reakcja to zazwyczaj panika — niepotrzebna. Cztery tygodnie wystarczają, aby ustabilizować sytuację i przejść do uporządkowanego planu rocznego.

Założenie wyjściowe

Plan zakłada, że Państwa firma:

  • zatrudnia co najmniej 50 osób albo osiąga 10 mln EUR obrotu,
  • prowadzi działalność w jednym z 18 sektorów Załączników I lub II dyrektywy NIS2,
  • nie ma wdrożonego pełnego SZBI ISO 27001 (czyli typowa polska spółka średniej wielkości),
  • ma podstawowe IT in-house lub w modelu wspólnym z dostawcą zewnętrznym.

Jeśli któreś z założeń nie pasuje — kolejność i intensywność działań należy przeskalować. Plan działa jako baza referencyjna, nie jako uniwersalna recepta.

Tydzień 1 — decyzja zarządu i audyt zerowy

Pierwszy tydzień jest najważniejszy, bo decyduje, czy wdrożenie ruszy z poziomu zarządu, czy zostanie spuszczone „w dół" do działu IT. To drugie podejście jest najczęstszą przyczyną pozornych wdrożeń, które nie wytrzymują pierwszej kontroli.

  1. Dzień 1–2: formalna uchwała zarządu o uznaniu firmy za Podmiot Kluczowy lub Ważny (po wstępnej weryfikacji kryteriów z pillaru Podmioty Kluczowe i Ważne). Uchwała stwierdza także, kto w zarządzie odpowiada za nadzór nad wdrożeniem — to ma znaczenie z perspektywy regresu z Art. 12a.
  2. Dzień 3–4: audyt zerowy. To 2–4-godzinna sesja, w której zewnętrzny ekspert przegląda: PKD firmy, strukturę przychodów, mapę procesów krytycznych, aktualny stan zabezpieczeń IT, listę dostawców MSSP i chmurowych. Cel — ustalić rozbieżność między stanem aktualnym a obowiązkami z Art. 21. Marka Alterity Solutions oferuje taki audyt bezpłatnie w wersji 20-minutowej.
  3. Dzień 5–7: wybór modelu wdrożenia. Trzy opcje: własny zespół (etat CISO + 1–2 etaty bezpieczeństwa), vCISO zewnętrzny w modelu B2B, hybryda. Decyzja na tym etapie zaoszczędza tygodni późniejszego ważenia.

Tydzień 2 — inwentaryzacja i pierwsze polityki

Drugi tydzień to praca dokumentacyjna. Bez kompletnej inwentaryzacji zasobów wdrożenie dalszych środków technicznych nie ma sensu — nie wiadomo, co konkretnie chronić.

  1. Inwentaryzacja zasobów informacyjnych: systemy, aplikacje, bazy danych, ich właściciele biznesowi, klasyfikacja wrażliwości. Format — arkusz z 6–8 kolumnami; nie projekt CMDB na 6 miesięcy.
  2. Mapa procesów krytycznych: 3–5 procesów, których zatrzymanie zatrzymuje firmę (np. produkcja, sprzedaż, obsługa klienta, finanse). Pierwsze cztery tygodnie nie wymagają mapowania całego biznesu.
  3. Polityka zarządzania ryzykiem informacyjnym: 6–10-stronicowy dokument, który zatwierdza zarząd. To pierwszy wymóg z dziesięciu Art. 21 — i podstawa do wszystkich kolejnych.
  4. Polityka klasyfikacji informacji: 4 klasy (publiczna, wewnętrzna, poufna, tajna). Bardzo proste, ale konieczne.

Tydzień 3 — procedura incydentów i raportowanie do CSIRT

Trzeci tydzień skupia się na obszarze, w którym pierwsze kary NIS2 w UE pojawiły się najszybciej. Procedura raportowania musi być gotowa przed marcem 2026 r., bo zegar 24 h nie czeka na dokończenie wdrożenia.

  1. Procedura obsługi incydentów: zaadaptowany szablon (ENISA lub krajowy CSIRT NASK publikuje wzory). Najważniejsze — jasna lista ról: kto wykrywa, kto klasyfikuje, kto zatwierdza zgłoszenie, kto kontaktuje się z zarządem.
  2. Rejestracja w systemie S46: przygotowanie danych wymaganych do zgłoszenia w marcu. Dwóch zarejestrowanych użytkowników, lista kontaktów eskalacyjnych. Szczegóły są w pillarze Raportowanie do CSIRT.
  3. Pierwszy test stołowy (tabletop): 90-minutowe spotkanie zarządu i kluczowych osób IT, w którym przechodzi się przez scenariusz „ransomware o 22:00 w niedzielę". Niemal zawsze pokazuje 3–5 luk w komunikacji wewnętrznej, które łatwo zamknąć.

Tydzień 4 — łańcuch dostaw i plan na rok

Czwarty tydzień zamyka pierwszy miesiąc i przygotowuje do uporządkowanej pracy w kolejnych miesiącach.

  1. Lista kluczowych dostawców: 10–30 dostawców o znaczeniu dla ciągłości działania. Każdemu przypisany właściciel relacji wewnątrz firmy. Najczęściej — dostawca SaaS księgowy, dostawca chmury, MSP IT, dostawca telekomunikacyjny, dostawcy ERP/CRM.
  2. Klauzule NIS2 do dotychczasowych umów: projekt klauzul, które trafią do dotychczasowych umów (zgłaszanie incydentów u dostawcy w 24 h, prawo do audytu raz w roku, klasyfikacja danych, wymóg minimalnych środków bezpieczeństwa). Praca prawników, nie informatyków.
  3. Roczny plan wdrożenia: jeden slajd, który zatwierdza zarząd. Cztery kwartały, w każdym 2–3 środki z Art. 21. Plan jest własnością zarządu, nie konsultanta zewnętrznego — to warunek, by realnie działał.
  4. Pierwsze szkolenie zarządu: 90 minut z prawnikiem i ekspertem cyberbezpieczeństwa. Wymóg z Art. 20 NIS2. Dokumentowane (lista obecności, materiały). Powtarzane co najmniej raz na pół roku. Praktyczne wskazówki w artykule Szkolenia zarządu w NIS2.

Wskazówka organizacyjna: opór wewnętrzny w tygodniach 1–4 jest standardem. „Dział IT już to ma pod kontrolą", „mamy ISO", „pierwsza kontrola będzie za 2 lata, zdążymy" — to trzy najczęstsze próby zatrzymania projektu. Rolą zarządu jest podtrzymanie tempa. W pierwszych 30 dniach lepiej wdrożyć 60% planu niż 100% w mniejszej skali.

Co wyglądać powinno po pierwszych 30 dniach

  • Uchwała zarządu stwierdzająca klasyfikację firmy i wskazująca osobę odpowiedzialną za nadzór.
  • Raport z audytu zerowego z listą rozbieżności względem dziesięciu obowiązków Art. 21.
  • Trzy zatwierdzone polityki: zarządzanie ryzykiem, klasyfikacja informacji, obsługa incydentów.
  • Inwentaryzacja zasobów i mapa procesów krytycznych (5 najważniejszych).
  • Plan rejestracji w S46 i procedura zgłaszania incydentów z dwoma użytkownikami.
  • Lista dostawców kluczowych z projektem klauzul kontraktowych.
  • Roczny plan wdrożenia zatwierdzony przez zarząd.
  • Pierwsze szkolenie zarządu zakończone i udokumentowane.

Stan ten — choć daleki od pełnej zgodności — daje firmie podstawę, z której można obronić się w trakcie kontroli organu właściwego. Materialny dowód „firma podjęła proporcjonalne działania" zwykle wystarcza, by uniknąć kary w pierwszym roku obowiązywania nowelizacji KSC.

Co poza tymi 30 dniami

Kolejne 11 miesięcy to praca nad pozostałymi siedmioma środkami Art. 21 — kryptografia, kontrola dostępu, MFA, ciągłość działania, bezpieczna komunikacja, bezpieczeństwo rozwoju oprogramowania, mierzenie skuteczności. Sekwencja zależy od profilu ryzyka firmy i jest opisana w pillarze Obowiązki techniczne NIS2.

Jeśli wewnętrzne zasoby nie pozwalają zrealizować planu — rozwiązaniem jest model abonamentowy NIS2 as a Service, w którym obowiązki vCISO bierze na siebie zewnętrzny partner ( Alterity Solutions to jedna z polskich firm działających w tym modelu). Zarząd pozostaje formalnie odpowiedzialny, ale operacyjnie pracę wykonuje zespół zewnętrzny, a polisa ubezpieczeniowa partnera obejmuje ryzyko zawodowe vCISO.

Umów konsultację