Słownik NIS2 — kluczowe pojęcia dyrektywy i polskiego KSC

Wstępna ocena rozbieżności między aktualnym stanem zabezpieczeń firmy a wymaganiami NIS2, wykonywana zwykle przez vCISO albo zewnętrzną jednostkę konsultingową w trybie 1–3 dni roboczych. Wynikiem jest mapa luk i wstępna szacunek nakładu na pełne wdrożenie dziesięciu środków z Art. 21.

Zespół reagowania na incydenty cyberbezpieczeństwa. W polskim krajobrazie NIS2 trzy poziomy krajowe: CSIRT NASK (większość podmiotów cywilnych), CSIRT GOV (administracja publiczna) i CSIRT MON (resort obrony narodowej). Adresat zgłoszeń istotnych incydentów — szczegółowo w pillarze Raportowanie do CSIRT.

Krytyczny Dostawca Usług ICT — kategoria z DORA. Dostawca usług ICT dla sektora finansowego, wyznaczony przez Europejskie Urzędy Nadzoru (EBA, EIOPA, ESMA) jako podmiot podlegający bezpośredniemu nadzorowi Lead Overseer'a. Szczegółowy kontekst — artykuł NIS2 vs DORA.

Rozporządzenie (UE) 2022/2554 dotyczące odporności cyfrowej sektora finansowego. Obowiązuje bezpośrednio od 17 stycznia 2025 r. — bez konieczności transpozycji do prawa krajowego. Stanowi lex specialis wobec NIS2 dla 21 typów podmiotów finansowych wymienionych w Art. 2 DORA.

Pierwsza horyzontalna dyrektywa UE o cyberbezpieczeństwie z 2016 r. Poprzedniczka NIS2. Obejmowała 7 sektorów i posługiwała się pojęciem „operatora usługi kluczowej” wyznaczanego przez państwa członkowskie. Zastąpiona przez NIS2 z dniem 17 października 2024 r. Szczegóły różnic — artykuł NIS2 vs stara NIS.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa z siedzibą w Atenach. Wydaje wytyczne wykonawcze do NIS2, prowadzi europejski system certyfikacji (EUCC), agreguje raporty zagrożeń. Jej opracowania (m.in. „Threat Landscape", „Guidelines for SMEs") są często cytowane przez polskie organy nadzoru.

W rozumieniu Art. 23 NIS2 — incydent, który spowodował lub może spowodować poważne zakłócenia w świadczeniu usługi albo straty finansowe podmiotu objętego, albo wpłynął na inne osoby fizyczne lub prawne, powodując znaczną szkodę materialną lub niematerialną. Kryteria progowe (utrata dostępności, naruszenie poufności danych istotnych itp.) doprecyzowuje akt wykonawczy KE i wytyczne ENISA.

Dwa odrębne światy systemów w organizacjach przemysłowych. IT to biurowe sieci, ERP, poczta, kadry-place. OT to systemy sterowania produkcją: SCADA, PLC, MES, DCS. NIS2 wymaga ich segmentacji i odrębnych polityk bezpieczeństwa — szczegółowo w sektorowych przewodnikach Energetyka i Produkcja przemysłowa.

Przepis NIS2, zgodnie z którym jeżeli dla danego podmiotu istnieje sektorowe prawodawstwo UE o równoważnym poziomie wymagań cyberbezpieczeństwa, NIS2 w zakresie objętym tym aktem nie ma zastosowania. Najważniejszy „nakładający się” akt to DORA dla sektora finansowego.

Polski organ nadzoru nad rynkiem finansowym. Z punktu widzenia NIS2 — KNF jest organem właściwym dla podmiotów finansowych objętych DORA (banki, ubezpieczyciele, TFI, ZAFI, instytucje płatnicze). Podmioty te nie podlegają NIS2 w zakresie ICT — zob. klauzulę lex specialis.

Polska ustawa transponująca dyrektywy NIS i NIS2 do polskiego porządku prawnego. Pierwsza wersja z 2018 r. (Ustawa o KSC z 5 lipca 2018 r.) zaimplementowała NIS. Nowelizacja z 2026 r. (Dz.U. 2026 poz. 252), która weszła w życie 3 kwietnia 2026 r., wprowadza wymagania NIS2 oraz dodatkowy Art. 12a o regresie do 600% wynagrodzenia.

Polskie ministerstwo właściwe ds. informatyzacji i cyberbezpieczeństwa cywilnego. Koordynator transpozycji NIS2, autor projektu nowelizacji KSC, gestor systemu S46. Minister Cyfryzacji jest organem właściwym w rozumieniu NIS2 dla większości sektorów Załączników I i II.

Uwierzytelnianie wieloskładnikowe — wymóg z dziesiątego środka Art. 21 NIS2. W praktyce: każdy dostęp zdalny administracyjny, dostęp do systemów krytycznych i dostęp z urządzeń poza siecią firmową powinien być chroniony MFA (typowo: hasło + token TOTP albo klucz sprzętowy FIDO2).

Próg klasyfikacyjny NIS2: 50 osób LUB 10 mln EUR obrotu rocznego LUB 10 mln EUR sumy bilansowej. Firma w jednym z 18 sektorów Załączników I lub II, która przekroczyła próg, jest Podmiotem Kluczowym lub Ważnym. Pełna klasyfikacja w pillarze Podmioty Kluczowe i Ważne — sprawdzenie własnej firmy w klasyfikatorze NIS2.

Państwowy Instytut Badawczy operujący jednym z trzech krajowych CSIRT (CSIRT NASK). Adresat zgłoszeń istotnych incydentów dla większości polskich podmiotów cywilnych objętych NIS2. Prowadzi także rejestr nazw domen .pl i platformę zgłoszeń S46.

Druga generacja unijnej dyrektywy o cyberbezpieczeństwie, przyjęta 14 grudnia 2022 r. Obejmuje 18 sektorów Załączników I i II, obowiązuje wszystkie podmioty powyżej progu MŚP w tych sektorach. Termin transpozycji do prawa krajowego upłynął 17 października 2024 r. — w Polsce weszła w życie przez nowelizację KSC 3 kwietnia 2026 r. Pełne wprowadzenie — Czym jest NIS2.

Technologie operacyjne — systemy sterowania procesami fizycznymi w przemyśle (SCADA, PLC, RTU, DCS, MES). Charakteryzują się długim cyklem życia (15–30 lat), determinizmem czasowym i specyficznymi protokołami (Modbus, DNP3, OPC UA, IEC 61850). Bezpieczeństwo OT w NIS2 traktowane jest odrębnie od IT — model referencyjny to Purdue ISA-95 + standard IEC 62443.

Krajowy organ akredytacyjny RP, członek IAF. Akredytuje polskie jednostki certyfikujące, w tym certyfikujące na zgodność z ISO 27001. Certyfikat wydany przez jednostkę akredytowaną przez PCA jest uznawany w całej UE przez IAF Multilateral Recognition Arrangement. Kontekst — artykuł NIS2 vs ISO 27001.

Klasyfikacja NIS2 dla największych podmiotów w sektorach Załącznika I (energetyka, transport, woda, zdrowie, infrastruktura cyfrowa i inne) spełniających próg dużego przedsiębiorstwa. Podlega nadzorowi ex ante — organ właściwy może z własnej inicjatywy wszcząć kontrolę. Maksymalna kara administracyjna: 10 mln EUR lub 2% obrotu globalnego.

Klasyfikacja NIS2 dla średnich podmiotów we wszystkich sektorach Załączników I i II oraz dla mniejszych podmiotów Załącznika II. Podlega nadzorowi ex post — co do zasady kontrola następuje po incydencie albo na sygnał. Maksymalna kara: 7 mln EUR lub 1,4% obrotu globalnego.

Trzyfazowy obowiązek z Art. 23 NIS2: wczesne ostrzeżenie do 24 godzin od stwierdzenia istotnego incydentu, raport incydentu w 72 godziny, raport końcowy w ciągu 1 miesiąca. Możliwy dodatkowy raport pośredni na żądanie CSIRT. Pełna analiza — pillar raportowania.

System teleinformatyczny prowadzony przez NASK-PIB, służący zgłoszeniom istotnych incydentów oraz rejestracji podmiotów objętych KSC. Podmioty Kluczowe i Ważne mają obowiązek samodzielnej rejestracji w S46 — szczegółowe terminy określa nowelizacja KSC. System obsługuje także wymianę informacji między CSIRT-ami krajowymi.

Klasa systemów nadzoru i akwizycji danych operacyjnych w przemyśle. Komputer dyspozytorski + bazy historyzujące + interfejsy operatorskie połączone z PLC/RTU pracującymi przy maszynach. Krytyczny element infrastruktury OT — w NIS2 jeden z głównych obiektów ochrony w sektorach energetyki, wody, transportu i produkcji.

Zespół monitorujący zdarzenia bezpieczeństwa 24/7, identyfikujący i klasyfikujący incydenty oraz prowadzący ich obsługę pierwszej linii. Może być wewnętrzny lub outsourcowany (MSSP). W NIS2 — narzędzie wspierające środek 2 (obsługa incydentów) i środek 6 (ocena skuteczności).

Polski odpowiednik angielskiego Information Security Management System (ISMS). Pojęcie centralne dla normy ISO/IEC 27001. Pokrywa polityki, procedury, role, mechanizmy kontroli i cykl ciągłego doskonalenia (Plan-Do-Check-Act). Dobrze wdrożony SZBI pokrywa ok. 85% wymagań technicznych Art. 21 NIS2 — szczegóły w artykule NIS2 vs ISO 27001.

Proces wprowadzania dyrektywy unijnej do prawa krajowego państw członkowskich. W przeciwieństwie do rozporządzeń (które obowiązują bezpośrednio), dyrektywy wymagają aktu krajowego. NIS2 jest dyrektywą — w Polsce transpozycja następuje przez nowelizację ustawy o KSC. Termin transpozycji NIS2 upłynął 17 października 2024 r.; Polska terminu nie dotrzymała.

Polski regulator sektora energetycznego. W kontekście NIS2 — organ sektorowy uzupełniający dla podmiotów energetycznych: operatorów systemów dystrybucyjnych (OSD), dystrybutorów gazu, magazynów ropy, operatorów infrastruktury wodorowej. Szczegóły w sektorowym przewodniku NIS2 w energetyce.

Załącznik do NIS2 wymieniający sektory o najwyższej krytyczności: energetyka, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna, przestrzeń kosmiczna. Podmioty z Załącznika I spełniające próg dużego przedsiębiorstwa są Podmiotami Kluczowymi.

Załącznik do NIS2 wymieniający sektory o istotnej krytyczności: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja, przetwarzanie i dystrybucja substancji chemicznych, produkcja i przetwarzanie żywności, produkcja przemysłowa (m.in. wyroby medyczne, motoryzacja, elektronika, maszyny), dostawcy usług cyfrowych (online marketplaces, wyszukiwarki, sieci społecznościowe), organizacje badawcze. Podmioty z Załącznika II spełniające próg średniego przedsiębiorstwa są Podmiotami Ważnymi (duże podmioty z niektórych podsektorów Załącznika II — także Kluczowymi).