Przejdź do treści
nis2.org.plby AYO Solutions

NIS2 i KSC

NIS2 i ustawa KSC — kompletny przewodnik dla organizacji

NIS2 to unijne podejście do podnoszenia cyberbezpieczeństwa sektorów ważnych dla państwa, gospodarki i obywateli. W Polsce wymagania zostały wdrożone przez znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa. Organizacje objęte przepisami muszą nie tylko posiadać dokumentację, lecz przede wszystkim zarządzać ryzykiem, zapobiegać incydentom, wykrywać je, reagować, utrzymywać ciągłość i wykazywać skuteczność przyjętych środków.

Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0

Odpowiedź w 30 sekund

  • NIS2 rozszerza liczbę sektorów i organizacji objętych obowiązkami
  • polska ustawa posługuje się kategoriami podmiotu kluczowego i ważnego
  • kierownik podmiotu lub zarząd odpowiada za nadzór i decyzje
  • wymagane są adekwatne i proporcjonalne środki organizacyjne oraz techniczne
  • podstawą programu są zakres, BIA, analiza ryzyka, SZBI, incydenty, ciągłość, dostawcy, szkolenia i testy

Czym jest NIS2?

Dyrektywa NIS2 ustanawia wspólny poziom cyberbezpieczeństwa w Unii Europejskiej. Jej celem nie jest narzucenie jednego produktu technologicznego. Celem jest zbudowanie zdolności organizacji do zarządzania ryzykiem i odpornego świadczenia ważnych usług.

W praktyce oznacza to konieczność odpowiedzi na pytania:

  • jakie usługi i procesy są krytyczne
  • od jakich systemów, danych, ludzi i dostawców zależą
  • jakie scenariusze mogą przerwać ich działanie
  • jakie zabezpieczenia ograniczają prawdopodobieństwo i skutki
  • jak organizacja wykryje incydent
  • kto podejmie decyzje i jak będzie komunikował
  • jak szybko organizacja odtworzy działalność
  • jakie dowody potwierdzą, że przyjęte środki działają

NIS2 a polska ustawa KSC

Dyrektywa wyznacza ramy europejskie, natomiast konkretne obowiązki w Polsce wynikają z aktualnej ustawy o krajowym systemie cyberbezpieczeństwa oraz aktów wykonawczych i komunikatów właściwych organów. Dlatego organizacja nie powinna opierać wdrożenia wyłącznie na zagranicznych checklistach NIS2.

Polskie elementy wymagające szczególnej uwagi to między innymi:

  • wpis do Wykazu KSC
  • system S46
  • relacja z właściwym CSIRT i organem właściwym
  • osoby wyznaczone do kontaktu
  • sposób prowadzenia dokumentacji bezpieczeństwa
  • terminy raportowania incydentów
  • audyt podmiotów kluczowych
  • odpowiedzialność kierownika podmiotu
  • wymagania dotyczące personelu realizującego określone zadania

Główne obszary środków bezpieczeństwa

Organizacja powinna objąć systemem zarządzania co najmniej następujące obszary:

  1. polityki bezpieczeństwa i analizę ryzyka
  2. bezpieczne pozyskiwanie, rozwój, utrzymanie i testowanie systemów
  3. bezpieczeństwo fizyczne i środowiskowe
  4. bezpieczeństwo personelu
  5. łańcuch dostaw
  6. ciągłość działania, plany awaryjne i odtworzeniowe
  7. monitoring i ocenę skuteczności
  8. szkolenia i cyberhigienę
  9. kryptografię i szyfrowanie
  10. bezpieczną komunikację i uwierzytelnianie wieloskładnikowe tam, gdzie jest to zasadne
  11. zarządzanie aktywami i dostępem
  12. zarządzanie podatnościami, aktualizacjami i incydentami

Co zarząd powinien wiedzieć?

Co zarząd powinien wiedzieć?

Zarząd nie musi samodzielnie konfigurować zabezpieczeń ani pisać procedur. Musi jednak zapewnić, że organizacja:

  • posiada właściwy zakres programu
  • ma przydzielone role i budżet
  • regularnie ocenia ryzyko
  • wdraża adekwatne środki
  • monitoruje postęp i skuteczność
  • usuwa zidentyfikowane niezgodności
  • podejmuje świadome decyzje o ryzyku rezydualnym
  • zapewnia coroczne, udokumentowane szkolenie osób objętych wymaganiem ustawowym
  • posiada mechanizm szybkiej eskalacji incydentów

Największym błędem zarządczym jest formalne przekazanie całego projektu do IT bez ustanowienia właścicieli biznesowych i mechanizmu decyzji.

Jak wygląda prawidłowe wdrożenie?

Prawidłowe wdrożenie nie zaczyna się od wyboru systemu SIEM ani zakupu dokumentacji. Zaczyna się od mandatu zarządu, kwalifikacji, zakresu, audytu stanu obecnego, BIA i analizy ryzyka. Dopiero potem można odpowiedzialnie określić priorytety, polityki, zabezpieczenia i budżet.

  1. kwalifikacja i zakres
  2. governance i plan programu
  3. audyt GAP
  4. BIA
  5. inwentaryzacja aktywów i zależności
  6. analiza ryzyka
  7. docelowy model SZBI i dokumentacji
  8. plan remediacji
  9. wdrożenie procesów i technologii
  10. testy, ćwiczenia i audyt wewnętrzny
  11. przegląd zarządczy
  12. ciągłe doskonalenie

Czego NIS2 nie oznacza

  • nie oznacza obowiązku certyfikacji ISO 27001, chyba że wynika to z innego zobowiązania
  • nie oznacza zakupu konkretnej marki lub klasy produktu w każdej organizacji
  • nie oznacza przeniesienia pełnej odpowiedzialności na dostawcę usług IT
  • nie oznacza, że polityka bezpieczeństwa bez dowodów działania wystarczy
  • nie oznacza, że wszystkie systemy muszą mieć identyczny poziom zabezpieczeń
  • nie oznacza, że zgodność osiąga się jednorazowo

Następny krok

Sprawdź, czy organizacja podlega NIS2/KSC.

Powiązane materiały

Źródła i podstawa opracowania

Igor Bielecki

CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA

O zespole

Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.

Porozmawiajmy o Twojej sytuacji

Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.

igor.bielecki@gmail.com