Jak wdrożyć
Praktyczne wskazówki: jak prowadzić program NIS2
Największe ryzyko porażki nie wynika z braku kolejnej polityki ani narzędzia. Wynika z błędnego modelu odpowiedzialności. Jeżeli program zostanie przekazany wyłącznie IT, biznes nie określi wymagań ciągłości, dostawcy pozostaną poza kontrolą, a zarząd nie będzie podejmował decyzji o ryzyku i budżecie.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- NIS2 to program całej organizacji, nie projekt działu IT
- zarząd nadaje mandat i decyduje o ryzyku oraz budżecie
- biznes jest właścicielem procesów, RTO/RPO i obejść
- CIO koordynuje, CISO prowadzi metodykę, strumienie wykonują
- raportuj ryzyko, nie liczbę zamkniętych zadań
Zasada pierwsza: to projekt całej organizacji
- Zarząd odpowiada za mandat, nadzór, zasoby i decyzje.
- CIO może być dyrektorem programu i koordynatorem, ale nie powinien przejmować własności procesów biznesowych ani samodzielnie akceptować ryzyk należących do innych obszarów.
- Dyrektorzy biznesowi są właścicielami swoich procesów, skutków przerw, wymagań RTO/RPO, obejść i działań naprawczych.
- CISO lub funkcja bezpieczeństwa prowadzi metodykę ryzyka, SZBI, monitorowanie i doradztwo.
- IT i OT projektują i utrzymują środki techniczne zgodne z wymaganiami biznesowymi.
- Prawo, compliance, HR i zakupy odpowiadają za swoje procesy, dokumenty i kontrole.
Rekomendowana struktura organizacyjna
Komitet Sterujący
Skład minimalny: sponsor z zarządu, CIO/dyrektor programu, CISO lub osoba odpowiedzialna za SZBI, dyrektor operacyjny lub produkcyjny, dyrektor finansowy, przedstawiciel prawa/compliance, HR, zakupy oraz właściciele najważniejszych procesów zależnie od agendy.
- zatwierdzenie zakresu, metodyki i kryteriów ryzyka
- decyzje budżetowe i usuwanie konfliktów priorytetów
- nadzór nad opóźnieniami i ryzykami programu
- akceptacja ryzyka rezydualnego na odpowiednim poziomie
- zatwierdzenie gotowości i nadzór nad doskonaleniem
CIO — dyrektor programu
- integruje plan i zależności, prowadzi raportowanie
- przygotowuje decyzje dla Komitetu i eskaluje blokady
- pilnuje, aby rozwiązania technologiczne wynikały z BIA i ryzyka
- nie podpisuje za biznes parametrów BIA ani nie akceptuje wszystkich ryzyk
Strumienie robocze
| Strumień | Lider | Główne produkty |
|---|---|---|
| Zakres, prawo i compliance | Prawo/Compliance | kwalifikacja, rejestr wymagań, S46, odpowiedzialności |
| BIA i ciągłość | dyrektorzy biznesowi + BC manager | BIA, RTO/RPO, BCP, scenariusze, testy |
| Ryzyko, SZBI i dokumentacja | CISO/SZBI | metodyka, rejestr ryzyk, polityki, dowody |
| Technologia IT/OT | CIO/IT/OT | architektura zabezpieczeń, projekty remediacyjne, monitoring |
| Incydenty i kryzysy | CISO + komunikacja + prawo | IRP, playbooki, raportowanie, komunikacja |
| Dostawcy i umowy | Zakupy + Prawo | klasyfikacja, oceny, klauzule, plany wyjścia |
| Ludzie i szkolenia | HR + Security Awareness | szkolenia, JML, role, zastępstwa, ewidencja |
| Audyt, testy i skuteczność | Audyt wewnętrzny / niezależna funkcja | plan audytu, testy, KPI/KRI, działania korygujące |
Macierz odpowiedzialności
| Obszar | Decyzja (A) | Wykonanie (R) | Konsultowani / informowani |
|---|---|---|---|
| Zakres programu | Zarząd / sponsor | CIO + Prawo | CISO, biznes, compliance |
| BIA i krytyczność | właściwy dyrektor biznesowy | właściciel procesu | IT, finanse, ryzyko |
| RTO i RPO | dyrektor biznesowy | właściciel procesu + IT | CISO, dostawcy |
| Metodyka ryzyka | Zarząd lub Komitet | CISO/SZBI | CIO, biznes, audyt |
| Plan techniczny | CIO | IT/OT | CISO, biznes, finanse |
| Akceptacja ryzyka | właściciel ryzyka zgodnie z progiem | CISO przygotowuje ocenę | Zarząd, audyt |
| Incydent krytyczny | kierownik podmiotu / sztab | lider incydentu | Prawo, PR, IT, biznes |
| Dostawca krytyczny | właściciel biznesowy usługi | Zakupy | Prawo, CISO, IT |
| Gotowość do audytu | Zarząd | CIO/CISO/PMO | audyt wewnętrzny i właściciele |
Rytm spotkań i raportowania
- faza diagnozy i remediacji: strumienie co tydzień, PMO z liderami co tydzień, Komitet co dwa tygodnie, raport do zarządu miesięcznie (częściej przy ryzykach krytycznych)
- po stabilizacji: przegląd operacyjny miesięcznie, Komitet lub przegląd zarządczy kwartalnie, pełny przegląd SZBI co najmniej raz w roku oraz po istotnej zmianie lub incydencie
Jednostronicowy dashboard Komitetu
- status ogólny: zakres, czas, budżet, ryzyko
- kluczowe kamienie milowe
- pięć największych ryzyk programu
- decyzje wymagane od Komitetu
- status działań krytycznych
- status BIA, ryzyka, dokumentów, technologii i testów
- gotowość dowodowa
- budżet: plan, wykonanie, forecast
- opóźnienia właścicieli
- korzyści: skrócenie odtworzenia, zasięg MFA/EDR, skuteczność backupu, czas reakcji
Jak ustalać priorytety
Stosować ocenę wielokryterialną: ryzyko dla procesów krytycznych, obowiązek prawny, prawdopodobieństwo scenariusza, skala skutku, brak alternatywnego obejścia, czas wdrożenia, zależności, koszt i możliwość szybkiego ograniczenia ryzyka. Najpierw usuwać luki, które mogą prowadzić do zatrzymania krytycznej usługi albo uniemożliwić odtworzenie — nawet jeżeli przygotowanie kompletnej dokumentacji jest łatwiejsze.
Dziesięć praktycznych zasad
- Nie zaczynaj od listy zakupowej.
- Nie deleguj BIA do IT.
- Nie przyjmuj RTO bez kosztowej i technicznej weryfikacji.
- Nie nazywaj backupu planem ciągłości.
- Nie zbieraj logów bez scenariuszy detekcji i obsługi.
- Nie wdrażaj DLP bez klasyfikacji informacji i procesu wyjątków.
- Nie uznawaj dokumentu za wdrożony bez dowodu działania.
- Nie oceniaj dostawcy tylko w dniu podpisania umowy.
- Nie raportuj zarządowi liczby zamkniętych zadań bez informacji o ryzyku.
- Nie kończ programu w dniu audytu.
Nie kupuj, zanim…
- Nie kupuj SIEM, zanim nie ustalisz źródeł, scenariuszy i obsługi alertów.
- Nie buduj środowiska DR, zanim biznes nie zatwierdzi RTO i RPO.
- Nie wdrażaj DLP przed klasyfikacją informacji.
- Nie kupuj XDR tylko dlatego, że posiadasz EDR.
- Nie twórz dziesiątek polityk bez właścicieli i zapisów.
- Nie zlecaj odpowiedzialności za NIS2 dostawcy IT.
Porozmawiaj o modelu programu
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com