Jak wdrożyć
Jak wdrożyć NIS2/KSC — praktyczna roadmapa
Najskuteczniejszy program łączy trzy perspektywy: biznesową, organizacyjną i technologiczną. Każdy etap powinien kończyć się decyzją, właścicielem, mierzalnym rezultatem i dowodem wykonania.
Autor: Igor BieleckiAktualizacja: 2026-07-10Stan prawny: 10 lipca 2026 r.Wersja: 1.0
Odpowiedź w 30 sekund
- nadaj programowi mandat zarządu
- zacznij od zakresu i audytu GAP
- wykonaj BIA przed projektowaniem backupu i DR
- przeprowadź analizę ryzyka przed zakupem technologii
- buduj SZBI jako system zarządzania, nie zbiór plików
- testuj działanie i raportuj do Komitetu Sterującego
Etap 0 — mandat, kwalifikacja i zakres
Cel: upewnić się, że organizacja wie, dlaczego prowadzi program, czego dotyczy zakres i kto podejmuje decyzje.
- potwierdzenie kwalifikacji
- określenie usług i jednostek objętych zakresem
- wskazanie sponsora i powołanie Komitetu Sterującego
- wyznaczenie CIO lub innego dyrektora programu
- utworzenie strumieni i właścicieli
- przyjęcie zasad raportowania i eskalacji
- zabezpieczenie budżetu na diagnozę
Produkty: karta programu, zakres, governance, RACI, harmonogram audytu, rejestr interesariuszy. Bramka: zatwierdzenie zakresu i mandatu przez zarząd.
Etap 1 — audyt GAP
Cel: ustalić stan faktyczny, nie deklarowany. Audyt powinien łączyć przegląd dokumentów, wywiady, próbki dowodów i weryfikację techniczną. Wynik ma pokazać: wymaganie, stan obecny, istniejący dowód, lukę, ryzyko, rekomendację, właściciela, szacowany wysiłek, priorytet oraz szybkie działania ograniczające ryzyko.
Nie wystarczy zaznaczyć „polityka istnieje”. Trzeba sprawdzić, czy proces jest stosowany, czy rejestry są aktualne, a zabezpieczenia działają.
Etap 2 — BIA
Cel: ustalić priorytety biznesowe i wymagania odtworzeniowe. BIA powinna zostać przeprowadzona z właścicielami procesów. Dla każdego procesu określa się:
- produkty lub usługi, klientów i zobowiązania
- skutki przerwy w czasie
- MTPD lub maksymalny tolerowany okres zakłócenia
- minimalny akceptowalny poziom działania
- RTO procesu i wspierających zasobów oraz RPO dla danych
- zależności od ludzi, lokalizacji, IT, OT, dostawców, energii i komunikacji
- możliwe obejścia manualne i kolejność odtwarzania
Bramka: zatwierdzenie procesów krytycznych, RTO i RPO przez biznes.
Etap 3 — aktywa i analiza ryzyka
- stworzenie mapy usług i zależności
- uporządkowanie rejestru aktywów i klasyfikacja informacji
- identyfikacja zagrożeń i podatności
- ocena prawdopodobieństwa oraz skutku i istniejących kontroli
- określenie ryzyka rezydualnego i wybór sposobu postępowania
- zatwierdzenie planu i właścicieli
Analiza nie może być anonimową tabelą przygotowaną przez konsultanta. Właściciel ryzyka musi rozumieć scenariusz i podjąć decyzję.
Etap 4 — docelowy SZBI i dokumentacja
Nie tworzyć osobnej polityki dla każdego zdania ustawy. Łączyć tematy logicznie i dopasować dokumentację do rzeczywistego modelu działania. Dla każdego procesu opisać: cel i zakres, właściciela, role, wejścia i wyjścia, kroki, częstotliwość, kryteria eskalacji, wymagane zapisy, KPI lub KRI, wyjątki oraz przegląd i doskonalenie.
Etap 5 — remediacja
- governance: role, komitety, raportowanie, ryzyko
- biznes: BCP, obejścia, dostawcy, wymagania dostępności
- ludzie: szkolenia, JML, odpowiedzialność, zastępstwa
- proces: incydenty, zmiany, podatności, dostęp, backup
- technologia: środki wybrane na podstawie ryzyka
- dowody: rejestry, raporty, wyniki testów i decyzje
Priorytet ustalać według połączenia: ryzyko, krytyczność procesu, obowiązek, zależności, czas wdrożenia i koszt.
Etap 6 — testy i ćwiczenia
- odtworzenie kopii oraz realizacja RTO i RPO
- scenariusz ransomware
- niedostępność kluczowego dostawcy
- utrata lokalizacji lub systemu
- komunikacja, eskalacja i raportowanie incydentu
- dostępy awaryjne i wykrywanie najważniejszych scenariuszy
- działanie zastępstw personalnych
Ćwiczenie ma kończyć się raportem, listą problemów, właścicielami i terminami. Samo stwierdzenie „test zakończony sukcesem” nie jest wystarczającym dowodem.
Etap 7 — gotowość i ciągłe doskonalenie
- audyt wewnętrzny i przegląd zarządczy
- status działań naprawczych i akceptacja ryzyka rezydualnego
- plan audytu zewnętrznego i cykl KPI/KRI
- aktualizacja po zmianach, incydentach i testach
- coroczne szkolenia i ćwiczenia
- okresowe przeglądy dostawców oraz uprawnień
Minimalny harmonogram 12-miesięczny
| Okres | Główne rezultaty |
|---|---|
| Miesiące 1–2 | zakres, governance, audyt GAP, szybkie działania |
| Miesiące 2–4 | BIA, mapa usług, aktywa, analiza ryzyka |
| Miesiące 4–6 | projekt SZBI, dokumenty krytyczne, plan remediacji i budżet |
| Miesiące 5–10 | wdrożenie procesów, dostawców, szkoleń i technologii |
| Miesiące 8–11 | testy backupu/DR, ćwiczenia incydentowe, pomiary |
| Miesiące 11–12 | audyt wewnętrzny, poprawki, przegląd zarządu i gotowość |
Zacznij od rzetelnej diagnozy
Powiązane materiały
Źródła i podstawa opracowania
Igor Bielecki
CIO/CISO, praktyk wdrażający NIS2/KSC jako podmiot kluczowy · PMP · PRINCE2 · ITIL · MBA
Materiały mają charakter edukacyjny i nie stanowią opinii prawnej ani gwarancji zgodności. Zakres obowiązków zależy od indywidualnej sytuacji organizacji, aktualnych przepisów, aktów wykonawczych i stanowisk właściwych organów. Przed podjęciem decyzji wymagającej interpretacji prawa należy przeprowadzić analizę odpowiednią dla danego podmiotu.
Porozmawiajmy o Twojej sytuacji
Bezpłatna, ok. 15-minutowa rozmowa: kwalifikacja, terminy, poziom przygotowania i sensowny pierwszy krok. Bez zobowiązań.
igor.bielecki@gmail.com