ambrosec
Wszystkie artykuły
·8 min

NIS2 weszło w życie — co musisz wiedzieć jako właściciel firmy

NIS2KSCwymagania

3 kwietnia 2026 weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) — polska implementacja dyrektywy NIS2. To największa zmiana w polskim prawie cyberbezpieczeństwa od lat.

Wcześniej KSC obejmowało ~400 podmiotów. Teraz to około 42 000 firm w Polsce. Jeśli prowadzisz firmę w jednym z 18 sektorów krytycznych — prawdopodobnie podlegasz.

Kogo dotyczy NIS2?

NIS2 dzieli podmioty na kluczowe (Annex I) i ważne (Annex II). Kluczowe to m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa. Ważne to poczta, odpady, chemikalia, żywność, produkcja.

Podlegasz, jeśli:

  • Działasz w jednym z 18 sektorów krytycznych
  • Zatrudniasz 50+ pracowników lub masz 10+ mln EUR obrotu rocznego
  • Jesteś dostawcą IT dla firmy objętej NIS2 (obowiązki z łańcucha dostaw)

Uwaga: niektóre sektory (infrastruktura cyfrowa, administracja publiczna) podlegają niezależnie od wielkości firmy.

36% specjalistów IT w Polsce nie wie, czy ich firma podlega NIS2. Pierwszym krokiem jest samoidentyfikacja — masz na to 6 miesięcy od wejścia ustawy (do października 2026).

Jakie są terminy?

  • 6 miesięcy (do października 2026) — samoidentyfikacja i rejestracja w wykazie podmiotów
  • 12 miesięcy (do kwietnia 2027) — pełne wdrożenie wymagań technicznych i organizacyjnych

Jakie kary grożą?

Kary są poważne i zależą od kategorii podmiotu:

  • Podmiot kluczowy: do 10 mln EUR lub 2% rocznego obrotu (co wyższe)
  • Podmiot ważny: do 7 mln EUR lub 1,4% rocznego obrotu
  • Odpowiedzialność osobista zarządu — nie działu IT, nie administratora, zarządu

Co musisz wdrożyć technicznie? (Art. 21)

NIS2 (Art. 21 ust. 2) wymaga wdrożenia konkretnych środków zarządzania ryzykiem w cyberbezpieczeństwie. To nie jest lista życzeń — to wymóg prawny. Oto 10 obszarów:

  1. Analiza ryzyka i polityki bezpieczeństwa — musisz wiedzieć co chronisz i przed czym
  2. Obsługa incydentów — wykrywanie, reagowanie, zgłaszanie (24h na wstępne zgłoszenie, 72h na raport)
  3. Ciągłość działania — backup, disaster recovery, plan odtwarzania
  4. Bezpieczeństwo łańcucha dostaw — Twoi dostawcy IT muszą spełniać wymagania
  5. Bezpieczeństwo systemów — hardening, aktualizacje, segmentacja sieci
  6. Ocena skuteczności — regularne testy i przeglądy zabezpieczeń
  7. Cyberhigiena i szkolenia — Twoi ludzie to pierwsza linia obrony
  8. Kryptografia i szyfrowanie — dane w spoczynku i w transmisji
  9. Kontrola dostępu — kto ma dostęp do czego, zasada least privilege
  10. MFA (uwierzytelnianie wieloskładnikowe) — obowiązek, nie opcja
To jest strona techniczna NIS2 — konkretne systemy i konfiguracje. Strona formalna (polityki, analiza ryzyka dokumentowa, rejestracja) to rola pełnomocnika BI lub prawnika. Razem = 100% NIS2.

Od czego zacząć?

Nie musisz wdrażać wszystkiego naraz. Priorytet to:

  1. Sprawdź czy podlegasz nasz darmowy kwalifikator odpowie w 2 minuty
  2. Zrób inwentaryzację — co masz, czego nie masz, gdzie są luki
  3. Wdroż monitoring — SIEM (np. Wazuh) + EDR na endpointach to fundament
  4. MFA wszędzie — poczta, VPN, panele administracyjne
  5. Backup 3-2-1 — 3 kopie, 2 nośniki, 1 offsite

Potrzebujesz pomocy?

AmbroSec zajmuje się techniczną stroną NIS2 — monitoring (SIEM), ochrona endpointów (EDR), hardening sieci, backup i procedury incydentowe. Nie piszemy polityk — wdrażamy to, co naprawdę chroni Twoją firmę.

Audyt techniczny od 2 500 PLN. Wdrożenie od 15 000 PLN. Retainer od 3 500 PLN/msc.

Sprawdź czy Twoja firma podlega NIS2

4 pytania, 2 minuty, konkretna odpowiedź. Darmowy kwalifikator od AmbroSec.

Sprawdź teraz