NIS2 weszło w życie — co musisz wiedzieć jako właściciel firmy

3 kwietnia 2026 weszła w życie nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) — polska implementacja dyrektywy NIS2 (2022/2555). To największa zmiana w polskim prawie cyberbezpieczeństwa od co najmniej dekady — zarówno pod kątem liczby objętych podmiotów, jak i realnego ciężaru wymagań technicznych.

Wcześniej KSC obejmowało ~400 podmiotów. Teraz to około 42 000 firm w Polsce — według szacunków Ministerstwa Cyfryzacji zawartych w uzasadnieniu projektu nowelizacji (2024). Jeśli prowadzisz firmę w jednym z 18 sektorów krytycznych — prawdopodobnie podlegasz. Jeśli jesteś dostawcą IT albo usług chmurowych dla takiej firmy — też możesz podlegać, tyle że pośrednio (przez zapisy łańcucha dostaw w umowach).

Kogo dotyczy NIS2?

NIS2 dzieli podmioty na kluczowe (Annex I) i ważne (Annex II). Kluczowe to m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, dostawcy usług zarządzania IT, administracja publiczna. Ważne to m.in. poczta i kurierzy, gospodarka odpadami, produkcja chemikaliów, produkcja żywności, produkcja urządzeń medycznych i elektroniki, dostawcy usług cyfrowych niebędący w Annex I.

Podlegasz, jeśli spełniasz przynajmniej jeden z warunków:

• Działasz w jednym z 18 sektorów krytycznych wymienionych w załącznikach do dyrektywy
• Zatrudniasz 50+ pracowników lub masz 10+ mln EUR obrotu rocznego (próg wielkości stosuje się dla sektorów, gdzie nie ma wyjątków)
• Jesteś dostawcą IT lub usług chmurowych dla firmy objętej NIS2 — w tym przypadku obowiązki „spadają” na Ciebie przez klauzule bezpieczeństwa w umowach, a Twój klient musi to egzekwować

Uwaga: niektóre sektory — infrastruktura cyfrowa (rejestry TLD, serwery DNS, IXP-y), dostawcy usług zarządzania IT, administracja publiczna — podlegają niezależnie od wielkości firmy. Nawet jednoosobowy rejestr TLD albo 5-osobowy MSP hostujący cudzą infrastrukturę DNS jest w zakresie.

Jakie są terminy?

• 6 miesięcy (do października 2026) — samoidentyfikacja i rejestracja w wykazie podmiotów prowadzonym przez właściwy organ
• 12 miesięcy (do kwietnia 2027) — pełne wdrożenie wymagań technicznych i organizacyjnych zgodnie z Art. 21 dyrektywy
• 24 godziny — wstępne zgłoszenie poważnego incydentu do właściwego CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON zależnie od sektora)
• 72 godziny — pełny raport incydentu z oceną wpływu i klasyfikacją

Jakie kary grożą?

Maksymalne kary zostały określone w art. 34 dyrektywy NIS2 (2022/2555) i zależą od kategorii podmiotu:

• Podmiot kluczowy: do 10 mln EUR lub 2% rocznego obrotu (co wyższe)
• Podmiot ważny: do 7 mln EUR lub 1,4% rocznego obrotu
• Odpowiedzialność osobista zarządu — nie działu IT, nie administratora, zarządu. W polskiej ustawie to zostało doprecyzowane: członek zarządu może odpowiadać majątkowo, niezależnie od tego, kto realnie „klikał” w systemie

Co musisz wdrożyć technicznie? (Art. 21)

NIS2 (Art. 21 ust. 2) wymaga wdrożenia konkretnych środków zarządzania ryzykiem w cyberbezpieczeństwie. To nie jest lista życzeń — to wymóg prawny. Poniżej 10 obszarów wraz z tym, jak to wygląda w praktyce w 50-osobowej firmie z jednym administratorem.

1. Analiza ryzyka i polityki bezpieczeństwa. Na poziomie technicznym to znaczy: wiesz co masz (inwentaryzacja aktywów — serwery, stacje robocze, aplikacje SaaS, konta uprzywilejowane), wiesz czym to jest chronione i wiesz, gdzie są luki. Polityki formalne są po stronie pełnomocnika BI — ale bez rzetelnej inwentaryzacji każda polityka jest fikcją.
2. Obsługa incydentów. W praktyce — potrzebujesz co najmniej: procedury zgłoszenia (kto, do kogo, w jakiej formie), kontaktu do CSIRT zapisanego na lodówce (nie w intranecie, który akurat może być niedostępny), szablonu zgłoszenia 24h i 72h oraz logów, z których zrekonstruujesz timeline. To ostatnie zwykle spada — logów albo nie ma, albo są porozrzucane po 15 systemach, albo kasują się po 30 dniach.
3. Ciągłość działania. Backup w schemacie 3-2-1 (3 kopie, 2 różne nośniki, 1 offsite) plus realne testy odtwarzania. Backup którego nigdy nie odtwarzałeś jest teoretyczny. Minimum dla MŚP: dwa cykle odtworzenia w roku, udokumentowane, z pomiarem RTO i RPO.
4. Bezpieczeństwo łańcucha dostaw. Twoi dostawcy IT — firma hostingowa, MSP, dostawca ERP, dostawca backupu, integrator — muszą spełniać wymagania. W praktyce: aneks bezpieczeństwa do umowy, prawo do audytu, klauzule incident reporting, zapis o zgłaszaniu zmian personelu z dostępem do Twojej infrastruktury.
5. Bezpieczeństwo systemów i sieci. Hardening (wyłączone niepotrzebne usługi, domyślne hasła, patch management z SLA), segmentacja (VLAN-y i reguły firewall między produkcją, biurem, DMZ), monitoring (SIEM — np. Wazuh jako darmowy collector logów + EDR na endpointach — np. SentinelOne lub alternatywy). W 50-osobowej firmie realistyczna konfiguracja Wazuha obsługuje 30-80 endpointów, wymaga ~4 GB RAM i nie wymaga dedykowanego SOC jeśli reguły alertowe są sensownie ustawione.
6. Ocena skuteczności. Regularne testy — w MŚP zwykle: kwartalny przegląd logów SIEM, roczny vulnerability scan, co 2 lata pentest zewnętrzny (koszt 8-25k PLN). Bez testów nie wiesz, co działa.
7. Cyberhigiena i szkolenia. Szkolenie to nie godzinna prezentacja raz do roku. Minimum: onboarding każdego nowego pracownika, phishing drill raz na kwartał, krótka przypominajka po każdym głośnym incydencie w sektorze. Ludzie klikają w linki — i nic tego nie zmieni; celem jest zmniejszenie wskaźnika klikalności, nie wyzerowanie.
8. Kryptografia i szyfrowanie. Dane w spoczynku: pełna encrypcja dysków (BitLocker/LUKS), szyfrowane kopie zapasowe, szyfrowana baza danych jeśli trzyma dane osobowe. W transmisji: TLS 1.2+, nieaktualne ciphersuite wyłączone, wewnętrzne tunele (WireGuard sprawdza się w MŚP świetnie — szybki, prosty, audytowalny).
9. Kontrola dostępu. Zasada least privilege — konto użytkownika widzi tylko to, co musi. Konta uprzywilejowane (domain admin, root) są używane TYLKO gdy są potrzebne. Codzienna praca z kont standardowych. Audit trail kto, kiedy i co podniósł.
10. MFA (uwierzytelnianie wieloskładnikowe). Nie opcja — obowiązek. Priorytet: VPN, poczta, panele administracyjne, SSO, dostęp zdalny. Klucze sprzętowe (YubiKey) są bezpieczniejsze niż SMS i nieco droższe niż TOTP — ale dla kont admin są warte swojej ceny. TOTP (Authenticator, 1Password) to akceptowalne minimum dla zwykłych użytkowników.

Co zwykle zawodzi w MŚP — 5 realnych luk

Po audytach w firmach od produkcji po SaaS jest pięć luk, które powtarzają się prawie wszędzie — i prawie wszędzie można je załatać w pierwszych 4-6 tygodniach projektu:

1. Logi których nie ma albo giną za szybko. Typowy scenariusz: Windows Event Log z retencją 7 dni, brak centralnego collectora, brak alertów, admin „wie co się dzieje” dopóki się nie wydarzy. Fix: Wazuh (darmowy, self-hosted) + polityka retencji 90 dni na krytyczne źródła.
2. MFA na większości, ale nie na VPN admin albo backupie. Atakujący idzie po najsłabsze ogniwo. Fix: audyt wszystkich punktów uwierzytelnienia i doszczelnienie — zwykle 2-3 dni pracy.
3. Backup działa, ale nikt nigdy nie testował odtworzenia. Fix: jeden realny test odtworzenia kluczowego systemu do odseparowanego VLAN-u, z pomiarem czasu. Robi się to w pół dnia.
4. Brak segmentacji — wszystko w jednym VLAN-ie 192.168.1.0/24. Fix: minimum trzy strefy (produkcja, biuro, goście) + reguły firewall domyślnie blokujące. 1-3 dni pracy zależnie od bałaganu.
5. Konta po byłych pracownikach wciąż aktywne. Audit AD / Google Workspace / Microsoft 365 + lista offboardingu wpięta w proces HR. Zero kosztu, jedna zmiana procedury.

Od czego zacząć?

Nie musisz wdrażać wszystkiego naraz. Roadmapa którą zwykle polecam na start:

1. Sprawdź czy podlegasz — nasz darmowy kwalifikator odpowie w 2 minuty. Jeśli wynik jest „tak” albo „prawdopodobnie” — zacznij samoidentyfikację od razu, masz 6 miesięcy.
2. Inwentaryzacja 1-strona. Lista aktywów, lista kont uprzywilejowanych, lista dostawców IT. Nie dokument na 40 stron — jedna tabela w arkuszu, którą da się utrzymać.
3. Wdroż fundament monitoringu. SIEM (Wazuh dla MŚP, Splunk Cloud dla większych) + EDR na endpointach (SentinelOne, CrowdStrike, Bitdefender GravityZone — realnie, wszystkie są w porządku, wybór zależy od stacku i budżetu).
4. MFA wszędzie — priorytetowo na dostępach admin. Poczta, VPN, panele administracyjne, SSO. Klucze sprzętowe dla kont admin.
5. Backup 3-2-1 + realny test odtworzenia. Jeśli nie testowałeś — nie masz backupu.
6. Procedura incydentowa na kartce A4. Kto dzwoni, pod jaki numer, w jakiej kolejności, gdzie jest template zgłoszenia 24h. Wydrukuj i powieś obok serwerowni.

Potrzebujesz pomocy?

AmbroSec zajmuje się techniczną stroną NIS2 — monitoring (SIEM), ochrona endpointów (EDR), hardening sieci, backup/DR i procedury incydentowe. Nie piszę polityk, nie rejestruję za Ciebie podmiotu w KSC i nie udaję audytora ISO 27001 — to rola pełnomocnika BI lub kancelarii, a ja współpracuję z zaufanymi partnerami po tej stronie. Wdrażam to, co naprawdę chroni Twoją firmę, i zostawiam działającą infrastrukturę, którą utrzymasz sam albo w modelu retainer.

Audyt techniczny: od 2 500 PLN, 3-10 dni, raport z konkretnymi lukami i roadmapą. Wdrożenie techniczne: od 15 000 PLN, 4-16 tygodni, stawiam systemy i konfiguruję. Security retainer: od 3 500 PLN/msc, ciągły monitoring, reagowanie na incydenty, kwartalne przeglądy.