{"id":3698,"date":"2025-02-07T14:00:48","date_gmt":"2025-02-07T14:00:48","guid":{"rendered":"https:\/\/sawaryn.com\/?p=3698"},"modified":"2026-04-08T07:03:36","modified_gmt":"2026-04-08T07:03:36","slug":"dyrektywa-nis-2-nowa-era-cyberbezpieczenstwa-w-unii-europejskiej","status":"publish","type":"post","link":"https:\/\/sawaryn.com\/en\/publikacje\/dyrektywa-nis-2-nowa-era-cyberbezpieczenstwa-w-unii-europejskiej\/","title":{"rendered":"Dyrektywa NIS-2 \u2013 nowa era cyberbezpiecze\u0144stwa w Unii Europejskiej"},"content":{"rendered":"<h1>Dyrektywa NIS-2 \u2013 co oznacza dla Twojej firmy i jak si\u0119 przygotowa\u0107<\/h1>\n<p>Dyrektywa NIS-2 rozszerza obowi\u0105zki z zakresu cyberbezpiecze\u0144stwa na nowe sektory i wi\u0119cej podmiot\u00f3w. Polska nie wdro\u017cy\u0142a przepis\u00f3w w terminie (pa\u017adziernik 2024), ale wymogi dyrektywy ju\u017c teraz wp\u0142ywaj\u0105 na to, jak powiniene\u015b zarz\u0105dza\u0107 bezpiecze\u0144stwem IT, raportowa\u0107 incydenty i kontrolowa\u0107 \u0142a\u0144cuch dostaw. Poni\u017cej znajdziesz konkretne informacje: kogo dotycz\u0105 przepisy, jakie obowi\u0105zki nak\u0142adaj\u0105 i co zrobi\u0107, \u017ceby si\u0119 dostosowa\u0107.<\/p>\n<h2>Dlaczego NIS-2 ma znaczenie dla Twojego biznesu<\/h2>\n<p>Liczba cyberatak\u00f3w ro\u015bnie lawinowo. Ich skutki dotykaj\u0105 realnych proces\u00f3w \u2013 od zak\u0142\u00f3cenia dostaw energii, przez przerwy w us\u0142ugach zdrowotnych, po wycieki danych klient\u00f3w. NIS-2 odpowiada na te zagro\u017cenia, obejmuj\u0105c regulacjami nie tylko du\u017ce korporacje, ale te\u017c mniejsze podmioty dzia\u0142aj\u0105ce w sektorach wra\u017cliwych na ataki.<\/p>\n<h2>Implementacja NIS-2 w Polsce<\/h2>\n<p>Dyrektywa NIS-2 (Network and Information Security) to zaktualizowana wersja <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/dyrektywa-nis-2-nowa-era-cyberbezpieczenstwa-w-unii-europejskiej\/\">pierwotnej dyrektywy NIS z 2016 roku<\/a><\/strong>. Jej cel: podniesienie poziomu cyberbezpiecze\u0144stwa w Europie przez rozszerzenie zakresu regulacji i zaostrzenie obowi\u0105zk\u00f3w.<\/p>\n<h3>Aktualny stan wdro\u017cenia<\/h3>\n<ul>\n<li>Termin na implementacj\u0119 up\u0142yn\u0105\u0142 w <strong>pa\u017adzierniku 2024 roku<\/strong>.<\/li>\n<li>Polska nie dotrzyma\u0142a tego terminu \u2013 nowelizacja ustawy o cyberbezpiecze\u0144stwie jest nadal w toku.<\/li>\n<li>Oznacza to, \u017ce Polska pozostaje w op\u00f3\u017anieniu wzgl\u0119dem unijnych wymog\u00f3w, ale kierunek zmian jest przes\u0105dzony.<\/li>\n<\/ul>\n<p>Niezale\u017cnie od stanu polskiej legislacji \u2013 warto dostosowa\u0107 organizacj\u0119 ju\u017c teraz, zanim przepisy wejd\u0105 w \u017cycie.<\/p>\n<h2>Kogo dotyczy dyrektywa NIS-2<\/h2>\n<p>Przepisy obejmuj\u0105 szeroki zakres podmiot\u00f3w z sektora publicznego i prywatnego. Dyrektywa wprowadza podzia\u0142 na dwie kategorie:<\/p>\n<ul>\n<li><strong>Podmioty kluczowe<\/strong> \u2013 np. dostawcy energii, transportu, opieki zdrowotnej.<\/li>\n<li><strong>Podmioty wa\u017cne<\/strong> \u2013 np. instytucje finansowe, firmy telekomunikacyjne, us\u0142ugi pocztowe, produkcja i przetwarzanie \u017cywno\u015bci.<\/li>\n<\/ul>\n<p>Przepisy dotycz\u0105 g\u0142\u00f3wnie \u015brednich i du\u017cych firm, ale obejmuj\u0105 te\u017c mniejsze podmioty, je\u015bli ich dzia\u0142alno\u015b\u0107 ma znaczenie dla bezpiecze\u0144stwa cyfrowego.<\/p>\n<h3>Sektory obj\u0119te regulacj\u0105<\/h3>\n<ol>\n<li><strong>Energetyka<\/strong> \u2013 wytwarzanie, przesy\u0142 i dystrybucja energii elektrycznej, gazu, ropy naftowej.<\/li>\n<li><strong>Transport<\/strong> \u2013 operatorzy infrastruktury drogowej, kolejowej, port\u00f3w i lotnisk.<\/li>\n<li><strong>Sektor zdrowotny<\/strong> \u2013 szpitale, plac\u00f3wki medyczne, laboratoria, dostawcy technologii medycznych.<\/li>\n<li><strong>Finanse i bankowo\u015b\u0107<\/strong> \u2013 instytucje finansowe, banki, firmy obs\u0142uguj\u0105ce p\u0142atno\u015bci.<\/li>\n<li><strong>Dostawcy us\u0142ug IT<\/strong> \u2013 us\u0142ugi w chmurze, hosting, zarz\u0105dzanie infrastruktur\u0105 IT.<\/li>\n<li><strong>Dostawcy wody pitnej i gospodarka wodno-\u015bciekowa<\/strong> \u2013 przedsi\u0119biorstwa odpowiedzialne za dostawy wody i oczyszczanie \u015bciek\u00f3w.<\/li>\n<li><strong>Administracja publiczna<\/strong> \u2013 urz\u0119dy pa\u0144stwowe i samorz\u0105dowe przetwarzaj\u0105ce dane i zapewniaj\u0105ce us\u0142ugi administracyjne.<\/li>\n<\/ol>\n<h3>Wy\u0142\u0105czenia<\/h3>\n<p>Dyrektywa wyklucza <strong>mikro i ma\u0142e przedsi\u0119biorstwa<\/strong> \u2013 z jednym wyj\u0105tkiem: je\u015bli ich dzia\u0142alno\u015b\u0107 ma znaczenie dla infrastruktury krytycznej. Przyk\u0142ad: ma\u0142a firma IT obs\u0142uguj\u0105ca systemy informatyczne szpitali mo\u017ce zosta\u0107 obj\u0119ta regulacjami mimo niewielkich rozmiar\u00f3w.<\/p>\n<h3>Kiedy NIS-2 obowi\u0105zuje mikro, ma\u0142e i \u015brednie przedsi\u0119biorstwa<\/h3>\n<p>Cho\u0107 wiele mniejszych firm nie podlega NIS-2 bezpo\u015brednio, dyrektywa obejmuje je w trzech sytuacjach:<\/p>\n<ol>\n<li><strong>Zakwalifikowanie jako podmiot kluczowy lub wa\u017cny<\/strong> \u2013 Ministerstwo Cyfryzacji mo\u017ce uzna\u0107 przedsi\u0119biorstwo za niezb\u0119dne dla funkcjonowania spo\u0142ecze\u0144stwa lub gospodarki (np. w kontek\u015bcie infrastruktury krytycznej).<\/li>\n<li><strong>Rola w \u0142a\u0144cuchu dostaw<\/strong> \u2013 je\u015bli Twoja firma \u015bwiadczy us\u0142ugi lub dostarcza produkty dla podmiot\u00f3w kluczowych lub wa\u017cnych, musisz wdro\u017cy\u0107 odpowiednie \u015brodki bezpiecze\u0144stwa, nawet je\u015bli nie jeste\u015b obj\u0119ty dyrektyw\u0105 bezpo\u015brednio.<\/li>\n<li><strong>Spe\u0142nianie kryteri\u00f3w sektorowych<\/strong> \u2013 je\u015bli \u015bwiadczysz us\u0142ugi w sektorze obj\u0119tym dyrektyw\u0105 (np. infrastruktura cyfrowa, produkcja sprz\u0119tu medycznego), mo\u017cesz zosta\u0107 zakwalifikowany jako podmiot kluczowy lub wa\u017cny.<\/li>\n<\/ol>\n<p>Przyk\u0142ad: przedsi\u0119biorstwo dostarczaj\u0105ce wod\u0119 i oczyszczaj\u0105ce \u015bcieki w du\u017cych miastach \u2013 jego dzia\u0142alno\u015b\u0107 jest niezb\u0119dna do zapewnienia podstawowych us\u0142ug publicznych.<\/p>\n<h2>Jak sprawdzi\u0107, czy dyrektywa dotyczy Twojej firmy<\/h2>\n<p>Sprawd\u017a trzy rzeczy:<\/p>\n<ol>\n<li><strong>Sektor<\/strong> \u2013 czy Twoja firma dzia\u0142a w jednym z sektor\u00f3w wymienionych w za\u0142\u0105czniku I lub II do NIS-2.<\/li>\n<li><strong>Wielko\u015b\u0107<\/strong> \u2013 czy zatrudniasz ponad 50 pracownik\u00f3w lub osi\u0105gasz roczny obr\u00f3t powy\u017cej 10 mln EUR \/ sum\u0119 bilansow\u0105 powy\u017cej 43 mln EUR.<\/li>\n<li><strong>Rola w \u0142a\u0144cuchu dostaw<\/strong> \u2013 czy \u015bwiadczysz us\u0142ugi dla podmiot\u00f3w kluczowych lub wa\u017cnych.<\/li>\n<\/ol>\n<p>Je\u015bli spe\u0142niasz warunek 1 i 2 \u2013 z du\u017cym prawdopodobie\u0144stwem musisz dostosowa\u0107 si\u0119 do NIS-2. Je\u015bli spe\u0142niasz warunek 3 \u2013 sprawd\u017a, czy Twoi kontrahenci nie wymagaj\u0105 od Ciebie wdro\u017cenia okre\u015blonych standard\u00f3w bezpiecze\u0144stwa.<\/p>\n<h2>Najwa\u017cniejsze zmiany wprowadzone przez NIS-2<\/h2>\n<h3>Rozszerzenie zakresu sektorowego<\/h3>\n<p>NIS-2 nak\u0142ada obowi\u0105zki cyberbezpiecze\u0144stwa na bran\u017ce, kt\u00f3re wcze\u015bniej nie by\u0142y obj\u0119te regulacjami. Wi\u0119cej firm z energetyki, transportu, zdrowia i finans\u00f3w musi spe\u0142nia\u0107 okre\u015blone standardy ochrony.<\/p>\n<h3>Podzia\u0142 podmiot\u00f3w na kluczowe i wa\u017cne<\/h3>\n<p>Podmioty kluczowe (np. w sektorze energetycznym) musz\u0105 spe\u0142nia\u0107 bardziej rygorystyczne wymagania. Podmioty wa\u017cne maj\u0105 \u0142agodniejszy re\u017cim, ale nadal podlegaj\u0105 obowi\u0105zkom w zakresie zarz\u0105dzania ryzykiem i raportowania.<\/p>\n<h3>Zaostrzenie wymaga\u0144 dotycz\u0105cych cyberbezpiecze\u0144stwa<\/h3>\n<ul>\n<li>Wi\u0119kszy nacisk na ochron\u0119 ca\u0142ego \u0142a\u0144cucha dostaw.<\/li>\n<li>Obowi\u0105zek monitorowania i zabezpieczania system\u00f3w IT w spos\u00f3b zapewniaj\u0105cy ci\u0105g\u0142o\u015b\u0107 operacji.<\/li>\n<li>Wym\u00f3g stosowania nowoczesnych metod obrony przed cyberatakami.<\/li>\n<li>Wzmocnione obowi\u0105zki informacyjne wobec organ\u00f3w nadzorczych.<\/li>\n<\/ul>\n<h3>Nowe obowi\u0105zki raportowania incydent\u00f3w<\/h3>\n<p>Firmy i instytucje musz\u0105 szybko informowa\u0107 organy nadzorcze o cyberatakach i zagro\u017ceniach wp\u0142ywaj\u0105cych na stabilno\u015b\u0107 ich system\u00f3w. Wymaga to wdro\u017cenia procedur wykrywania i zg\u0142aszania incydent\u00f3w w kr\u00f3tkim czasie po ich wyst\u0105pieniu.<\/p>\n<h3>Wysokie kary za naruszenia<\/h3>\n<p>Przedsi\u0119biorstwa mog\u0105 zosta\u0107 ukarane grzywnami si\u0119gaj\u0105cymi nawet kilku milion\u00f3w euro. Dla du\u017cych firm kary mog\u0105 by\u0107 wyra\u017cone jako <strong>do 2% rocznego obrotu<\/strong>.<\/p>\n<h2>Obowi\u0105zki przedsi\u0119biorc\u00f3w wynikaj\u0105ce z NIS-2<\/h2>\n<h3>Dynamiczna analiza ryzyka<\/h3>\n<p>Przeprowadzaj ci\u0105g\u0142\u0105 analiz\u0119 ryzyka uwzgl\u0119dniaj\u0105c\u0105 zar\u00f3wno obecne, jak i nowe zagro\u017cenia. Na bie\u017c\u0105co aktualizuj strategie ochrony \u2013 reaguj na nowe typy atak\u00f3w, zmieniaj\u0105ce si\u0119 techniki haker\u00f3w i nowe podatno\u015bci w systemach.<\/p>\n<h3>Polityka bezpiecze\u0144stwa system\u00f3w IT<\/h3>\n<p>Wdr\u00f3\u017c polityk\u0119 bezpiecze\u0144stwa system\u00f3w IT. Pomocna jest norma <strong>ISO 27001<\/strong> \u2013 okre\u015bla zasady tworzenia, wdra\u017cania i utrzymywania systemu zarz\u0105dzania bezpiecze\u0144stwem informacji (ISMS), co pomaga w identyfikacji zagro\u017ce\u0144 i implementacji \u015brodk\u00f3w zaradczych.<\/p>\n<h3>Obs\u0142uga incydent\u00f3w cybernetycznych<\/h3>\n<p>Opracuj system zarz\u0105dzania incydentami obejmuj\u0105cy trzy poziomy:<\/p>\n<ol>\n<li><strong>Zapobieganie<\/strong> \u2013 aktualizowanie oprogramowania, zabezpieczanie system\u00f3w, edukowanie pracownik\u00f3w.<\/li>\n<li><strong>Wykrywanie<\/strong> \u2013 systemy monitorowania, wykrywanie intruz\u00f3w (IDS), logowanie zdarze\u0144.<\/li>\n<li><strong>Reagowanie<\/strong> \u2013 plany przywracania dzia\u0142alno\u015bci (BCP \u2013 Business Continuity Plan), komunikacja z interesariuszami, analizy post-incydentowe.<\/li>\n<\/ol>\n<h3>Raportowanie incydent\u00f3w do CSIRT<\/h3>\n<p>Zg\u0142aszaj incydenty cybernetyczne do zespo\u0142\u00f3w reagowania na incydenty komputerowe (CSIRT \u2013 zesp\u00f3\u0142 odpowiedzialny za koordynacj\u0119 reakcji na ataki) w ci\u0105gu <strong>24 godzin<\/strong> od wykrycia powa\u017cnego incydentu wp\u0142ywaj\u0105cego na ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania organizacji.<\/p>\n<h3>Bezpiecze\u0144stwo \u0142a\u0144cucha dostaw<\/h3>\n<p>Zwi\u0119ksz kontrol\u0119 nad podwykonawcami i dostawcami us\u0142ug cyfrowych. Monitoruj, oceniaj i kontroluj ryzyka zwi\u0105zane z partnerami zewn\u0119trznymi \u2013 od dostawc\u00f3w sprz\u0119tu po firmy \u015bwiadcz\u0105ce us\u0142ugi IT. Wdr\u00f3\u017c procedury zapewniaj\u0105ce <strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/twoje-dane-w-obcych-rekach-jak-bezpiecznie-powierzac-przetwarzanie-danych\/\">bezpiecze\u0144stwo informacji w ca\u0142ym ekosystemie dostawc\u00f3w<\/a><\/strong>.<\/p>\n<h2>Co to oznacza w praktyce<\/h2>\n<p>Ka\u017cda organizacja obj\u0119ta NIS-2 musi podj\u0105\u0107 cztery grupy dzia\u0142a\u0144:<\/p>\n<ol>\n<li><strong>Opracowa\u0107 polityki i procedury<\/strong> umo\u017cliwiaj\u0105ce identyfikacj\u0119, ocen\u0119 i minimalizacj\u0119 ryzyka zwi\u0105zanego z cyberzagro\u017ceniami.<\/li>\n<li><strong>Wdro\u017cy\u0107 procedury raportowania<\/strong> \u2013 zg\u0142aszanie ka\u017cdego powa\u017cnego incydentu do organ\u00f3w nadzorczych w ci\u0105gu 24 godzin.<\/li>\n<li><strong>Zastosowa\u0107 \u015brodki techniczne<\/strong>, takie jak:\n<ul>\n<li>instalowanie zap\u00f3r ogniowych (firewall),<\/li>\n<li>u\u017cywanie oprogramowania do wykrywania intruz\u00f3w,<\/li>\n<li>regularne audyty bezpiecze\u0144stwa,<\/li>\n<li><strong><a href=\"https:\/\/sawaryn.com\/en\/publikacje\/rola-szkolen-z-zakresu-ochrony-danych-osobowych-w-miejscu-pracy\/\">szkolenia pracownik\u00f3w z zakresu cyberbezpiecze\u0144stwa<\/a><\/strong>.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Wdro\u017cy\u0107 \u015brodki organizacyjne<\/strong> \u2013 strategi\u0119 zarz\u0105dzania ryzykiem obejmuj\u0105c\u0105 zar\u00f3wno prewencj\u0119, jak i reagowanie na incydenty.<\/li>\n<\/ol>\n<h2>Co grozi za nieprzestrzeganie przepis\u00f3w<\/h2>\n<ul>\n<li><strong>Grzywny finansowe<\/strong> si\u0119gaj\u0105ce nawet kilku milion\u00f3w euro, w zale\u017cno\u015bci od rodzaju naruszenia (brak zarz\u0105dzania ryzykiem, niezg\u0142oszenie incydentu w terminie, niewdro\u017cenie \u015brodk\u00f3w ochrony).<\/li>\n<li><strong>Kary wyra\u017cone jako procent obrotu<\/strong> \u2013 dla du\u017cych firm mog\u0105 wynosi\u0107 <strong>do 2% rocznego obrotu<\/strong>.<\/li>\n<li><strong>Utrata zaufania<\/strong> klient\u00f3w i partner\u00f3w biznesowych.<\/li>\n<\/ul>\n<h2>Jak dostosowa\u0107 si\u0119 do wymog\u00f3w NIS-2 \u2013 plan dzia\u0142ania<\/h2>\n<ol>\n<li><strong>Przeprowad\u017a audyt cyberbezpiecze\u0144stwa<\/strong> \u2013 sprawd\u017a, jakie zagro\u017cenia wyst\u0119puj\u0105 w Twojej firmie i gdzie s\u0105 luki w zabezpieczeniach.<\/li>\n<li><strong>Przeszkol pracownik\u00f3w<\/strong> \u2013 upewnij si\u0119, \u017ce ka\u017cdy w firmie wie, jak rozpoznawa\u0107 i reagowa\u0107 na cyberzagro\u017cenia.<\/li>\n<li>**Opracuj **<a href=\"https:\/\/sawaryn.com\/en\/publikacje\/jak-dokumentowac-i-zglaszac-naruszenia-danych-osobowych\/\">procedury raportowania incydent\u00f3w<\/a>*** \u2013 przygotuj plan, kt\u00f3ry pozwoli Ci zg\u0142asza\u0107 incydenty do odpowiednich organ\u00f3w w ci\u0105gu 24 godzin.<\/li>\n<li><strong>Skorzystaj z pomocy specjalist\u00f3w<\/strong> \u2013 rozwa\u017c wsp\u00f3\u0142prac\u0119 z ekspertami ds. cyberbezpiecze\u0144stwa, kt\u00f3rzy pomog\u0105 Ci dostosowa\u0107 organizacj\u0119 do wymog\u00f3w NIS-2.<\/li>\n<\/ol>\n<h2>Co zrobi\u0107 teraz<\/h2>\n<p>Unijny termin implementacji NIS-2 min\u0105\u0142 w pa\u017adzierniku 2024 roku. Nawet je\u015bli polskie przepisy nie zosta\u0142y jeszcze uchwalone, kierunek zmian jest przes\u0105dzony. Brak przygotowania oznacza ryzyko kar finansowych, ale te\u017c ryzyko utraty zaufania kontrahent\u00f3w i klient\u00f3w.<\/p>\n<p>Je\u015bli masz w\u0105tpliwo\u015bci co do zakresu swoich obowi\u0105zk\u00f3w:<\/p>\n<ol>\n<li>Zweryfikuj, czy Twoja firma spe\u0142nia kryteria obj\u0119cia dyrektyw\u0105.<\/li>\n<li>Przeprowad\u017a analiz\u0119 ryzyka i zaktualizuj polityki bezpiecze\u0144stwa.<\/li>\n<li>Wdr\u00f3\u017c systemy monitorowania i reagowania na incydenty.<\/li>\n<li>Skontaktuj si\u0119 z kancelari\u0105 prawn\u0105 lub ekspertem ds. cyberbezpiecze\u0144stwa, \u017ceby przeanalizowa\u0107 sytuacj\u0119 Twojej organizacji.<\/li>\n<\/ol>\n<p><strong>Chcesz wiedzie\u0107 wi\u0119cej?<\/strong> Skontaktuj si\u0119 z nasz\u0105 kancelari\u0105 \u2013 pomo\u017cemy Ci przygotowa\u0107 organizacj\u0119 do wymog\u00f3w NIS-2.<\/p>\n<h2>Cz\u0119sto zadawane pytania<\/h2>\n<p><strong>Jak sprawdzi\u0107, czy dyrektywa NIS-2 dotyczy mojej firmy?<\/strong><br \/>\nSprawd\u017a trzy rzeczy: czy dzia\u0142asz w sektorze wymienionym w za\u0142\u0105czniku I lub II do NIS-2 (np. energetyka, transport, zdrowie, finanse, us\u0142ugi IT), czy zatrudniasz ponad 50 pracownik\u00f3w lub osi\u0105gasz roczny obr\u00f3t powy\u017cej 10 mln EUR albo sum\u0119 bilansow\u0105 powy\u017cej 43 mln EUR, oraz czy \u015bwiadczysz us\u0142ugi dla podmiot\u00f3w kluczowych lub wa\u017cnych. Je\u015bli spe\u0142niasz dwa pierwsze warunki \u2013 z du\u017cym prawdopodobie\u0144stwem musisz dostosowa\u0107 si\u0119 do NIS-2. Je\u015bli spe\u0142niasz trzeci \u2013 sprawd\u017a, czy Twoi kontrahenci nie wymagaj\u0105 od Ciebie wdro\u017cenia okre\u015blonych standard\u00f3w bezpiecze\u0144stwa.<\/p>\n<p><strong>Czy ma\u0142a albo \u015brednia firma mo\u017ce podlega\u0107 NIS-2, nawet je\u015bli nie jest du\u017c\u0105 organizacj\u0105?<\/strong><br \/>\nTak, w trzech przypadkach: gdy Ministerstwo Cyfryzacji zakwalifikuje firm\u0119 jako podmiot kluczowy lub wa\u017cny ze wzgl\u0119du na jej znaczenie dla infrastruktury krytycznej, gdy firma \u015bwiadczy us\u0142ugi lub dostarcza produkty dla podmiot\u00f3w kluczowych lub wa\u017cnych (rola w \u0142a\u0144cuchu dostaw), albo gdy spe\u0142nia kryteria sektorowe \u2013 np. dzia\u0142a w obszarze infrastruktury cyfrowej lub produkcji sprz\u0119tu medycznego. Przyk\u0142ad z artyku\u0142u: ma\u0142a firma IT obs\u0142uguj\u0105ca systemy informatyczne szpitali mo\u017ce zosta\u0107 obj\u0119ta regulacjami mimo niewielkich rozmiar\u00f3w.<\/p>\n<p><strong>Jakie obowi\u0105zki nak\u0142ada NIS-2 na firmy w praktyce?<\/strong><br \/>\nNIS-2 wymaga od firmy czterech grup dzia\u0142a\u0144: opracowania polityk i procedur zarz\u0105dzania ryzykiem cybernetycznym, wdro\u017cenia procedur raportowania powa\u017cnych incydent\u00f3w do CSIRT w ci\u0105gu 24 godzin, zastosowania \u015brodk\u00f3w technicznych (zapory ogniowe, systemy wykrywania intruz\u00f3w, regularne audyty, szkolenia pracownik\u00f3w) oraz wdro\u017cenia \u015brodk\u00f3w organizacyjnych obejmuj\u0105cych prewencj\u0119 i reagowanie na incydenty. Osobnym obowi\u0105zkiem jest kontrola bezpiecze\u0144stwa \u0142a\u0144cucha dostaw \u2013 musisz monitorowa\u0107 i ocenia\u0107 ryzyka zwi\u0105zane z podwykonawcami i dostawcami us\u0142ug cyfrowych.<\/p>\n<p><strong>W jakim terminie trzeba zg\u0142osi\u0107 powa\u017cny incydent do CSIRT wed\u0142ug NIS-2?<\/strong><br \/>\nPowa\u017cny incydent wp\u0142ywaj\u0105cy na ci\u0105g\u0142o\u015b\u0107 dzia\u0142ania organizacji musisz zg\u0142osi\u0107 do CSIRT w ci\u0105gu 24 godzin od jego wykrycia. To wymaga wcze\u015bniejszego przygotowania procedur wykrywania i zg\u0142aszania incydent\u00f3w, \u017ceby Twoja firma by\u0142a w stanie dotrzyma\u0107 tego terminu.<\/p>\n<p><strong>Co grozi firmie za brak zgodno\u015bci z NIS-2?<\/strong><br \/>\nGro\u017c\u0105 grzywny finansowe si\u0119gaj\u0105ce nawet kilku milion\u00f3w euro, a dla du\u017cych firm kary mog\u0105 wynosi\u0107 do 2% rocznego obrotu \u2013 w zale\u017cno\u015bci od rodzaju naruszenia (brak zarz\u0105dzania ryzykiem, niezg\u0142oszenie incydentu w terminie, niewdro\u017cenie \u015brodk\u00f3w ochrony). Poza sankcjami finansowymi realne jest ryzyko utraty zaufania klient\u00f3w i partner\u00f3w biznesowych, co przek\u0142ada si\u0119 bezpo\u015brednio na pozycj\u0119 rynkow\u0105 firmy.<\/p>","protected":false},"excerpt":{"rendered":"<p>W dobie coraz wi\u0119kszych zagro\u017ce\u0144 cybernetycznych Unia Europejska wprowadza przepisy, kt\u00f3re maj\u0105 poprawi\u0107 poziom bezpiecze\u0144stwa cyfrowego na terenie wsp\u00f3lnoty. Jednym z kluczowych akt\u00f3w prawnych w tym zakresie jest Dyrektywa NIS-2. Je\u015bli prowadzisz firm\u0119 lub odpowiadasz za bezpiecze\u0144stwo cyfrowe w instytucji, ten artyku\u0142 pomo\u017ce Ci zrozumie\u0107, co oznaczaj\u0105 nowe regulacje i jak si\u0119 do nich przygotowa\u0107. [&hellip;]<\/p>","protected":false},"author":1,"featured_media":3700,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[991,55],"tags":[1129,1128,1133,1135,1127,1130,1131,1132,1136,1088,1134],"language":[],"ppma_author":[122,1126],"class_list":["post-3698","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-ai","category-dla-przedsiebiorcy","tag-bezpieczenstwo-cyfrowe","tag-cyberbezpieczenstwo","tag-cyberzagrozenia","tag-dynamiczna-analiza-ryzyka","tag-dyrektywa-nis-2","tag-network-and-information-security","tag-nis","tag-nis-2","tag-obsluga-incydentow","tag-polityka-bezpieczenstwa","tag-raportowanie-incydentow"],"acf":[],"jetpack_featured_media_url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2025\/02\/SiP_Dyrektywa_NIS_2.webp","authors":[{"term_id":122,"user_id":0,"is_guest":1,"slug":"paulina-religa","display_name":"Paulina Religa","avatar_url":{"url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/team_Paulina_Religa2.png","url2x":"https:\/\/sawaryn.com\/wp-content\/uploads\/2022\/08\/team_Paulina_Religa2.png"},"user_url":"https:\/\/sawaryn.com\/o-kancelarii\/paulina-religa\/","last_name":"Religa","first_name":"Paulina","description":""},{"term_id":1126,"user_id":0,"is_guest":1,"slug":"agnieszka-sowula-nowakowska","display_name":"Agnieszka Sowula-Nowakowska","avatar_url":{"url":"https:\/\/sawaryn.com\/wp-content\/uploads\/2023\/08\/Agnieszka-Sowula-Nowakowska-A-e1692774606695-1.png","url2x":"https:\/\/sawaryn.com\/wp-content\/uploads\/2023\/08\/Agnieszka-Sowula-Nowakowska-A-e1692774606695-1.png"},"user_url":"https:\/\/sawaryn.com\/o-kancelarii\/agnieszka-sowula-nowakowska\/","last_name":"","first_name":"","description":""}],"_links":{"self":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/3698","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/comments?post=3698"}],"version-history":[{"count":7,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/3698\/revisions"}],"predecessor-version":[{"id":4134,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/posts\/3698\/revisions\/4134"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media\/3700"}],"wp:attachment":[{"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/media?parent=3698"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/categories?post=3698"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/tags?post=3698"},{"taxonomy":"language","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/language?post=3698"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/sawaryn.com\/en\/wp-json\/wp\/v2\/ppma_author?post=3698"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}