all systems operational +48 697 610 212
Techniczne · [2026-06-17]

NIS2 krok po kroku — co technicznie musi mieć firma

NIS2 bez prawniczego żargonu: które firmy obejmuje, co trzeba mieć od strony IT (backup, DR, dostęp, monitoring) i od czego zacząć.

NIS2 · BEZPIECZENSTWO · BACKUP · DISASTER-RECOVERY · COMPLIANCE

NIS2 to dyrektywa, która brzmi jak temat dla prawników, a w praktyce w 80% jest tematem dla działu IT. Sprowadza się do jednego pytania: czy po ataku, awarii albo wycieku Wasza firma potrafi działać dalej i zgłosić incydent na czas? Poniżej, bez żargonu, co to oznacza w praktyce i od czego zacząć.

TL;DR

  • Kogo obejmuje: szerszy krąg niż wcześniej — także średnie firmy i dostawcy podmiotów kluczowych
  • O co chodzi: odporność na incydent, ciągłość działania i zdolność zgłoszenia w terminie
  • Co mieć: backup niezmienny, testowany DR, kontrolę dostępu, monitoring, procedury
  • To proces: zgodność trzeba utrzymywać, nie „uzyskać raz”
  • Od czego zacząć: audyt luk z priorytetami — najpierw największe ryzyka

Najpierw: czy w ogóle Was dotyczy

NIS2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na znacznie szerszy krąg firm niż poprzednia dyrektywa — w tym wiele podmiotów średniej wielkości oraz dostawców obsługujących sektory kluczowe. Nie obejmuje każdej mikrofirmy, ale próg jest niżej, niż wielu zakłada, a obowiązki łańcucha dostaw potrafią „zarazić” także mniejszych podwykonawców.

Ustalenie, czy i w jakim zakresie podlegacie, to pierwszy krok. To częściowo kwestia prawna — my zajmujemy się stroną techniczną i organizacyjną, czyli tym, co trzeba realnie wdrożyć.

Co trzeba mieć — od strony IT

Wymagania da się sprowadzić do kilku filarów, które i tak są fundamentem dobrego bezpieczeństwa:

  • Kopie zapasowe odporne na incydent — niezmienne (immutable) i offsite, żeby ransomware nie zaszyfrował też backupu
  • Testowany plan odtworzenia — z określonym czasem powrotu (RTO) i akceptowalną utratą danych (RPO)
  • Kontrola dostępu — MFA, zasada najmniejszych uprawnień, porządek w kontach
  • Monitoring i wykrywanie — żeby zauważyć incydent, zanim zauważy go klient
  • Hardening — serwery, sieć i stacje skonfigurowane bezpiecznie, nie „domyślnie”
  • Procedury — kto co robi przy incydencie i jak zgłosić go w wymaganym czasie

Zwróćcie uwagę na ostatni punkt: NIS2 wymaga zdolności zgłoszenia incydentu w określonych ramach czasowych. To procedura i odpowiedzialność, nie kolejny program do kupienia.

Narzędzia to nie zgodność

Najczęstsze nieporozumienie: „kupimy firewall i antywirus, będzie NIS2”. Nie będzie. Najlepszy sprzęt nie pomoże, jeśli backup nigdy nie był testowany, nikt nie wie, kto reaguje na incydent, a uprawnienia byłych pracowników wciąż są aktywne. Zgodność to procesy spięte z narzędziami — i utrzymywane, bo audyt sprzed roku nie chroni przed dzisiejszym atakiem.

Od czego zacząć

Od audytu, który pokazuje różnicę między stanem obecnym a wymaganiami. Dostajecie listę luk uszeregowaną według ryzyka i plan naprawczy — wtedy wiadomo, co zrobić najpierw i ile to kosztuje. Nie trzeba robić wszystkiego naraz; trzeba zacząć od tego, co grozi najbardziej.


Nie wiecie, czy NIS2 Was dotyczy i co realnie trzeba mieć? Zobacz, jak wdrażamy zgodność z NIS2 albo umów bezpłatną konsultację — sprawdzimy zakres i pokażemy, od czego zacząć.

Chcesz to samo u siebie?

Napisz do nas — pierwsza konsultacja jest bezpłatna.

Darmowa konsultacja