norppa.io
Przewodniki

Przewodnik NIS2 · 10 min

Jak spełnić NIS2: mapa drogowa krok po kroku

NIS2 to nie lista kontrolna, którą wypełnia się raz. To ciągły obowiązek wsparty odpowiedzialnością kierownictwa i nadzorem organów. Ale droga do zgodności jest jasno wytyczona. Ten przewodnik przedstawia kroki po kolei: ustal, czy jesteś objęty zakresem, zarejestruj się u swojego organu, formalnie obciąż odpowiedzialnością kierownictwo, wdroż środki zarządzania ryzykiem, zabezpiecz łańcuch dostaw, uruchom zgłaszanie incydentów i utrzymuj wszystko udokumentowane w czasie. Każdy krok odsyła do głębszego przewodnika, gdy go potrzebujesz.

Najważniejsze punkty

  • NIS2 (dyrektywa (UE) 2022/2555) miała zostać transponowana do prawa krajowego do 17 października 2024 r.; obowiązki obowiązują poprzez ustawę transponującą każdego państwa członkowskiego.
  • Zgodność przebiega w jasnej sekwencji: zakres → rejestracja → ład → środki z art. 21 → łańcuch dostaw → zgłaszanie incydentów → ciągłe zapewnienie.
  • Jest ciągła, nie jednorazowa. Kierownictwo ponosi odpowiedzialność (art. 20), a organy nadzoru mogą audytować, nakazać naprawę i nakładać kary (art. 34).

Co naprawdę oznacza „zgodność z NIS2”

NIS2 to dyrektywa UE, więc obowiązuje poprzez prawo krajowe, które każde państwo członkowskie uchwaliło, by ją transponować (termin transpozycji upłynął 17 października 2024 r.; niektóre państwa się spóźniły). Ustanawia bazę środków zarządzania ryzykiem cyberbezpieczeństwa (art. 21), zgłaszania incydentów (art. 23), ładu i odpowiedzialności (art. 20) oraz rejestracji u właściwego organu, egzekwowane poprzez audyty i kary (art. 34).

Co kluczowe: to system zarządzania, a nie certyfikat. NIS2 nie „zalicza się” raz; środki są prowadzone, dokumentowane i doskonalone w sposób ciągły, a Twoje kierownictwo ponosi za to osobistą odpowiedzialność. Poniższe kroki doprowadzają Cię do możliwej do obrony podstawy i tam utrzymują.

Kto musi spełnić

Podmioty kluczowe i ważne: średnie i duże organizacje w sektorach z załączników I/II (energetyka, transport, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna, produkcja i inne). Potwierdź swój poziom przewodnikiem „Kogo dotyczy NIS2”.

Wciągnięty pośrednio

Nawet bez wyznaczenia obowiązek łańcucha dostaw sięga Ciebie: podmioty objęte zakresem muszą oceniać swoich dostawców (art. 21 ust. 2 lit. d), więc spotkasz się z kwestionariuszami, żądaniami dowodów i ciągłym monitorowaniem poprzez swoje umowy.

Mapa drogowa, krok po kroku

Siedem kroków po kolei. Każdy opiera się na poprzednim.

Krok 1

Potwierdź zakres i poziom. Ustal, czy jesteś podmiotem kluczowym czy ważnym na podstawie sektorów z załączników I/II i progów wielkości, oraz zlokalizuj swoich dostawców.

Krok 2

Zarejestruj się u właściwego organu. Większość państw członkowskich wymaga od podmiotów objętych zakresem rejestracji (nazwa, sektor, kontakty, zakresy IP) na mocy ustawy transponującej.

Krok 3

Obciąż odpowiedzialnością kierownictwo. Organ zarządzający musi zatwierdzić środki zarządzania ryzykiem, nadzorować je i zostać przeszkolony (art. 20), i może zostać pociągnięty do odpowiedzialności.

Krok 4

Wdróż środki z art. 21 ust. 2: dziesięć środków podstawowych, stosowanych proporcjonalnie do Twojego ryzyka (zob. listę poniżej).

Krok 5

Zabezpiecz łańcuch dostaw. Oceniaj i monitoruj cyberryzyko dostawców (art. 21 ust. 2 lit. d) z klasyfikacją, kwestionariuszami i ciągłymi dowodami, nie jednorazowym audytem.

Krok 6

Uruchom zgłaszanie incydentów. Bądź w stanie wysłać 24-godzinne wczesne ostrzeżenie, 72-godzinne powiadomienie i raport końcowy w ciągu miesiąca do swojego CSIRT (art. 23).

Krok 7

Uczyń to ciągłym i udokumentowanym. Monitoruj, testuj, dokumentuj i przeglądaj, abyś mógł na żądanie wykazać, że środki działają.

Środki z artykułu 21 ust. 2

Krok 4 szczegółowo. NIS2 wymaga, proporcjonalnie, co najmniej:

  • (a) Analiza ryzyka i polityki bezpieczeństwa systemów informatycznych.
  • (b) Obsługa incydentów: wykrywanie, reagowanie i przywracanie.
  • (c) Ciągłość działania: kopie zapasowe, odtwarzanie po awarii i zarządzanie kryzysowe.
  • (d) Bezpieczeństwo łańcucha dostaw, w tym bezpieczeństwo relacji z bezpośrednimi dostawcami i usługodawcami.
  • (e) Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu, w tym obsługa i ujawnianie podatności.
  • (f) Polityki i procedury oceny skuteczności środków.
  • (g) Podstawowa cyberhigiena i szkolenia z bezpieczeństwa.
  • (h) Kryptografia oraz, w stosownych przypadkach, szyfrowanie.
  • (i) Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie aktywami.
  • (j) Uwierzytelnianie wieloskładnikowe, zabezpieczona komunikacja głosowa/wideo/tekstowa oraz zabezpieczona komunikacja awaryjna.

Dlaczego to nigdy się naprawdę nie „kończy”

Środki nie są projektem z linią mety. NIS2 oczekuje, że ocenisz ich skuteczność (art. 21 ust. 2 lit. f), a organy nadzoru mogą prowadzić audyty, żądać dowodów, wydawać wiążące polecenia i nakładać kary (art. 34): dla podmiotów kluczowych do 10 mln euro lub 2 % światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa. Kierownictwo również może zostać pociągnięte do osobistej odpowiedzialności.

Dlatego ostatni krok liczy się najbardziej: różnica między „napisaliśmy politykę” a „możemy dziś wykazać, że działa” to dokładnie to, co audytor, lub należyta staranność klienta, każe Ci zniwelować. Ciągłe monitorowanie i zachowane dowody zmieniają jednorazowy wysiłek w możliwą do obrony, powtarzalną pozycję.

NIS2 obowiązuje poprzez prawo krajowe, a szczegóły (mechanika rejestracji, terminy, specyfika sektorowa, poziomy kar) różnią się w zależności od państwa członkowskiego. Potwierdź szczegóły u krajowego właściwego organu.

Od czego zacząć?

Twój pierwszy ruch zależy od Twojej sytuacji:

Wyraźnie jesteś objęty zakresem (kluczowy lub ważny)

Zacznij od kroku 1, aby potwierdzić poziom, następnie zarejestruj się i poinformuj kierownictwo. Skorzystaj z przewodnika o odpowiedzialności kierownictwa, aby wcześnie zaangażować zarząd.

Nie masz pewności, czy jesteś objęty zakresem

Zacznij od przewodnika „Kogo dotyczy NIS2”, sektory i progi wielkości, zanim zainwestujesz w kontrole. Nie zakładaj zwolnienia; łańcuch dostaw może i tak Cię sięgnąć.

Jesteś dostawcą podmiotów objętych zakresem

Nawet bez własnego wyznaczenia spodziewaj się kwestionariuszy dostawców i monitorowania. Przewodniki o kwestionariuszu i liście kontrolnej pokazują, co będziesz musiał udokumentować.

Masz już ISO 27001

Duża część kroku 4 przenosi się, ale nie ustawowe zgłaszanie incydentów, rejestracja ani odpowiedzialność kierownictwa. Przewodnik ISO 27001 mapuje to, co pozostaje.

Źródła: Dyrektywa (UE) 2022/2555 (NIS2) oraz Twoja krajowa ustawa transponująca. NIS2 obowiązuje poprzez prawo krajowe; potwierdź mechanikę rejestracji, terminy i poziomy kar u właściwego organu.

Jak pomaga norppa.io

norppa.io jest zbudowany pod kroki 5 i 7, części dotyczące łańcucha dostaw i ciągłych dowodów, które większość zespołów uznaje za najtrudniejsze. Monitoruje każdą domenę dostawcy w ponad stu punktach kontrolnych codziennie (te wrażliwe na czas co sześć godzin), mapuje każde ustalenie na właściwy artykuł NIS2 i prowadzi datowany, eksportowalny zapis do Twoich akt dostawcy.

Kwestionariusze samooceny ujmują kontrole procesowe i umowne, a każda odpowiedź jest zestawiana z technicznym profilem na żywo: tak że gdy audytor lub klient prosi o wykazanie, że bezpieczeństwo łańcucha dostaw rzeczywiście działa, masz aktualne, potwierdzone dowody zamiast arkusza z zeszłej wiosny.

Ciągłe dowody dla kroków 5 i 7

Zobacz przykładowy raport dostawcy (ustalenia, mapowanie na artykuły NIS2 i dowody) w około dwie minuty.

Zobacz przykładowy raport
Zobacz przykładowy pulpit

Powiązane przewodniki

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

NIS2 i wymóg łańcucha dostaw: co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

NIS2 Art. 21(2): lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

ISO 27001 a NIS2: co Twój SZBI już obejmuje, i luki, których nie

Jeśli masz ISO 27001: co przenosi się na NIS2, a co nie (ustawowe zgłaszanie incydentów, odpowiedzialność kierownictwa, rejestracja i ciągłe zapewnienie łańcucha dostaw) oraz jak zamknąć lukę.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

RODO a NIS2: pokrywanie się, różnice i kiedy jeden incydent uruchamia oba

Czym różnią się i pokrywają RODO i NIS2, kiedy jeden incydent uruchamia oba (RODO art. 33 72 h do organu nadzorczego vs NIS2 art. 23 24 h/72 h/miesiąc do CSIRT), współpraca z art. 35 i zakaz podwójnej kary oraz co oba oznaczają dla należytej staranności wobec dostawców.

Unijny akt o cyberodporności (CRA): zakres, harmonogram i co oznacza dla Twojego łańcucha dostaw

Czego wymaga CRA, jego etapowe terminy (obowiązuje od 2024, zgłaszanie wrz 2026, pełna zgodność gru 2027), kogo dotyczy i dlaczego czysty SaaS często nie, jak uzupełnia NIS2 oraz co oznacza dla zakupów i należytej staranności wobec dostawców.

Unijny akt o sztucznej inteligencji: poziomy ryzyka, harmonogram i obowiązki podmiotów stosujących (artykuł 26)

Czego wymaga unijny akt o AI: poziomy ryzyka, etapowe daty (obowiązuje 2024, zakazane luty 2025, GPAI sie 2025, wysokie ryzyko sie 2026), obowiązki podmiotu stosującego z art. 26, jak nakłada się na NIS2 i RODO oraz co oznacza dla zakupów AI.