Świadczymy usługę doradczą w zakresie wdrożenia wymogów, które nakłada Ustawa o krajowym systemie cyberbezpieczeństwa (UKSC). Dyrektywa UE, z której wynika polska ustawa, to dyrektywa zwykle nazywana NIS 2 (2022/2555)
19 lutego 2026 roku Prezydent RP podpisał nowelizację ustawy o KSC. Termin wejścia w życie: Ustawa przewiduje miesięczne vacatio legis. Przewiduje się, że nowe przepisy zaczną obowiązywać w marcu 2026 roku.
Co to jest NIS 2?
NIS 2 (Network and Information Security Directive 2) to dyrektywa Unii Europejskiej, której głównym celem jest podniesienie i ujednolicenie poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich UE. Zastąpiła ona wcześniejszą dyrektywę z 2016 roku (NIS1), określając znacznie szerszy zakres podmiotów objętych regulacjami i wprowadzając surowsze wymogi i kary.
Główne cele NIS 2:
- Zwiększenie bezpieczeństwa cybernetycznego w UE
- Obowiązkowe zarządzanie ryzykiem: Podmioty muszą stosować nowoczesne zabezpieczenia (szyfrowanie, uwierzytelnianie dwuskładnikowe, plany ciągłości działania).
- Bezpieczeństwo łańcucha dostaw: Ochrona nie kończy się na samej firmie – musi ona dbać o to, by jej dostawcy (np. software house’y czy serwisanci IT) również byli bezpieczni.
2. Ujednolicenie przepisów i nadzoru
- Spójne standardy: Wprowadzenie tych samych zasad dla wszystkich państw UE, aby hakerzy nie mogli łatwiej atakować krajów o słabszych przepisach.
- Surowsze kary: Wprowadzenie realnych sankcji finansowych, które mają motywować zarządy firm do traktowania cyberbezpieczeństwa priorytetowo.
- Szybsze raportowanie: Obowiązek powiadomienia o incydencie w ciągu 24 godzin pozwala na szybsze ostrzeżenie innych potencjalnych ofiar.
- Wzmocnienie roli organów państwowych: Ściślejsza współpraca krajowych jednostek (np. CSIRT) z ich odpowiednikami w innych krajach UE.
Jakie podmioty podlegają NIS 2?
Obowiązki są w szczególności kierowane do podmiotów średnich i dużych z sektorów:
- energia
- energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania
- ciepłownictwo i chłodnictwo
- ropa naftowa, w tym rurociągi produkcyjne, magazynowe i przesyłowe
- gaz, w tym systemy dostaw, dystrybucji i przesyłu oraz magazynowanie
- wodór
- transport lotniczy, kolejowy, wodny i drogowy
- infrastruktura bankowa i rynku finansowego, jak instytucje kredytowe, operatorzy systemów obrotu i partnerzy centralni
- zdrowie, w tym podmioty świadczące opiekę zdrowotną, producenci podstawowych produktów farmaceutycznych i wyrobów medycznych o krytycznym znaczeniu oraz laboratoria referencyjne UE
- woda pitna
- ścieki
- infrastruktura cyfrowa, w tym dostawcy usług centrów danych, usług przetwarzania w chmurze, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej
- usługi zarządzane przez TIK (między przedsiębiorstwami)
- przestrzeń.
NIS2 dotyczy również innych sektorów krytycznych, takich jak:
- usługi pocztowe i kurierskie
- gospodarka odpadami
- produkcja, wytwarzanie i dystrybucja chemikaliów
- produkcja, przetwarzanie i dystrybucja żywności
- produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego
- dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych.
Zakres nowych obowiązków
- Polityki bezpieczeństwa: Formalne procedury analizy ryzyka i bezpieczeństwa systemów informatycznych.
- Obsługa incydentów: Przygotowanie planów wykrywania, reagowania i usuwania skutków ataków.
- Ciągłość działania: Posiadanie kopii zapasowych (backup) oraz planów odzyskiwania danych po awarii (disaster recovery).
- Bezpieczeństwo łańcucha dostaw: Weryfikacja dostawców pod kątem ich standardów bezpieczeństwa (np. czy Twój dostawca chmury jest bezpieczny).
- Kryptografia i szyfrowanie: Stosowanie odpowiednich metod zabezpieczania danych.
- Uwierzytelnianie wieloskładnikowe (MFA): Wdrożenie MFA tam, gdzie to możliwe, oraz zabezpieczona komunikacja głosowa/wideo.
- W ciągu 24h: „Wczesne ostrzeżenie” do organu nadzorczego (np. CSIRT).
- W ciągu 72h: Pełna aktualizacja zgłoszenia i wstępna ocena incydentu.
- W ciągu miesiąca: Raport końcowy ze szczegółowym opisem przyczyn i działań naprawczych.
- Zatwierdzanie środków: Kierownictwo musi zatwierdzać stosowane środki cyberbezpieczeństwa.
- Obowiązkowe szkolenia: Członkowie organów zarządzających mają obowiązek uczestniczyć w szkoleniach z zakresu cyberbezpieczeństwa, aby rozumieć ryzyka biznesowe.
- Odpowiedzialność osobista: Za rażące zaniedbania członkowie zarządu mogą ponosić odpowiedzialność finansową lub zostać tymczasowo zawieszeni w pełnieniu funkcji.
- Wpis do rejestru: Podmioty muszą zgłosić swoje istnienie do odpowiednich organów krajowych (w Polsce do bazy prowadzonej przez NASK/ministerstwo).
- Poddawanie się audytom: Podmioty kluczowe muszą liczyć się z regularnymi audytami bezpieczeństwa przeprowadzanymi przez organy nadzorcze
Zakres naszych usług
Kompleksowe dostosowanie organizacji do wymogów dyrektywy NIS2
Nasz model współpracy opiera się na pięciu filarach, które gwarantują pełną zgodność prawną i techniczną:
I. Audyt otwarcia i klasyfikacja (Gap Analysis)
- Określenie statusu podmiotu (kluczowy vs ważny).
- Analiza luki między obecnym stanem zabezpieczeń a wymogami ustawowymi.
- Inwentaryzacja krytycznych zasobów informacyjnych.
II. Zarządzanie ryzykiem i governance
- Opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).
- Stworzenie metodologii analizy ryzyka dostosowanej do specyfiki branży.
- Bezpieczeństwo łańcucha dostaw: Audyt kluczowych dostawców i aktualizacja umów o klauzule cyberbezpieczeństwa.
III. Środki techniczne i higiena cyfrowa
- Wdrożenie zaawansowanych mechanizmów kontroli dostępu (MFA, Zero Trust).
- Optymalizacja procesów backupu i opracowanie planów Disaster Recovery (DRP).
- Wprowadzenie standardów szyfrowania i zabezpieczenia komunikacji.
IV. System reagowania na incydenty
- Opracowanie procedur raportowania (ścieżka 24h / 72h / 1 miesiąc).
- Integracja z właściwym organem nadzorczym oraz CSIRT.
- Testy odporności i symulacje ataków (np. phishingowych).
V. Budowanie kultury bezpieczeństwa
- Szkolenia dla Zarządu: Odpowiedzialność prawna i zarządzanie kryzysowe.
- Program Awareness dla pracowników: Cykl szkoleń podnoszących czujność na zagrożenia socjotechniczne.
Korzyści dla organizacji
Realna ochrona przed atakami ransomware i wyciekiem danych.
Pełne dostosowanie do przepisów i brak ryzyka kar finansowych.
Wizerunek zaufanego i poważnego partnera biznesowego dla klientów i kontrahentów
Minimalizacja czasu przestojów dzięki procedurom awaryjnym.
Opis usługi w skrócie
Pytania dotyczące usługi
W regulacji wprowadzono mechanizm samoidentyfikacji – podmioty są obowiązane same zarejestrować się w nowym systemie – np. poprzez stronę internetową.
Na wdrożenie należy przeznaczyć ok. od 1 do 3 miesięcy w zależności od wielkości wdrożenia
Tak jest to możliwe. Nasza firma zajmuje się tym zagadnieniem kompleksowo.
Koszt usługi zależy od zakresu prac oraz od wielkości badanego podmiotu. Jeśli chciałbyś poznać cenę usługi po prostu do nas zadzwoń tel. +48 22 280 94 88 lub napisz na adres: biuro@zgodnosc.pl.
Na pewno wielkość Twojej firmy jak również zakres prac decyduje o ostatecznej cenie usługi. Zadzwoń do nas lub wyślij do nas wiadomość aby uzyskać szczegółową wycenę usługi.
Obok jednorazowego wdrożenia wymogów NIS 2 możliwa jest współpraca w oparciu o stała umowę (ryczałt) w zakresie przygotowanie niezbędnej dokumentacji, nadzoru nad wdrożeniem wymaganych zmian oraz bieżącego doradztwa oraz cyklicznych audytów w zakresie NIS 2.
Jak najbardziej. Chętnie wyjaśnimy niezrozumiałe kwestie lub pomożemy w innych problematycznych kwestiach. Staramy się także instruować naszych Klientów na każdym etapie realizacji usługi, także po jej wykonaniu.
Jednym zdaniem
Dlaczego właśnie my?
Jesteśmy zespołem specjalistów. Łączymy unikalną wiedzę prawniczą ze specjalistyczną znajomością zagadnień informatycznych. Naszym niewątpliwym atutem jest dogłębna znajomość środowiska biznesowego.
Jak realizujemy nasze projekty?
Pomagamy naszym nowym Klientom na każdym etapie usługi
Ponieważ nasi nowi Klienci nie mają specjalistycznej wiedzy staramy się na każdym etapie naszej współpracy pomagać im dobrze zrozumieć cel naszych działań. Poniżej opisujemy kilka typowych kroków realizowanych standardowo w przypadku nowego projektu:
Jak wygląda współpraca z Klientem?
Przez lata praktyki zrozumieliśmy, że właściwe postępowanie w relacjach z Klientami jest kluczem do sukcesu. Jeśli tym sukcesem będzie zadowolenie naszego Klienta na pewno będziemy stale rozwijać naszą firmę. Filozofia wydaje się prosta ale jednak jej realizacja nastręcza w praktyce wielu problemów. Czasami jest to pragnienie szybkiego i skutecznego osiągnięcia celu a czasami zwykłe niezrozumienie oczekiwań naszych partnerów biznesowych. Jeśli jednak będziemy współpracować na zasadzie poszanowania własnych praw i interesów zrealizujemy wspólne cele. Takie partnerskie podejście tylko w teorii jest codziennością. My jednak wzięliśmy te proste zasady na poważnie. Dzięki temu nieprzerwanie od kilkunastu lat rozwijamy naszą firmę.