Jak przygotować firmę na NIS 2/UKSC – dokumentacja, zarządzanie ryzykiem, obsługa incydentów, wymogi administracyjne
Dyrektywa NIS 2, wdrożona do polskiego porządku prawnego poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), znacząco podnosi wymagania w zakresie odporności na zagrożenia cybernetyczne. Podmioty kluczowe i ważne z wielu branż muszą wdrożyć kompleksowy System Zarządzania Bezpieczeństwem Informacji (SZBI), skutecznie zarządzać ryzykiem cybernetycznym oraz przygotować się na prawidłowe raportowanie incydentów NIS 2.
W tym artykule opowiadamy o tym, co należy zrobić, aby przygotować się do realizacji nowych obowiązków wynikających z wdrożenia Dyrektywy NIS 2.
Weryfikacja statusu i rejestracja w wykazie podmiotów kluczowych i ważnych
Pierwszym krokiem, jaki każda firma powinna podjąć, jest przeprowadzenie weryfikacji, czy jest objęta UKSC. Weryfikacja ta powinna zostać przeprowadzona w oparciu o dwa zasadnicze kryteria (wielkość podmiotu i zakres prowadzonej działalności gospodarczej) i może doprowadzić do jednego z dwóch wniosków:
- firma jest objęta UKSC (jako podmiot kluczowy albo podmiot ważny) albo
- firma pozostaje poza zakresem UKSC i nie ma formalnego obowiązku wdrożenia wynikających z tej regulacji wymogów (oczywiście nie znaczy to, że w takim przypadku nie warto zainteresować się tym, jak wygląda stan cyberbezpieczeństwa w danej organizacji).
Jeżeli w wyniku weryfikacji ustalone zostanie, że firma jest podmiotem kluczowym albo podmiotem ważny, konieczne będzie dokonanie rejestracji w wykazie podmiotów kluczowych i ważnych prowadzonym przez Ministerstwo Cyfryzacji. Możliwość rejestracji otworzy się 7 maja 2026 r., a ostateczny termin na dokonanie zgłoszenia mija 3 października 2026 r. Firmy, które nie dokonają rejestracji pomimo spełniania kryteriów ustawowych, muszą liczyć się z reakcją organów właściwych ds. cyberbezpieczeństwa, w tym ze wpisem do wykazu z urzędu.
Sprawdź też: NIS 2 w Polsce – kiedy wchodzi w życie?
Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)
Najważniejszym merytorycznym obowiązkiem wynikającym z UKSC jest wdrożenie SZBI w systemach informacyjnych mających wpływ na działalność operacyjną firmy, w tym w systemach automatyki przemysłowej i technologii operacyjnej (OT).
System powinien obejmować m.in.:
- systematyczne szacowanie i zarządzanie ryzykiem IT incydentów cyberbezpieczeństwa,
- proporcjonalne środki techniczne i organizacyjne (uwzględniające wielkość podmiotu, koszty, najnowszy stan wiedzy oraz potencjalne skutki),
- elementy takie jak: polityka bezpieczeństwa informacji, bezpieczeństwo zasobów ludzkich, bezpieczeństwo łańcucha dostaw (w tym dostawców ICT), bezpieczeństwo fizyczne, plany ciągłości działania (BCP), plany awaryjne (ISCP) i odtwarzania po katastrofie (DRP), ciągłe monitorowanie (logi, SIEM), zarządzanie aktywami, aktualizacjami, kontrolą dostępu i kryptografią, a także edukację i cyberhigienę personelu.
Należy przygotować pełną dokumentację – zarówno normatywną (polityki, procedury), jak i operacyjną. Istniejące dokumenty warto poddać przeglądowi i dostosować do nowych wymagań.
Uwaga praktyczna: Zarządzanie cyberbezpieczeństwem nie może być procesem „papierowym”. Stworzenie dokumentacji „do szuflady” nie wystarczy. SZBI musi być procesem efektywnym i żywym – stale utrzymywanym i doskonalonym zgodnie z cyklem PDCA. Tylko wtedy system realnie podnosi odporność organizacji na zagrożenia.
Zarządzanie incydentami i raportowanie incydentów NIS 2
Podmioty kluczowe i ważne muszą wdrożyć skuteczne procedury wykrywania, analizy i reagowania na incydenty. Kiedy należy zgłosić incydent cyberbezpieczeństwa? Kluczowe jest prawidłowe klasyfikowanie incydentów jako „poważnych” – tylko takie wymagają obowiązkowego zgłoszenia do właściwego CSIRT sektorowego za pośrednictwem systemu S46. W określonych przypadkach konieczne będzie również poinformowanie interesariuszy zewnętrznych (np. klientów lub odbiorców towarów) o tym, że miał miejsce poważny incydent cyberbezpieczeństwa. Zgłoszenie powinno odbywać się za pomocą specjalnie utworzonego w tym celu kanału, za pośrednictwem którego dostawcy, klienci i inni interesariusze będą mogli zgłaszać zaobserwowane podatności, incydenty lub zagrożenia.
Szkolenia, łańcuch dostaw i monitoring otoczenia regulacyjnego
Obowiązkowe szkolenia z cyberbezpieczeństwa obejmują:
- kadrę zarządzającą (zarząd/kierownik jednostki) – co najmniej raz w roku kalendarzowym,
- pozostałych pracowników – w zakresie dostosowanym do wykonywanych zadań.
W kontekście łańcucha dostaw należy uwzględniać kryteria cyberbezpieczeństwa przy wyborze dostawców oraz monitorować decyzje Ministra Cyfryzacji dotyczące dostawców technologii wysokiego ryzyka. Warto również na bieżąco śledzić polecenia zabezpieczające Ministra Cyfryzacji, rekomendacje i narodowe standardy Pełnomocnika Rządu ds. Cyberbezpieczeństwa oraz wytyczne sektorowe.
Analiza ryzyka NIS 2 – ryzyka i odpowiedzialność
Niewdrożenie lub nieprawidłowe wykonanie obowiązków niesie ze sobą poważne konsekwencje finansowe.
Dla podmiotu ważnego kara może wynieść do 7 milionów EUR lub 1,4% przychodu z poprzedniego roku obrotowego (wyższa z kwot), nie mniej niż 15 tysięcy PLN. Dla podmiotu kluczowego sankcje są surowsze – do 10 milionów EUR lub 2% przychodu z poprzedniego roku obrotowego (wyższa z tych kwot), nie mniej niż 20 tysięcy PLN. W przypadku naruszeń powodujących bezpośrednie i poważne zagrożenie dla obronności, bezpieczeństwa państwa, porządku publicznego, życia lub zdrowia ludzi albo grożących poważną szkodą majątkową lub utrudnieniami w świadczeniu usług – możliwa jest kara ekstraordynaryjna nawet do 100 milionów PLN.
Odpowiedzialność ponosi także kierownictwo podmiotu – kara do 300% wynagrodzenia. Delegowanie zadań na pracowników lub outsourcing nie zwalnia kierownictwa z osobistej odpowiedzialności.
Jak skutecznie przygotować się do NIS-2/UKSC?
Najlepszym podejściem jest kompleksowe wdrożenie SZBI z rzeczywistym zarządzaniem ryzykiem, a nie jedynie formalne spełnienie wymagań. Na czym polega zarządzanie ryzykiem w NIS 2? Warto rozpocząć od:
- Analizy, czy firma podlega pod UKSC i w jakiej kategorii (kluczowa czy ważna).
- Przeprowadzenia audytu obecnego stanu cyberbezpieczeństwa.
- Opracowania harmonogramu wdrożenia z jasnymi priorytetami.
- Rozważenia wsparcia zewnętrznego (kancelaria prawna, specjaliści ds. IT).
Czas na przygotowanie się do zmian – do 3 kwietnia 2027 r. (termin dot. większości obowiązków operacyjnych).
Jeśli potrzebują Państwo pomocy w kwestii przygotowania się do realizacji nowych obowiązków, zapraszamy do współpracy. Wspólnie z naszym partnerem technologicznym – ESVS sp. z o.o. (www.esvs.pl) oferujemy kompleksowe wdrożenie NIS 2 dla firm.
Materiał prasowy: radca prawny Piotr Grzelczak.
