NIS2 i KSC: Dlaczego nie da się „zrobić" cyberbezpieczeństwa i dlaczego należy w końcu powiedzieć to głośno

Część I: „Dostosujemy waszą firmę do NIS2" - marketingowy slogan, który może drogo kosztować.

Od mniej więcej roku, z coraz większym natężeniem w ostatnich miesiącach, słyszymy: „Dostaliśmy ofertę od firmy X. Powiedzieli «Dostosujemy waszą organizację do NIS2»”. Brzmi prosto, wygodnie i – przyznaję – kusząco. Jeden projekt, jedna faktura, święty spokój. Problem w tym, że taka obietnica jest z gruntu fałszywa. I nie dlatego, że firma ją składająca działa w złej wierze (choć motywacja finansowa bywa tu oczywista), lecz dlatego, że sama natura cyberbezpieczeństwa wyklucza jednorazowe dostosowanie.

Dlaczego cyberbezpieczeństwo firmy jest tak ważne?

Cyberbezpieczeństwo jest to ciągły proces, a nie jednorazowy projekt. Zagrożenia ewoluują. Taktyki grup ransomware sprzed roku różnią się od tych stosowanych dziś. Świadomość pracowników musi ewoluować. Człowiek, który przeszedł szkolenie z zakresu bezpieczeństwa cyfrowego dwa lata temu, funkcjonuje dziś w zupełnie innym środowisku technologicznym i społecznym. Infrastruktura IT organizacji zmienia się, podobnie jak dostawcy, a pracownicy odchodzą i dołączają. Każda z tych zmian tworzy nowe wektory ryzyka.

Istotną kwestią jest też różnica między wdrażaniem zaleceń NIS2, a rzeczywistym podnoszeniem poziomu cyberbezpieczeństwa. Posłużę się tu prostym przykładem. W przypadku ataku, najczęściej ransomware, wiele firm decyduje się na zapłatę okupu. Oficjalnie wszyscy odradzają takie działanie, jednak bezpowrotna utrata danych potrafi sparaliżować przedsiębiorstwo na długi czas. Przed erą NIS2 taki okup można było zapłacić, licząc na to, że sprawa nie ujrzy światła dziennego i przejdzie bez echa. W dobie wymogu raportowania incydentów takie podejście przestaje być możliwe. Co więcej, przekazanie środków podmiotom anonimowym lub znajdującym się na listach sankcyjnych może naruszać przepisy dotyczące przeciwdziałania finansowaniu terroryzmu. Opłata za odszyfrowanie danych w praktyce odbywa się niemal zawsze z wykorzystaniem kryptowalut, których względna anonimowość dodatkowo zwiększa ryzyko naruszeń. W efekcie decyzja o zapłacie okupu przestaje być wyłącznie problemem operacyjnym, a staje się również istotnym wyzwaniem prawnym w realiach NIS2.

Ciężko jest więc nie rekomendować systematycznego i świadomego podnoszenia poziomu cyberbezpieczeństwa zamiast pozornego wdrożenia przypadkowych procedur, kupienia „jakiegoś” EDR-a, firewalla, czy innego narzędzia. Lista technologii może być dowolnie długa, ale bez spójnej strategii nie przełoży się na realne bezpieczeństwo, a konsekwencje takiego podejścia mogą być znacznie poważniejsze, niż wydawać może się na pierwszy rzut oka.

Hasło „zapewnimy Wam zgodność z NIS2" w praktyce oznacza jednorazową usługę polegającą na sprzedaży dokumentacji i narzędzi, wdrażanych według wcześniej przyjętej koncepcji, ale nie dostosowanych do potrzeb danej organizacji. Skutkiem tego dostarczane są rozwiązania niejako z katalogu NIS2, a nie takie, które realnie podnoszą poziom cyberbezpieczeństwa i faktycznie pomagają dostosować się do zapisów dyrektywy i ustawy, bo nie wynikają z rzetelnego doboru do Waszej infrastruktury. Konsekwencją takiego podejścia jest z tzw. papierowa zgodnością z NIS2, która nie chroni przed realnymi atakami. Zostajecie z rozwiązaniami, których często sami dobrze nie znacie, ale które „jakimś sposobem działają”.

Co więcej, NIS2 – zarówno w warstwie dyrektywy unijnej, jak i polskiej ustawy o KSC – kładzie nacisk na elementy, których żadna technologia nie zapewni: szkolenie pracowników, procedury reagowania na incydenty, kulturę bezpieczeństwa w organizacji czy ciągłe doskonalenie systemu zarządzania bezpieczeństwem informacji (SZBI). 

Dlatego zanim podpiszecie umowę z firmą obiecującą dostosowanie do NIS2, zapytajcie:

• Jaki mamy wpływ na wybór wdrażanych rozwiązań?
• Czy zostaniemy z tych rozwiązań odpowiednio przeszkoleni?
• Jakie są warunki późniejszego wsparcia?
• Czy będziemy mieć realny wpływ na to, jak będą wyglądać procedury bezpieczeństwa, czy dostaniemy gotowca, do którego musimy się dostosować?

Faktem jest, że to Wy odpowiadacie za implementację założeń KSC w organizacji i nawet korzystając z  pomocy firmy zewnętrznej, musicie pozostawać aktywnie zaangażowani w cały proces. Takie właśnie podejście proponujemy we współpracy z nami. Nie chodzi o jednorazowe wykonanie usługi, a wspólne przygotowanie odpowiednich narzędzi, na których wybór macie wpływ, a które my pomożemy wdrożyć i sprawimy, że będziecie mogli z nich samodzielnie korzystać (a w razie potrzeby macie nasze wsparcie techniczne). 

Część II: NIS2 a polska ustawa o KSC, czyli gdzie diabeł tkwi w szczegółach?

Skąd pochodzi polska ustawa?

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.) weszła w życie w całej UE w styczniu 2023 roku, zobowiązując państwa członkowskie do jej implementacji do 17 października 2024 r. Polska – z ponad 400-dniowym opóźnieniem – uchwaliła nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) 23 stycznia 2026 roku. Prezydent podpisał ją w lutym 2026 r., kierując jednocześnie do Trybunału Konstytucyjnego przepisy dotyczące dostawców wysokiego ryzyka. Ustawa weszła w życie 3 kwietnia 2026 roku.

Jaki jest stosunek ustawy o KSC do NIS2? Do czego mamy się stosować?

Dyrektywa NIS2 jest aktem nadrzędnym (wzorcem), którego implementacją jest ustawa. To NIS2 określa minimalny standard Unii Europejskiej, poza który poszczególne państwa członkowskie mogą wykraczać i uszczegóławiać pod siebie.

W praktyce polskie firmy i instytucje muszą stosować się do ustawy o KSC, bo to ona jest prawem obowiązującym w Polsce, a nie bezpośrednio do dyrektywy NIS2. Dyrektywa ma jednak istotne znaczenie interpretacyjne – w przypadku niejasności przepisów KSC sięga się do jej brzmienia i celów.

Jak to wygląda na tle reszty Europy?

Żeby nie było wątpliwości, Polska nie jest jedynym krajem, który spóźnił się z implementacją, jednak należy do grupy państw ze znaczącym opóźnieniem. Termin implementacji NIS2 upłynął 17 października 2024 r. Do tego dnia zdążyły ją wdrożyć jedynie cztery państwa: Belgia, Chorwacja, Włochy i Litwa. Komisja Europejska już w listopadzie 2024 r. wszczęła postępowania naruszeniowe wobec 23 państwom członkowskim.

W połowie 2025 r. do grona implementujących dołączyło około 14 krajów UE, m.in. Grecja, Węgry, Dania, Estonia, Finlandia i Słowenia. Znaczące opóźnienia odnotowały również duże państwa, takie jak Niemcy (gdzie rozpad koalicji rządowej w 2024 r. zatrzymał prace legislacyjne), Francja, Irlandia, Holandia i Hiszpania. W maju 2025 r. Komisja wydała uzasadnione opinie (ang. reasoned opinions) wobec 19 państw, grożąc skierowaniem sprawy do Trybunału Sprawiedliwości UE. Do początku 2026 r. około 20 z 27 państw UE zakończyło formalną transpozycję.

Choć Polska wdrożyła ustawę o KSC z dużym opóźnieniem, to nasza rodzima implementacja przepisów NIS2 jest jedną z surowszych w Europie: wyższe progi kar, odpowiedzialność osobista zarządów, mechanizm DWZ i polecenie zabezpieczające. Spóźniliśmy się z przyjęciem prawa, ale wygląda na to, że nie poszliśmy na skróty w zakresie jego treści.

Kluczowe różnice między dyrektywą NIS2 a polską ustawą o KSC

Załączniki nr 1 i 2 do ustawy o KSC – sektory kluczowe i ważne

Załącznik nr 1 – sektory kluczowe (co do zasady: >250 pracowników lub obrót >50 mln EUR)

Energetyka (energia elektryczna, gaz, ropa, ciepłownictwo, wodór), transport (lotniczy, kolejowy, wodny, drogowy), bankowość i infrastruktura rynku finansowego, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa (centra danych, chmura, sieci łączności elektronicznej, DNS), zarządzanie usługami ICT (B2B), administracja publiczna, przestrzeń kosmiczna. Polska wpisała administrację publiczną jako sektor kluczowy – mniejsze JST mogą być podmiotami ważnymi.

Załącznik nr 2 – sektory ważne (co do zasady: 50–249 pracowników lub obrót 10–50 mln EUR)

Usługi pocztowe i kurierskie, gospodarka odpadami, produkcja i dystrybucja chemikaliów, produkcja i dystrybucja żywności, produkcja (wyrobów medycznych, elektroniki, maszyn, pojazdów), dostawcy usług cyfrowych (platformy e-commerce, wyszukiwarki, sieci społecznościowe), organizacje badawcze.

Część III: Podejście Arkanet – Holistycznie i ewolucyjnie

Od lat obserwujemy ten sam schemat: organizacje wchodzą w cyberbezpieczeństwo głównie przez zakup technologii. Ot zakupię antywirusa i backup danych i to mi wystarczy…. Dopiero z czasem okazuje się, że bez odpowiedniego wdrożenia, szkoleń, procesów oraz budowania świadomości ludzi ta technologia jest jak drogi zamek zamontowany w tekturowych drzwiach. Jak my to widzimy?

Całość: technologia, ludzie i procesy razem

Warstwa technologiczna

Dobrane do realnych potrzeb organizacji narzędzia: ochrona sieci, zarządzanie tożsamością i dostępem, monitoring bezpieczeństwa, zarządzanie podatnościami, ochrona punktów końcowych. Nie katalog produktów z półki, ale rozwiązania dopasowane do profilu ryzyka konkretnej firmy.

Warstwa ludzka

Szkolenia nie jako jednorazowe wydarzenie, ale jako ciągły program: od onboardingu nowych pracowników, przez regularne ćwiczenia, takie jak symulacje phishingu, aż po dedykowane warsztaty dla kadry zarządzającej dotyczące odpowiedzialności wynikających z KSC. Należy pamiętać, że to człowiek pozostaje zarówno najsłabszym ogniwem, jak i pierwszą linią obrony.

Warstwa procesowa

System Zarządzania Bezpieczeństwem Informacji (SZBI): procedury reagowania na incydenty, polityki dostępu, zarządzanie ryzykiem dostawców, plany ciągłości działania i odtwarzania po awarii. Dokumentacja, która żyje – jest aktualizowana, testowana i faktycznie znana pracownikom.

Jak działamy w zakresie cyberbezpieczeństwa?

Etap 1 – Diagnoza i fundament

Wszystko zaczyna się od rozmowy. To ją proponujemy na początek, z jednym z naszych handlowców, który jest w stanie ocenić, czy to, czego potrzebujecie mieści się w zakresie naszych kompetencji. Jeśli tak, to zazwyczaj umawiamy spotkanie koncepcyjne on-line, żeby omówić założenia obu stron, podejście do tematu i na koniec wspólnie stwierdzić czy chcemy kontynuować współpracę.

Kolejne etapy ustalane są już indywidualnie. Zależy nam jednak przede wszystkim na bezpośrednim spotkaniu – najlepiej w formie wizji lokalnej, podczas której rozpoczyna się analiza: gdzie jesteście dziś względem wymogów KSC, jakie aktywa i ryzyka są kluczowe, gdzie są wasze mocne i słabe strony oraz co wdrożyć w pierwszej kolejności. Dlaczego wizyta u Was jest tak istotna? Bo pozwala nam zobaczyć realne środowisko pracy i zrozumieć, jak funkcjonuje organizacja, co rzeczywiście „w trawie piszczy”. Wówczas pomagamy też w samoidentyfikacji, czy i jako jaki podmiot podlegacie ustawie.

Etap 2 – Procesy i podstawy techniczne

Po spotkaniu z pierwszego etapu dostaniecie od nas raport podsumowujący. W zależności od ustaleń, często uzupełniamy go również o wstępne wyceny rozwiązań, które wspólnie określiliśmy jako priorytetowe. 

Dodatkowo poza narzędziami IT nie należy zapominać o kwestii budowy/aktualizacji SZBI, wdrożenia procedur, szkoleń pracowników i zarządu. Może się wydawać, że to dużo naraz, ale przy mądrym rozplanowaniu i zaangażowaniu odpowiednich ludzi jest to do zrobienia!

Etap 3 – Dojrzałość i ciągłe doskonalenie

Pomiędzy etapami na bieżąco dostosowujemy plan do tego, co faktycznie dzieje się w organizacji. Między pierwszym a trzecim etapem zmienią się zagrożenia, zmieni się infrastruktura, a nierzadko również przepisy. Historia KSC pokazuje, że regulacje ewoluują. Dlatego chcemy być przy Was przez cały ten proces.

Formami ciągłego doskonalenia są m.in.: audyty bezpieczeństwa, testy penetracyjne, ćwiczenia reagowania na incydenty, regularne przeglądy procedur i polityk, rozbudowa warstwy monitoringu oraz zarządzanie bezpieczeństwem łańcucha dostaw . I w tym również jesteśmy w stanie Was wesprzeć.

Część IV: Narzędzia i obszary, które budują realne bezpieczeństwo – co mówi o nich NIS2 i KSC

Poniżej omawiamy konkretne obszary i kategorie rozwiązań, które uznajemy za istotne. Przy każdym wskazujemy, gdzie dyrektywa NIS2 lub polska ustawa o KSC bezpośrednio do nich nawiązuje, bo tak naprawdę zgodność z prawem i realne bezpieczeństwo powinny iść w parze. Wskazujemy tutaj obszary kluczowe i bazowe, które stanowią fundament do dalszych działań oraz tzw. dodatki, którymi warto zająć się, gdy podstawy mamy już zapewnione. Oczywiście każda organizacja jest inna i ma swoje specyficzne potrzeby, więc potraktujcie to po prostu jako szybki przegląd tego w jakich obszarach możemy pomóc i co na ten temat mówi dyrektywa.   

Poniżej omawiamy konkretne obszary i kategorie rozwiązań, które uznajemy za istotne. Przy każdym wskazujemy, gdzie dyrektywa NIS2 lub polska ustawa o KSC bezpośrednio do nich nawiązuje, bo tak naprawdę zgodność z prawem i realne bezpieczeństwo powinny iść w parze. Wskazujemy tutaj obszary kluczowe i bazowe, które stanowią fundament do dalszych działań oraz tzw. dodatki, którymi warto zająć się, gdy podstawy mamy już zapewnione. Oczywiście każda organizacja jest inna i ma swoje specyficzne potrzeby, więc potraktujcie to po prostu jako szybki przegląd tego w jakich obszarach możemy pomóc i co na ten temat mówi dyrektywa.   

1. Procedury i System Zarządzania Bezpieczeństwem Informacji (SZBI)

Procedury to najczęściej niedoceniany element cyberbezpieczeństwa. Nie dlatego, że nikt ich nie chce, ale dlatego, że źle napisane są gorsze niż ich brak. Procedura, której nikt nie testował i której nikt nie zna, to papier w szufladzie – co gorsza papier, który tworzy fałszywe poczucie bezpieczeństwa.

Dobrze napisane procedury, tworzone przez ludzi rozumiejących zarówno regulacje, jak i specyfikę danej branży, stają się narzędziem pracy. Ułatwiają codzienne działania, eliminują dowolność interpretacyjną i drastycznie skracają czas reakcji w przypadku incydentu. Kiedy dzieje się coś złego, nie ma czasu na improwizację. Procedura reagowania powinna być na tyle prosta i jasna, że można ją wykonać pod presją. Właśnie dlatego procedury powinny być elementem szerszego podejścia, jakim jest SZBI, systemu, który żyje i ewoluuje razem z organizacją.

2. Szkolenia z cyberbezpieczeństwa dla firm

Zdecydowana większość udanych cyberataków zaczyna się od błędu człowieka: kliknięcia w phishingowy link, użycia słabego hasła czy podłączenia nieznanego urządzenia. Technologia może zredukować skutki tych błędów, ale nie wyeliminuje ich źródła. Szkolenia budują coś, czego nie zapewni żadne oprogramowanie: nawyki i instynkty.

Jednorazowe, wielogodzinne, stacjonarne szkolenie raz w roku, gdzie po godzinie uwaga większości uczestników spada lub e-learning polegający na przeklikaniu „następny slajd", ma wartość edukacyjną zbliżoną do zera. Skuteczne programy szkoleniowe są regularne, zróżnicowane (symulacje phishingu, warsztaty, scenariusze kryzysowe), dopasowane do stanowisk – inne treści dla zarządu, inne dla administratorów IT, inne dla szeregowych pracowników – i mierzalne.

3. Ochrona stacji końcowych - EDR zamiast (i ponad) antywirusem

Klasyczna ochrona antywirusowa oparta na sygnaturach ma fundamentalny problem, wykrywa jedynie zagrożeniami, które już zna. Nowe, nieznane ataki mogę pozostać przez nią niezauważone.

EDR (Endpoint Detection and Response) reprezentuje zupełnie inne podejście. Zamiast porównywać pliki z bazą znanych zagrożeń, monitoruje zachowanie procesów na stacji końcowej w czasie rzeczywistym. Analizuje m.in.: czy dany proces nagle zaczął szyfrować pliki, czy próbuje nawiązać połączenie z podejrzanym adresem IP lub czy zmienia uprawnienia w sposób odbiegający od normy. Innymi słowy, EDR nie pyta „czy znam ten plik", ale „czy to zachowanie jest normalne". Nowoczesne rozwiązania EDR umożliwiają zautomatyzowaną reakcję, np. izolację zainfekowanej stacji lub blokadę procesu, co przekłada się bezpośrednio na zdolność organizacji do spełnienia ustawowych terminów raportowania o incydentach (24h/72h).

Jeszcze jedną istotną kwestią, jest nazewnictwo i sposób rozwijania skrótów, a w tym producenci oprogramowania osiągnęli poziom arcymistrzowski. Na rynku wyróżniamy rozwiązania typu EDR (opisane powyżej) oraz XDR. To drugie często jest interpretowane w róży sposób, ponieważ litera „X” często rozwijana jest dowolnie (np. jako extended). Natomiast zgodnie z przyjętym podejściem systemy typu XDR stanowią rozszerzenie koncepcji EDR, wzbogacając zakres ochrony o m.in. zasoby i usługi chmurowe. Niby szczegół, ale w chaosie pojęciowym, jaki funduje nam współczesny marketing, potrafi mieć zaskakująco duże znaczenie. 

4. Zarządzanie podatnościami 

Słowo „podatność" pojawia się w treści polskiej ustawy o KSC kilkadziesiąt razy, i nie jest to przypadek. Niezałatana podatność to otwarte drzwi. Warto przy tym zauważyć, że większość głośnych ataków ransomware z ostatnich lat wykorzystywała luki, dla których istniały już poprawki. Problem polegał na tym, że organizacje ich nie wdrożyły, bo nie wiedziały, że mają problem.

Zarządzanie podatnościami to proce dwuwarstwowy, na który składają się:

• Patch management, czyli systematyczne śledzenie i wdrażanie aktualizacji oprogramowania i systemów. Moduły patch management zawarte w nowoczesnych AV/EDR to absolutne minimum, ponieważ umożliwiają centralnie zarządzać aktualizacjami na wszystkich stacjach i bieżący wgląd w to, co jest nieaktualne.
• Skanery podatności (standalone lub zintegrowane z AV/EDR), to aktywne skanowanie całego środowiska (stacji roboczych, serwerów, urządzeń sieciowych, aplikacji), identyfikacja podatności, ich priorytetyzacja według poziomu krytyczności oraz monitorowanie cyklu ich życia. Bez skanera podatności zarządzanie ryzykiem jest niemożliwe, nie da się kontrolować tego, czego się nie widzi. 

To, w jaki sposób zdecydujecie się realizować skanowanie podatności w Waszej organizacji, zależy wyłącznie od Was. Warto jednak robić to w jakiejkolwiek formie, nieaktualizowane aplikacje to otwarte drzwi dla atakującego, i to nawet niezbyt wyrafinowanego.

W określeniu, jak głęboko powinniście podejść do zarządzania podatnościami, pomocna będzie analiza ryzyka, którą należy przygotować w ramach dokumentacji do NIS2. To ona pokazuje, co faktycznie jest ważne z biznesowego punktu widzenia i jak bardzo przekłada się to na cyberbezpieczeństwo organizacji.

5. Ochrona sieci firmowych – NG Firewall, UTM, segmentacja

Sieć to fundament. Bez porządku w jej strukturze wszystkie inne zabezpieczenia są mniej skuteczne – bo atakujący, który raz dostanie się do środka, może swobodnie poruszać się po całym środowisku i docierać do kolejnych systemów, a my nie będziemy mieli o tym pojęcia. W efekcie możemy skupiać się na uszczelnieniach naszych zabezpieczeń zewnętrznych, podczas gdy mamy niemile widzianego gościa wewnątrz.

NG Firewall (Next Generation Firewall) i UTM (Unified Threat Management) to dziś znacznie więcej niż klasyczne zapory sieciowe, oferują m.in: inspekcję SSL/TLS, IDS/IPS, filtrowanie treści, kontrolę aplikacji czy VPN.  Kluczowym elementem ich działania jest również zbieranie logów z ruchu sieciowego – niezbędnych zarówno do wykrywania incydentów, jak i do wykazania organom nadzorczym, że monitoring faktycznie działa.

Segmentacja sieci (VLAN-y; strefy DMZ; dedykowane sieci dla IoT; OT – technologia operacyjna; monitoringu; zarządzania) to mechanizm ograniczający zasięg ataku. Wydzielona sieć dla systemów monitoringu, odizolowana od sieci biurowej, to dziś standard, nie przejaw paranoi. Podobnie bezpieczne Wi-Fi (oddzielna sieć dla gości, kontrola dostępu). Bez segmentacji atakujący, który przejął jedną stację, zyskuje potencjalny dostęp do całej infrastruktury.

Zapewnienie bezpiecznej sieci w organizacji to dziś standard, a nie wymysł. Stosowanie profesjonalnych narzędzi do jej ochrony, ale także unifikacja przełączników i korzystanie wyłącznie z rozwiązań zarządzalnych również staje się codziennością w wielu organizacjach. Powtórzę się, ale to jak głęboko chcecie wejść w kwestie sieci jest indywidualną decyzją Waszej organizacji i zależy od możliwości (również finansowych) oraz kompetencji. Jedno jest pewne, w dzisiejszych czasach pewien poziom bezpieczeństwa musi zostać zachowany. Zarówno ochrona sieci jak i jej segmentacja są absolutnymi podstawami bezpieczeństwa.

6. Backup danych, czyli cicha tarcza w erze ransomware

Backup danych firmowych to jedyne zabezpieczenie, które działa po tym, jak wszystko inne zawiodło. Kiedy ransomware zaszyfruje dyski, a atakujący zażąda 200 000 euro okupu, pierwsze pytanie brzmi: czy masz dobry backup? Jeśli tak, incydent jest bolesny, ale przeżywalny. Jeśli nie, zaczynasz negocjacje z atakującym.

Dobry backup danych spełnia nieśmiertelną (i wciąż skuteczną) regułę 3-2-1: trzy kopie danych, na co najmniej dwóch różnych nośnikach, z czego jedna offline lub w oddzielonej lokalizacji geograficznej. Jest też regularnie testowany, bo backup, którego nikt nie sprawdzał od roku, w krytycznym momencie może okazać się bezużyteczny. 

Z backupem nierozerwalnie związane są dwa kluczowe pojęcia: RPO (Recovery Point Objective) oraz RTO (Recovery Time Objective). RPO określa ile danych maksymalnie organizacja może stracić (czyli jak często robić backup), natomiast RTO – jak szybko musi zostać przywrócone działanie systemów. Właściwe zdefiniowanie tych parametrów stanowi podstawę Planu Ciągłości Działania (BCP/DRP) i sensownego wdrożenia backup w organizacji, bo dopiero wtedy wiadomo jakie rozwiązania (np. chmura, napędy taśmowe, zasoby własne) są potrzebne, żeby te założenia spełnić.

7. Obszary uzupełniające – mapa rozwiązań adresowanych przez NIS2 i KSC

Poniżej zestawienie dodatkowych obszarów, które NIS2 i KSC adresują wprost:

• MFA / 2FA – uwierzytelnianie wieloskładnikowe
  Art. 21 NIS2 wymienia „stosowanie uwierzytelniania wieloskładnikowego lub ciągłego" jako obowiązkowy środek zarządzania ryzykiem. MFA powinno obejmować dostęp do systemów krytycznych, VPN, poczty i wszystkich usług dostępnych z zewnątrz. Jeden z najprostszych i najskuteczniejszych środków ochrony – i jeden z najczęściej pomijanych.
• ITSM / IT Asset Management
  Nie da się zarządzać ryzykiem dla aktywów, o których istnieniu się nie wie. Inwentaryzacja aktywów jest elementem wymagań art. 21 NIS2 w ramach Systemu Zarządzania Bezpieczeństwem Informacji. Narzędzia klasy ITSM/ITAM pozwalają utrzymywać aktualny rejestr sprzętu i oprogramowania – fundament skutecznego zarządzania podatnościami i zmianą. Umożliwiają oczywiście dużo więcej, jak np.: wdrożenie service desku, monitorowanie infrastruktury, zarządzanie stanowiskami itp. To pozwala dołożyć kolejne elementy do skutecznego zarządzania środowiskiem.
• PAM – Privileged Access Management
  Konta uprzywilejowane to najbardziej wartościowy cel dla atakujących. Przejęcie konta z uprawnieniami administratora daje dostęp do wszystkiego. Rozwiązania PAM, umożliwiające kontrolę, monitorowanie i rejestrowanie sesji uprzywilejowanych (zarówno wewnętrznych, jak i zewnętrznych przez np. w outsourcingu), znacząco redukują to ryzyko. NIS2 wymaga „polityki kontroli dostępu i zarządzania aktywami" (art. 21) – PAM jest techniczną odpowiedzią na ten wymóg.
• NAC – Network Access Control
  Kontrola dostępu do sieci polega na weryfikacji, czy urządzenie próbujące się podłączyć spełnia wymagane kryteria bezpieczeństwa (aktualny AV, patch, certyfikat). NAC wpisuje się w wymogi NIS2 dotyczące kontroli dostępu i segmentacji sieci. Szczególnie istotny jest w środowiskach IoT lub z dużą liczbą pracowników zdalnych.
• SIEM / SOAR
  SIEM (Security Information and Event Management) zbiera i koreluje logi z całego środowiska – sieć, stacje, serwery, aplikacje. SOAR (Security Orchestration, Automation and Response) automatyzuje reakcje na wykryte zdarzenia. Razem tworzą fundament Centrum Operacji Bezpieczeństwa (SOC). NIS2 wymaga „monitorowania systemów i wykrywania anomalii", bez SIEM spełnienie tego wymogu jest trudne do udowodnienia audytorom. Jednocześnie wdrażanie SIEM-a w nieuporządkowanym środowisku (szczególnie na poziomie podstawowym) często kończy się chaosem. SIEM/SOAR/SOC to uzupełnienie dojrzałego środowiska – nie jego fundament.
• Ochrona poczty elektronicznej
  Phishing to wciąż najczęstszy wektor ataku. Zaawansowane rozwiązania ochrony poczty (anti-phishing, anti-spoofing, sandboxing załączników, weryfikacja DMARC/SPF/DKIM) odpowiadają na wymogi NIS2 w zakresie „podstawowych praktyk cyberhigieny" (art. 21). Poczta bez zaawansowanej filtracji to kanał, którym atak trafia wprost do pracownika.
• DLP – Data Loss Prevention
  Rozwiązania DLP chronią przed nieautoryzowanym ujawnieniem danych. Są szczególnie istotne dla podmiotów przetwarzających dane osobowe lub poufne informacje handlowe. DLP uzupełnia mechanizmy kontroli dostępu i szyfrowania, odpowiadając na wymagania NIS2 i KSC dotyczące ochrony danych.
• Szyfrowanie danych
  Art. 21 NIS2 wymienia „polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania" jako obowiązkowy element środków zarządzania ryzykiem. Szyfrowanie danych w spoczynku i w tranzycie to dziś standard, a jednocześnie obszar, w którym wiele organizacji wciąż ma luki. KSC precyzuje, że stopień kryptografii powinien być adekwatny do poziomu ryzyka.

Cyberbezpieczeństwo to maraton, nie sprint

NIS2 i polska ustawa o KSC to nie kolejne biurokratyczne wymagania do odhaczenia. To regulacje, które – mimo swoich niedoskonałości – odpowiadają na realny problem: wiele organizacji przez lata traktowało cyberbezpieczeństwo jako koszt IT, a nie jako ryzyko biznesowe. Atakujący doskonale o tym wiedzą.

Wierzymy, że dobrą odpowiedzią na te regulacje nie jest jednorazowy projekt, lecz partnerstwo, czyli długoterminowe, oparte na zrozumieniu specyfiki danej organizacji, budujące bezpieczeństwo warstwowo i ewolucyjnie. Bez skrótów. Bez pozornej zgodności „na papierze”, która wygląda dobrze w audycie, ale zawodzi, kiedy mamy realny incydent i potrzebę działania zgodnie z procedurami.

Czas ucieka, ustawa obowiązuje od 3 kwietnia 2026 roku. Najgorsze, co możesz zrobić, to wdrożyć ją naprędce i źle. Drugie najgorsze: nie wdrożyć jej wcale.

Jeśli chcesz w praktyce zobaczyć jak wygląda nasze podejście, porozmawiajmy o tym, co NIS2 i KSC oznaczają konkretnie dla Twojej organizacji i czy oraz w jaki sposób możemy Ci pomóc. 

Najczęściej zadawane pytania (FAQ)

1. Czy można jednorazowo „wdrożyć NIS2” i mieć temat zamknięty?
   Nie. Cyberbezpieczeństwo to proces ciągły, a nie jednorazowy projekt. NIS2 i ustawa o KSC wymagają regularnego zarządzania ryzykiem, aktualizacji zabezpieczeń, szkoleń pracowników oraz doskonalenia procedur. Organizacja musi stale dostosowywać się do nowych zagrożeń i zmian w swoim środowisku IT.

2.  Skąd mam wiedzieć, czy moja organizacja podlega pod NIS2 i KSC?
   O kwalifikacji decydują przede wszystkim sektor działalności, liczba pracowników oraz osiągane przychody. Ustawa obejmuje m.in. podmioty z obszarów energetyki, transportu, ochrony zdrowia, administracji publicznej, infrastruktury cyfrowej czy produkcji. Pierwszym krokiem powinien być proces samoidentyfikacji i analiza obowiązków wynikających z ustawy. Warto przy tym wskazać, że szczegółowy zakres sektorów oraz podział na podmioty kluczowe i ważne został opisany w załącznikach do ustawy o KSC – w szczególności w załączniku nr 1 i nr 2, gdzie wymienione są odpowiednie sektory i rodzaje działalności.

3. Czy zakup nowych narzędzi lub oprogramowania wystarczy, aby spełnić wymagania NIS2?
   Nie. Nawet najlepsze rozwiązania technologiczne nie zapewnią zgodności z przepisami bez odpowiednich procedur, szkoleń, analizy ryzyka oraz zaangażowania kierownictwa. Realne cyberbezpieczeństwo opiera się na współpracy technologii, ludzi i procesów.

4. Jakie kary grożą za nieprzestrzeganie wymagań KSC? 
    W zależności od rodzaju naruszenia kary mogą sięgać nawet 10 mln euro lub 2% rocznego obrotu organizacji. Polska ustawa przewiduje również odpowiedzialność osób zarządzających oraz dodatkowe sankcje w szczególnie poważnych przypadkach.

5. Od czego najlepiej zacząć przygotowania do NIS2 i KSC?
   Od rzetelnej analizy obecnej sytuacji organizacji. Należy określić, czy firma podlega pod przepisy, zidentyfikować kluczowe ryzyka, ocenić poziom zabezpieczeń oraz przygotować plan działań. Dopiero na tej podstawie warto podejmować decyzje dotyczące procedur, szkoleń i wdrażania konkretnych rozwiązań technologicznych.