NIS2 w praktyce: od czego zacząć, zanim przyjdzie audytor
Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa obowiązuje od kwietnia 2026 r. Terminy są policzalne: wpis do wykazu podmiotów kluczowych i ważnych do 3 października 2026, wdrożone środki zarządzania ryzykiem do 3 kwietnia 2027, pierwszy obowiązkowy audyt do 3 kwietnia 2028. Poniżej pięć kroków, które warto wykonać w tej kolejności.
1. Ustal, czy podlegasz - i udokumentuj tę analizę
Nikt nie przyśle pisma z informacją o podleganiu. Kryteria to sektor działalności (osiemnaście sektorów, od energetyki po produkcję) oraz próg wielkości - co do zasady od 50 zatrudnionych. Ważny szczegół, który często umyka: analizę trzeba przeprowadzić także wtedy, gdy wychodzi z niej, że obowiązkom się nie podlega. Udokumentowana samoidentyfikacja to pierwszy dowód, o który pyta audytor.
2. Zinwentaryzuj to, co masz
Nie da się zabezpieczyć systemów, o których istnieniu nikt nie pamięta. Minimalny zakres: lista systemów wspierających usługi kluczowe, usługi wystawione do internetu (wraz z subdomenami i środowiskami testowymi), zależności od dostawców zewnętrznych. W praktyce to właśnie zapomniane subdomeny i środowiska deweloperskie generują największe ryzyko - i najbardziej zaskakują zarządy w raportach z rozpoznania.
3. Zacznij od identyfikacji podatności
Artykuł 21 wymaga m.in. polityk analizy ryzyka oraz bezpieczeństwa w utrzymaniu systemów - w tym obsługi i ujawniania podatności. Skan perymetru z manualną walidacją wyników to najszybszy sposób, by przejść od deklaracji do mierzalnego dowodu realizacji tego obowiązku: raport z datą, zakresem, priorytetyzacją i planem napraw.
4. Uporządkuj procesy z art. 21
Techniczne testy to tylko część wymagań. Ustawa wymaga też obsługi incydentów, ciągłości działania i kopii zapasowych, bezpieczeństwa łańcucha dostaw, szkoleń oraz kryptografii. Sensowna kolejność: najpierw gap analysis (zestawienie stanu faktycznego z wymaganiami), potem plan dojścia z priorytetami - zamiast wdrażania wszystkiego naraz.
5. Dokumentuj wszystko
Audytor nie oceni tego, czego nie zobaczy. Każde działanie - analiza podlegania, inwentaryzacja, skan, retest, szkolenie - powinno zostawić ślad: dokument z datą i zakresem. Dobrze poprowadzona dokumentacja skraca audyt bardziej niż jakakolwiek pojedyncza kontrola techniczna.
Podsumowanie
Kolejność ma znaczenie: samoidentyfikacja → inwentaryzacja → identyfikacja podatności → procesy → dokumentacja. Szczegółowe terminy i pełną listę środków z art. 21 znajdziesz na stronie NIS2 / KSC. Status podlegania i sensowny pierwszy krok dla konkretnej organizacji można ustalić podczas konsultacji wstępnej.