$ cd ~/securember/nis2

NIS2 / KSC - terminy, obowiązki, sektory

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa wdraża dyrektywę NIS2. Obowiązki i terminy biegną z mocy prawa - również dla podmiotów, które nie otrzymały żadnego powiadomienia.

// terminy

Kluczowe terminy

// 01 - rejestracja
3.10.2026
Wpis do wykazu podmiotów kluczowych i ważnych.
// 02 - wdrożenie
3.04.2027
Wdrożone środki zarządzania ryzykiem (art. 21) - w tym zarządzanie podatnościami.
// 03 - audyt
3.04.2028
Pierwszy obowiązkowy audyt bezpieczeństwa; od tej daty organ nadzoru może stosować sankcje ustawowe.
// obowiązki

Środki zarządzania ryzykiem (art. 21)

Ustawa wymaga wdrożenia i udokumentowania m.in. następujących środków:

[x]Polityki analizy ryzyka i bezpieczeństwa systemów
[x]Obsługa incydentów
[x]Ciągłość działania i zarządzanie kopiami zapasowymi
[x]Bezpieczeństwo łańcucha dostaw
[x]Bezpieczeństwo w pozyskiwaniu i utrzymaniu systemów - w tym ujawnianie i obsługa podatności
[x]Procedury oceny skuteczności wdrożonych środków
[x]Higiena cyberbezpieczeństwa i szkolenia
[x]Kryptografia i szyfrowanie
[x]Bezpieczeństwo zasobów ludzkich i kontrola dostępu
[x]Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja

// Skany podatności i testy penetracyjne realizują bezpośrednio obowiązek identyfikacji podatności oraz oceny skuteczności środków.

// sektory

Sektory objęte regulacją

Organizacje działające w wymienionych sektorach i przekraczające progi wielkości określone w ustawie (co do zasady od 50 zatrudnionych) z dużym prawdopodobieństwem podlegają obowiązkom NIS2.

Energetyka Transport Bankowość Rynki finansowe Ochrona zdrowia Woda i ścieki Infrastruktura cyfrowa Zarządzanie usługami ICT Administracja publiczna Przestrzeń kosmiczna Usługi pocztowe i kurierskie Gospodarka odpadami Chemikalia Żywność Produkcja (m.in. wyroby medyczne, elektronika, maszyny) Dostawcy usług cyfrowych Badania naukowe Infrastruktura krytyczna

// Status podlegania można zweryfikować podczas konsultacji wstępnej.

Gap analysis względem art. 21

Zestawienie stanu faktycznego organizacji z wymaganymi środkami oraz plan dojścia do zgodności - przed pierwszym audytem.

Umów konsultację