NIS2 w praktyce – jak przygotować organizację

Jak przygotować organizację do NIS2 w praktyce? Sprawdź, jak ocenić gotowość, uporządkować ryzyka, incydenty, dostawców, szkolenia i dokumentację oraz zaplanować działania na 30, 90 i 180 dni.
26 kwietnia 2026
blog

Czym jest NIS2 i kogo dotyczy w praktyce

NIS2 to unijna dyrektywa dotycząca cyberbezpieczeństwa, która podnosi wymagania wobec organizacji istotnych dla ciągłości działania gospodarki i usług publicznych. Jej celem jest nie tylko zwiększenie poziomu ochrony systemów informacyjnych, ale także ujednolicenie podejścia do zarządzania ryzykiem, odpowiedzialności kadry kierowniczej oraz reagowania na incydenty. W praktyce oznacza to odejście od traktowania cyberbezpieczeństwa wyłącznie jako zagadnienia technicznego i włączenie go do obszaru nadzoru zarządczego, compliance oraz zarządzania operacyjnego.

W odróżnieniu od wcześniejszego podejścia, NIS2 obejmuje szerszy katalog sektorów i podmiotów. Znaczenie ma nie tylko branża, ale również skala działania organizacji, jej rola w łańcuchu usług oraz wpływ ewentualnego incydentu na klientów, partnerów lub funkcjonowanie rynku. Z perspektywy biznesowej istotne jest więc nie tylko pytanie, czy organizacja formalnie podlega pod przepisy, ale także czy pełni funkcję, której zakłócenie może wywołać realne skutki operacyjne lub społeczne.

W praktyce regulacja dotyczy przede wszystkim podmiotów działających w sektorach uznanych za kluczowe lub ważne, takich jak infrastruktura cyfrowa, energetyka, transport, ochrona zdrowia, usługi finansowe, administracja publiczna czy wybrane obszary produkcji i usług. Jednocześnie wpływ NIS2 wykracza poza organizacje objęte regulacją wprost. Wymagania bardzo często przenoszą się na dostawców, partnerów technologicznych i podwykonawców, ponieważ podmioty objęte dyrektywą oczekują od swojego otoczenia odpowiedniego poziomu bezpieczeństwa i zdolności do wykazania go w sposób uporządkowany.

  • Podmioty objęte bezpośrednio – organizacje działające w sektorach wskazanych przez regulacje i spełniające określone kryteria istotności lub wielkości.
  • Podmioty objęte pośrednio – dostawcy usług, oprogramowania, utrzymania, outsourcingu lub wsparcia, od których zależy bezpieczeństwo i ciągłość działania podmiotów regulowanych.
  • Kadra zarządzająca i właściciele procesów – osoby odpowiedzialne za nadzór, decyzje inwestycyjne, akceptację ryzyka i zapewnienie zgodności organizacyjnej.

To właśnie ten ostatni element ma szczególne znaczenie. NIS2 nie jest regulacją, którą można zamknąć w dziale IT lub security. Wymaga zaangażowania zarządu, uporządkowania odpowiedzialności oraz zbudowania wspólnego języka między technologią, ryzykiem, prawem i biznesem. W naszej ocenie wiele organizacji błędnie zakłada, że zgodność będzie oznaczała głównie zakup narzędzi. Tymczasem punkt wyjścia jest szerszy: trzeba ustalić, czy organizacja podlega wymaganiom, jakie pełni funkcje krytyczne i które procesy powinny być traktowane jako szczególnie istotne z perspektywy odporności operacyjnej.

Z perspektywy praktycznej pytanie „czy NIS2 nas dotyczy?” warto zastąpić pytaniem „w jakim stopniu wpływa na nasz model działania?”. Nawet jeśli organizacja nie zostanie formalnie zakwalifikowana jako podmiot kluczowy lub ważny, może odczuć skutki nowych wymagań poprzez audyty klientów, zapisy umowne, wymogi przetargowe, ankiety bezpieczeństwa czy konieczność potwierdzania dojrzałości procesów. Dlatego już na etapie wstępnej oceny warto patrzeć na NIS2 nie tylko jako na obowiązek regulacyjny, ale również jako na standard rynkowy, który będzie coraz silniej kształtował oczekiwania wobec organizacji i ich partnerów.

2. Gap analysis: jak ocenić gotowość organizacji

W praktycznym przygotowaniu do NIS2 punktem wyjścia powinna być rzetelna analiza luk, czyli porównanie obecnego stanu organizacji z wymaganiami regulacyjnymi oraz z rzeczywistym profilem ryzyka. Gap analysis nie jest wyłącznie przeglądem dokumentów ani technicznym audytem bezpieczeństwa. To uporządkowana ocena tego, czy organizacja posiada adekwatne mechanizmy zarządcze, operacyjne i kontrolne, które można wykazać jako działające, a nie tylko formalnie zapisane.

Na poziomie wprowadzenia warto rozróżnić trzy obszary, które w analizie często bywają mylone. Po pierwsze, zgodność formalna, czyli istnienie polityk, procedur i przypisanych odpowiedzialności. Po drugie, dojrzałość operacyjna, a więc to, czy zespoły rzeczywiście stosują ustalone zasady w codziennej pracy. Po trzecie, skuteczność, rozumiana jako zdolność organizacji do ograniczania ryzyka i reagowania na zdarzenia w sposób powtarzalny. Organizacja może mieć poprawnie opisaną dokumentację, a jednocześnie pozostawać niegotowa operacyjnie. Z perspektywy NIS2 właśnie ta różnica ma istotne znaczenie.

Dobrze przeprowadzona analiza luk zaczyna się od ustalenia zakresu. Należy określić, które jednostki organizacyjne, systemy, procesy biznesowe i zasoby informacyjne są kluczowe z punktu widzenia ciągłości działania oraz obowiązków wynikających z regulacji. Bez tego łatwo uzyskać obraz fragmentaryczny: dział IT oceni własne środowisko, compliance przeanalizuje zapisy, a właściciele procesów pozostaną poza oceną, mimo że to właśnie na styku biznesu, technologii i odpowiedzialności najczęściej pojawiają się największe luki.

W naszej ocenie użytecznym podejściem jest ocena gotowości przez pryzmat pytań kontrolnych: czy organizacja wie, które zasoby są krytyczne, czy role decyzyjne są jednoznaczne, czy istnieją mierzalne wymagania wobec procesów bezpieczeństwa oraz czy dostępne są dowody potwierdzające ich stosowanie. Tego typu analiza pozwala szybko oddzielić obszary rzeczywiście uporządkowane od tych, które funkcjonują wyłącznie w oparciu o wiedzę poszczególnych osób lub utrwaloną praktykę bez formalnego umocowania.

Sam wynik gap analysis nie powinien przyjmować postaci ogólnego stwierdzenia, że organizacja jest „gotowa” albo „niegotowa”. Bardziej wartościowe jest wskazanie poziomu dojrzałości poszczególnych obszarów oraz zidentyfikowanie braków według ich wpływu na ryzyko i zgodność. W praktyce najlepiej sprawdza się klasyfikacja luk na trzy kategorie: brak pełny, rozwiązanie częściowe oraz rozwiązanie istniejące, ale niewystarczająco udokumentowane lub niespójnie stosowane. Taki podział ułatwia późniejsze ustalanie priorytetów i pozwala uniknąć sytuacji, w której wszystkie niezgodności są traktowane jednakowo.

Istotnym elementem oceny jest także weryfikacja dowodów. Wymogi regulacyjne i oczekiwania kontrolne koncentrują się nie tylko na deklaracjach, ale na możliwości wykazania, że dany mechanizm funkcjonuje. Jeżeli organizacja twierdzi, że zarządza dostępami, szkoli pracowników lub prowadzi ocenę ryzyka, powinna być w stanie to potwierdzić poprzez aktualne rejestry, decyzje, zatwierdzenia, raporty lub ślady operacyjne. Brak takich dowodów często oznacza lukę równie istotną jak brak samego procesu.

Na tym etapie szczególnie ważne jest zaangażowanie biznesu. NIS2 nie jest projektem wyłącznie technologicznym, dlatego analiza gotowości nie może zostać ograniczona do infrastruktury, systemów i zabezpieczeń IT. Właściciele procesów, osoby odpowiedzialne za usługi kluczowe, kadra zarządzająca oraz funkcje prawne i compliance powinny wspólnie potwierdzić, jak w rzeczywistości wygląda model odpowiedzialności, podejmowanie decyzji oraz akceptacja ryzyka. Dopiero taki obraz pozwala ocenić gotowość organizacji w sposób wiarygodny.

Rekomendujemy również, aby wynik analizy luk kończył się mapą priorytetów, a nie jedynie opisem stanu obecnego. Celem gap analysis nie jest stworzenie obszernego raportu, lecz zbudowanie podstawy do programu działań naprawczych. W praktyce największą wartość daje wskazanie, które luki wymagają natychmiastowego uporządkowania z uwagi na wpływ na ciągłość działania, odpowiedzialność zarządczą lub możliwość wykazania zgodności, a które można zaplanować w dalszym etapie jako element podnoszenia dojrzałości.

Organizacje, które chcą podejść do tego etapu metodycznie, powinny zadbać również o kompetencje osób uczestniczących w ocenie. Samo rozumienie wymagań nie wystarcza, jeżeli zespoły nie potrafią przełożyć ich na realne procesy i codzienną praktykę operacyjną. Z tego względu istotne jest przygotowanie interesariuszy do pracy na wspólnych definicjach, kryteriach oceny i scenariuszach biznesowych. W podejściu warsztatowym szczególnie dobrze sprawdza się model pracy oparty na konkretnych przypadkach i rzeczywistych procesach organizacji. Taką formę rozwijania kompetencji realizujemy w ramach szkoleń IT i AI prowadzonych przez Cognity, gdzie nacisk kładziemy na praktyczne zastosowanie wiedzy, analizę rzeczywistych sytuacji oraz dopasowanie programu do sposobu działania zespołu.

Dobrze wykonana analiza luk porządkuje sytuację wyjściową, ujawnia obszary pozornego bezpieczeństwa i tworzy podstawę do decyzji zarządczych. To właśnie na tym etapie organizacja zyskuje odpowiedź nie tylko na pytanie, czego jej brakuje, ale również gdzie ryzyko wynika z braku procesu, gdzie z nieskutecznego działania, a gdzie z niewystarczającej zdolności do udowodnienia, że wymagania są spełniane w praktyce.

💡 Fakt: Nie kończ gap analysis na pytaniu „czy mamy procedurę?” — sprawdź też, czy da się pokazać aktualne dowody jej stosowania w realnych procesach. Najwięcej krytycznych luk wychodzi zwykle na styku biznesu, IT i odpowiedzialności decyzyjnych, więc ocenę prowadź przekrojowo, nie silosowo.

3. Zarządzanie ryzykiem i środki bezpieczeństwa: co musi działać

W praktyce NIS2 nie sprowadza się do wdrożenia pojedynczych narzędzi bezpieczeństwa. Punktem wyjścia jest dojrzały model zarządzania ryzykiem, w którym organizacja potrafi zidentyfikować krytyczne procesy, zasoby, zależności technologiczne oraz scenariusze zagrożeń, a następnie dobrać adekwatne środki organizacyjne i techniczne. Kluczowe znaczenie ma tutaj podejście oparte na ryzyku, a więc takie, w którym poziom ochrony wynika z realnego wpływu incydentu na ciągłość działania, dostępność usług, poufność informacji i integralność systemów.

Na poziomie wprowadzającym warto odróżnić dwa porządki działań. Zarządzanie ryzykiem odpowiada na pytanie, co i dlaczego należy chronić oraz jakie ryzyka są akceptowalne z perspektywy biznesu. Środki bezpieczeństwa odpowiadają natomiast na pytanie, jak ta ochrona ma działać w praktyce. W naszej ocenie organizacje najczęściej mają częściowo wdrożone zabezpieczenia, ale problemem pozostaje ich niespójność, brak formalizacji, niejednolite standardy między jednostkami oraz niedostateczne powiązanie z właścicielami procesów biznesowych.

Skuteczny model powinien obejmować regularną identyfikację ryzyk, ich ocenę według wspólnych kryteriów oraz przypisanie odpowiedzialności za decyzje i działania ograniczające ekspozycję. Nie chodzi wyłącznie o ryzyka stricte techniczne, takie jak podatności systemowe czy awarie infrastruktury. Równie istotne są ryzyka operacyjne, organizacyjne i związane z zależnościami od dostawców, personelem uprzywilejowanym, błędami konfiguracji, pracą zdalną czy niekontrolowanym przepływem danych. Jeżeli te obszary nie są objęte jednym, powtarzalnym procesem oceny, organizacja działa reaktywnie zamiast zarządczo.

Z perspektywy środków bezpieczeństwa najważniejsze jest zapewnienie, że działają podstawowe mechanizmy ochronne i że ich skuteczność jest weryfikowana. Obejmuje to przede wszystkim kontrolę dostępu opartą na zasadzie najmniejszych uprawnień, zarządzanie tożsamością i kontami uprzywilejowanymi, segmentację środowisk, aktualizacje i zarządzanie podatnościami, tworzenie oraz testowanie kopii zapasowych, ochronę punktów końcowych, monitorowanie zdarzeń, zabezpieczenia sieciowe oraz środki ograniczające skutki błędu ludzkiego. Samo formalne posiadanie tych rozwiązań nie wystarcza, jeżeli nie są objęte nadzorem, nie mają właściciela i nie są osadzone w procedurach operacyjnych.

Szczególnej uwagi wymaga odporność operacyjna, rozumiana jako zdolność organizacji do utrzymania lub szybkiego odtworzenia kluczowych usług. W tym obszarze liczy się nie tylko bezpieczeństwo prewencyjne, ale także praktyczna wykonalność działań ochronnych. Backup, którego nie testowano od wielu miesięcy, procedura odtworzeniowa nieznana zespołom technicznym czy krytyczny system zależny od jednej osoby to przykłady pozornego bezpieczeństwa. NIS2 premiuje rozwiązania rzeczywiście działające, a nie wyłącznie opisane w dokumentacji.

W praktyce dobrze funkcjonujące środki bezpieczeństwa powinny być jednocześnie proporcjonalne do ryzyka i możliwe do utrzymania w codziennej pracy. Nadmiernie skomplikowane mechanizmy, które użytkownicy omijają, obniżają realny poziom ochrony. Dlatego rekomendujemy, aby wymagania bezpieczeństwa były projektowane wspólnie przez IT, security, compliance i właścicieli procesów, z uwzględnieniem wpływu na operacje biznesowe. Tylko wtedy możliwe jest uzyskanie równowagi między bezpieczeństwem, użytecznością i ciągłością działania.

W organizacjach objętych NIS2 szczególnie istotne jest również zarządzanie zmianą. Każda większa modyfikacja infrastruktury, aplikacji, integracji lub modelu dostępu powinna być oceniana pod kątem wpływu na ryzyko. To właśnie na styku zmian technologicznych i pośpiechu wdrożeniowego najczęściej pojawiają się luki, które później prowadzą do incydentów. Dojrzałe środowisko bezpieczeństwa nie opiera się więc wyłącznie na ochronie stanu obecnego, ale potrafi utrzymać kontrolę również wtedy, gdy systemy i procesy dynamicznie się zmieniają.

Naszym zdaniem zarząd powinien oczekiwać od organizacji nie deklaracji, że bezpieczeństwo „jest wdrożone”, lecz odpowiedzi na kilka prostych pytań: jakie są najważniejsze ryzyka dla kluczowych usług, które zabezpieczenia ograniczają te ryzyka, kto odpowiada za ich utrzymanie oraz w jaki sposób potwierdzana jest ich skuteczność. Jeżeli na te pytania nie ma jednoznacznych odpowiedzi, oznacza to zwykle, że obszar zarządzania ryzykiem i środków bezpieczeństwa wymaga uporządkowania przed uznaniem organizacji za przygotowaną do wymagań NIS2.

4. Obsługa incydentów: procesy, role, komunikacja i raportowanie

W praktyce zgodność z NIS2 nie sprowadza się do samego wykrywania incydentów, ale do zdolności organizacji do ich sprawnego obsłużenia od momentu identyfikacji, przez ocenę wpływu, po działania naprawcze i raportowanie. Incydent należy rozumieć szeroko jako zdarzenie naruszające dostępność, integralność, poufność lub autentyczność systemów, danych albo usług. Dla organizacji kluczowe jest więc nie tylko rozpoznanie, że doszło do nieprawidłowości, lecz także szybkie ustalenie, czy zdarzenie ma charakter operacyjny, bezpieczeństwa informacji czy cyberbezpieczeństwa oraz czy spełnia przesłanki do formalnego zgłoszenia.

Dojrzały proces obsługi incydentów powinien być zdefiniowany end-to-end i możliwy do uruchomienia bez improwizacji. Oznacza to jasne reguły przyjęcia zgłoszenia, triage, klasyfikacji, eskalacji, reakcji technicznej, stabilizacji środowiska oraz zamknięcia sprawy. W naszej ocenie najczęstszym problemem nie jest brak narzędzi, ale brak jednoznacznych decyzji procesowych: kto może uznać zdarzenie za incydent, kto uruchamia ścieżkę kryzysową, kto odpowiada za kontakt z regulatorami i kto zatwierdza komunikację do klientów lub partnerów. Jeżeli te odpowiedzialności nie są opisane wcześniej, organizacja traci cenny czas właśnie wtedy, gdy szybkość reakcji ma największe znaczenie.

Obsługa incydentu powinna opierać się na precyzyjnym podziale ról. Zwykle obejmuje on właściciela procesu incydentowego, zespół bezpieczeństwa lub IT odpowiedzialny za analizę i containment, właścicieli procesów biznesowych oceniających wpływ operacyjny, obszar prawny i compliance wspierający ocenę obowiązków regulacyjnych, a także kadrę zarządzającą podejmującą decyzje przy incydentach istotnych. Istotne jest przy tym rozdzielenie odpowiedzialności za działania techniczne od odpowiedzialności za decyzje biznesowe i komunikacyjne. NIS2 wzmacnia znaczenie nadzoru zarządczego, dlatego zarząd powinien otrzymywać zwięzłą, ale użyteczną informację o skali zdarzenia, potencjalnych skutkach oraz rekomendowanych wariantach działania.

Osobnym obszarem jest komunikacja wewnętrzna i zewnętrzna. Wewnętrznie organizacja potrzebuje prostych kanałów zgłaszania i eskalacji, aby pracownicy nie zastanawiali się, gdzie przekazać informację o podejrzanym zdarzeniu. Zewnętrznie konieczne jest uporządkowanie zasad kontaktu z klientami, partnerami, dostawcami, organami oraz, gdy jest to uzasadnione, z mediami. Komunikacja w incydencie nie może być przypadkowa ani prowadzona równolegle przez wiele jednostek. Powinna być oparta na zatwierdzonych ścieżkach, z przypisanym właścicielem komunikatu i kontrolą spójności przekazu. Z perspektywy ryzyka regulacyjnego i reputacyjnego szczególnie ważne jest, aby przekazywać informacje potwierdzone, adekwatne do stanu wiedzy i aktualizowane wraz z rozwojem sytuacji.

W kontekście NIS2 szczególnego znaczenia nabiera raportowanie incydentów poważnych. Organizacja powinna wcześniej ustalić, jakie kryteria wpływu stosuje, jakie dane są niezbędne do oceny zdarzenia oraz jak wygląda wewnętrzna ścieżka zatwierdzania zgłoszenia. Sam obowiązek raportowy jest tylko końcowym elementem procesu; aby go wypełnić terminowo i rzetelnie, trzeba mieć przygotowany mechanizm gromadzenia faktów, ocen technicznych i decyzji biznesowych. W praktyce dobrze działają ustandaryzowane formularze incydentowe, wspólny rejestr działań oraz gotowe szablony komunikatów dla różnych scenariuszy. Takie podejście ogranicza ryzyko chaosu informacyjnego i ułatwia późniejszą analizę działań.

Równie ważne jak reakcja bieżąca jest zamknięcie incydentu w sposób kontrolowany. Obejmuje to potwierdzenie przywrócenia usług, ocenę skuteczności zastosowanych środków, analizę przyczyn źródłowych oraz decyzję, jakie działania korygujące należy wdrożyć. Dla potrzeb zarządczych i dowodowych warto rozróżniać dane operacyjne z samego incydentu od wniosków poincydentowych, które służą doskonaleniu organizacji. Dzięki temu incydent nie kończy się na przywróceniu działania systemu, ale staje się źródłem wiedzy o słabościach procesów, zależnościach organizacyjnych i realnej gotowości zespołów.

Naszym zdaniem skuteczność procesu incydentowego najlepiej weryfikują ćwiczenia scenariuszowe. Pozwalają one sprawdzić, czy role są zrozumiałe, czy eskalacja działa w wymaganym czasie, czy kierownictwo otrzymuje właściwe informacje decyzyjne i czy organizacja potrafi przygotować spójne raportowanie pod presją czasu. W środowiskach regulowanych szczególnie istotne jest ćwiczenie scenariuszy obejmujących jednocześnie aspekt techniczny, biznesowy i komunikacyjny, ponieważ właśnie na styku tych obszarów najczęściej ujawniają się luki.

W praktyce obserwujemy również rosnące znaczenie kompetencji analitycznych i automatyzacyjnych w obszarze obsługi incydentów. Dobrze zaprojektowane dashboardy, ustrukturyzowane dane o zdarzeniach i częściowa automatyzacja obiegu informacji pomagają szybciej oceniać sytuację oraz ograniczać obciążenie zespołów. Jako organizacja od lat realizująca praktyczne szkolenia IT i AI, rekomendujemy rozwijanie umiejętności, które wspierają nie tylko samą technologię bezpieczeństwa, ale również analizę danych incydentowych, raportowanie zarządcze i standaryzację pracy zespołów. W modelu zgodnym z NIS2 to właśnie powtarzalność procesu, czytelność odpowiedzialności i jakość informacji przesądzają o tym, czy organizacja reaguje skutecznie, czy jedynie reaguje szybko.

💡 Fakt: W incydencie największe opóźnienia rzadko wynikają z braku narzędzi, częściej z niejasności kto klasyfikuje zdarzenie, kto eskaluje i kto zatwierdza komunikację. Przećwicz te role na scenariuszach z presją czasu, bo dopiero wtedy widać, czy proces naprawdę działa end-to-end.

5. Bezpieczeństwo łańcucha dostaw i wymogi wobec dostawców

W praktyce NIS2 bezpieczeństwo organizacji nie kończy się na jej własnej infrastrukturze, procedurach i pracownikach. Istotna część ryzyka znajduje się w relacjach z dostawcami technologii, usług chmurowych, utrzymania systemów, outsourcingu IT, wsparcia serwisowego czy usług przetwarzania danych. Każdy podmiot, który ma wpływ na dostępność, integralność lub poufność systemów i informacji, staje się elementem łańcucha dostaw, a tym samym potencjalnym źródłem podatności, zakłóceń lub incydentów.

Z perspektywy zgodności kluczowe jest odejście od podejścia opartego wyłącznie na zakupie usługi lub podpisaniu standardowej umowy. NIS2 wzmacnia oczekiwanie, aby organizacja aktywnie oceniała ryzyko związane z dostawcami oraz weryfikowała, czy partnerzy zewnętrzni realizują adekwatne środki bezpieczeństwa. W praktyce oznacza to, że odpowiedzialność za cyberbezpieczeństwo nie może być całkowicie „przeniesiona” na dostawcę. Nawet jeśli usługa jest outsourcowana, ryzyko biznesowe i regulacyjne pozostaje po stronie organizacji korzystającej z tej usługi.

Najważniejsze jest więc rozróżnienie między dostawcą zwykłym a dostawcą krytycznym. Nie każdy kontrahent wymaga takiego samego poziomu nadzoru. Inne wymagania będą dotyczyć firmy dostarczającej materiały biurowe, a inne podmiotu administrującego środowiskiem produkcyjnym, utrzymującego system ERP, świadczącego usługi SOC, hostingu, backupu lub dostępu zdalnego do infrastruktury. W naszej ocenie dojrzałe podejście polega na klasyfikacji dostawców według wpływu na kluczowe usługi, poziomu dostępu do danych i systemów oraz możliwych skutków przerwy, błędu lub naruszenia po stronie partnera.

Na poziomie organizacyjnym oznacza to potrzebę połączenia zakupów, compliance, właścicieli procesów, IT i cyberbezpieczeństwa. Ocena dostawcy nie powinna być wyłącznie formalnością procurementową, lecz częścią zarządzania ryzykiem. W praktyce dobrze działa model, w którym już na etapie wyboru partnera sprawdzane są podstawowe kwestie bezpieczeństwa: zakres dostępu, model świadczenia usługi, lokalizacja przetwarzania danych, sposób zarządzania podatnościami, gotowość do obsługi incydentów, warunki ciągłości działania oraz możliwość audytu lub uzyskania wiarygodnych potwierdzeń stosowanych zabezpieczeń.

Równie istotna jest warstwa kontraktowa. Umowy z dostawcami wspierającymi procesy krytyczne powinny precyzować wymagania bezpieczeństwa, odpowiedzialności stron, zasady zgłaszania incydentów, oczekiwane czasy reakcji, warunki współpracy przy usuwaniu skutków naruszeń, a także sposób zakończenia współpracy i bezpiecznego przekazania danych lub dostępu. Bez takich zapisów organizacja może mieć ograniczoną możliwość egzekwowania standardów, których sama potrzebuje do utrzymania zgodności i odporności operacyjnej.

Warto podkreślić, że bezpieczeństwo dostawców nie jest działaniem jednorazowym. Ocena wykonana przy podpisaniu umowy szybko traci aktualność, jeśli nie towarzyszy jej okresowy przegląd. Zmieniają się rozwiązania techniczne, podwykonawcy, modele hostingu, zakres świadczonych usług i profil zagrożeń. Dlatego skuteczny model nadzoru nad łańcuchem dostaw obejmuje nie tylko onboarding dostawcy, ale również jego cykliczną weryfikację oraz reagowanie na istotne zmiany w usłudze.

Szczególne znaczenie mają także relacje z podmiotami szkoleniowymi i doradczymi, jeśli w ramach współpracy uzyskują one dostęp do informacji wewnętrznych, środowisk testowych, danych procesowych lub materiałów objętych poufnością. W takich przypadkach organizacja powinna oczekiwać nie tylko wysokiej jakości merytorycznej, ale również dojrzałości organizacyjnej po stronie partnera. W praktyce istotne są takie elementy jak poszanowanie poufności, gotowość do działania w oparciu o NDA, uporządkowane procesy realizacji usług i przewidywalny standard organizacyjny. W przypadku usług rozwojowych warto zwracać uwagę, czy partner działa w sposób sformalizowany i transparentny, np. poprzez publikowanie eksperckiej wiedzy, realizację projektów dla firm i instytucji oraz potwierdzoną jakość procesów. Dla części organizacji dodatkowym wskaźnikiem wiarygodności może być także aktywny wpis do BUR i oparcie procesów jakościowych o ISO 9001, o ile ma to znaczenie w danym modelu zakupowym i kontrolnym.

Rekomendujemy przyjęcie zasady, że wymagania wobec dostawców powinny być proporcjonalne do ryzyka, ale zawsze mierzalne i możliwe do wykazania. NIS2 w obszarze łańcucha dostaw nie wymaga maksymalnych zabezpieczeń od każdego kontrahenta, lecz świadomego, udokumentowanego i opartego na ryzyku podejścia do współpracy z podmiotami zewnętrznymi. To właśnie ten element będzie w praktyce odróżniał organizacje, które jedynie deklarują kontrolę nad dostawcami, od tych, które rzeczywiście zarządzają bezpieczeństwem całego ekosystemu usług.

6. Szkolenia i świadomość: jak spełnić wymagania w obszarze ludzi

W praktyce wdrożenie wymagań NIS2 nie kończy się na procedurach, narzędziach i zabezpieczeniach technicznych. Równie istotny jest czynnik ludzki, ponieważ to pracownicy, kadra zarządzająca i osoby realizujące procesy operacyjne odpowiadają za codzienne stosowanie zasad bezpieczeństwa. Szkolenia oraz działania budujące świadomość nie powinny być traktowane jako jednorazowy obowiązek formalny, lecz jako stały element systemu zarządzania cyberbezpieczeństwem.

Na poziomie organizacyjnym warto rozróżnić dwa obszary. Pierwszy to szkolenia kompetencyjne, których celem jest przekazanie konkretnych umiejętności potrzebnych do bezpiecznego wykonywania zadań. Drugi to budowanie świadomości, czyli utrwalanie właściwych nawyków, rozumienia ryzyk i odpowiedzialności za informacje, systemy oraz ciągłość działania. Te dwa elementy wzajemnie się uzupełniają: sama świadomość bez praktycznych umiejętności jest niewystarczająca, a szkolenie techniczne bez osadzenia w realiach ryzyka organizacyjnego zwykle nie daje trwałego efektu.

W naszej ocenie organizacje najczęściej popełniają błąd polegający na kierowaniu tego samego komunikatu do wszystkich odbiorców. Tymczasem skuteczny program szkoleniowy powinien być dostosowany do ról. Innych treści potrzebuje zarząd, który odpowiada za nadzór, priorytety i decyzje, innych zespoły IT i security, a jeszcze innych użytkownicy biznesowi, którzy na co dzień pracują z pocztą, dokumentami, systemami wewnętrznymi i danymi. Podejście oparte na rolach zwiększa praktyczną użyteczność szkoleń i pozwala lepiej wykazać, że organizacja rzeczywiście adresuje ryzyka związane z ludźmi.

Istotne jest również to, aby szkolenia były osadzone w realnym środowisku pracy. Największą wartość przynoszą programy oparte na scenariuszach, przykładach i ćwiczeniach odzwierciedlających codzienne sytuacje, takie jak rozpoznawanie prób wyłudzeń, bezpieczna praca z danymi, właściwe reagowanie na nieprawidłowości czy stosowanie zasad dostępu do informacji. W praktyce obserwujemy, że model „learning by doing” znacząco zwiększa skuteczność przyswajania wiedzy, szczególnie tam, gdzie bezpieczeństwo ma bezpośredni związek z działaniem procesów biznesowych i narzędzi cyfrowych.

Dobrze zaprojektowany program szkoleniowy powinien obejmować zarówno wdrożenie nowych osób, jak i cykliczne odświeżanie wiedzy dla obecnych zespołów. Ważne jest także reagowanie na zmiany: nowe narzędzia, nowe procesy, wzrost wykorzystania automatyzacji, pracy z danymi czy rozwiązań AI mogą tworzyć nowe ryzyka i tym samym wymagać aktualizacji zakresu edukacji. Z perspektywy zgodności liczy się nie tylko sam fakt przeprowadzenia szkolenia, ale również jego adekwatność do rzeczywistych obowiązków uczestników.

W środowiskach, w których wykorzystywane są narzędzia do analizy danych, automatyzacji procesów i pracy wspieranej przez AI, aspekt świadomości bezpieczeństwa staje się szczególnie ważny. Pracownicy powinni rozumieć nie tylko sposób korzystania z technologii, ale również granice bezpiecznego użycia, znaczenie jakości danych, zasady pracy z informacją poufną oraz konsekwencje nieprawidłowych działań. Dlatego szkolenia warto łączyć z kontekstem operacyjnym organizacji, zamiast omawiać zagadnienia bezpieczeństwa w oderwaniu od codziennych zadań użytkowników.

Naszym zdaniem szczególnie skuteczne są szkolenia projektowane wspólnie z organizacją, z uwzględnieniem jej procesów, poziomu dojrzałości i używanych narzędzi. Takie podejście pozwala przełożyć wymagania regulacyjne na konkretne zachowania i decyzje podejmowane przez pracowników. W przypadku programów zamkniętych rekomendowane jest dopasowanie materiału do środowiska klienta, tak aby uczestnicy ćwiczyli na przykładach możliwie najbliższych własnej praktyce zawodowej. Zwiększa to użyteczność szkolenia i ułatwia utrwalenie właściwych standardów działania.

Z perspektywy organizacyjnej duże znaczenie ma także jakość samego procesu szkoleniowego. Obejmuje ona diagnozę potrzeb, właściwy dobór grup, przygotowanie programu, prowadzenie zajęć przez trenerów-praktyków oraz zebranie informacji zwrotnej po realizacji. W praktyce to właśnie te elementy decydują o tym, czy szkolenie będzie miało charakter wyłącznie formalny, czy stanie się rzeczywistym narzędziem ograniczania ryzyka. W organizacjach objętych wymaganiami NIS2 warto więc traktować rozwój kompetencji bezpieczeństwa jako proces ciągły, mierzony nie liczbą godzin szkoleniowych, lecz jakością przygotowania ludzi do odpowiedzialnego działania.

Jeżeli organizacja szuka partnera, który potrafi połączyć rozwój kompetencji cyfrowych z praktycznym podejściem do pracy zespołów, warto zwrócić uwagę na doświadczenie szkoleniowe, personalizację programów i warsztatową formę zajęć. W tym modelu szczególnie dobrze sprawdzają się szkolenia prowadzone przez praktyków, oparte na realnych scenariuszach i dostosowane do workflow klienta. Takie podejście stosujemy w Cognity w projektach realizowanych dla firm i instytucji w Polsce oraz w Europie; informacje o naszym doświadczeniu i obszarach kompetencji można znaleźć na blogu Cognity.

7. Dokumentacja i dowody zgodności: jak się przygotować do kontroli

W praktyce zgodność z NIS2 nie kończy się na wdrożeniu środków organizacyjnych i technicznych. Równie istotna jest zdolność wykazania, że wymagania zostały rzeczywiście przełożone na działające procesy, nadzór oraz decyzje zarządcze. Kontrola zwykle nie opiera się wyłącznie na deklaracjach, lecz na spójnym materiale dowodowym: politykach, rejestrach, protokołach, raportach, śladach operacyjnych i potwierdzeniach wykonania działań.

Dlatego dokumentacja nie powinna być traktowana jako zbiór formalnych plików przygotowanych „na audyt”, ale jako uporządkowany system dowodów zgodności. W naszej ocenie organizacja jest lepiej przygotowana do kontroli wtedy, gdy potrafi szybko odpowiedzieć na trzy podstawowe pytania: jakie zasady obowiązują, kto za nie odpowiada oraz jakie istnieją dowody ich stosowania w praktyce.

Kluczowe znaczenie ma spójność między dokumentami nadrzędnymi a materiałem operacyjnym. Jeżeli polityka przewiduje okresowe przeglądy, powinny istnieć protokoły lub zapisy potwierdzające ich wykonanie. Jeżeli organizacja deklaruje szkolenia, powinna dysponować harmonogramami, listami uczestników, materiałami oraz potwierdzeniem ukończenia. Jeżeli zdefiniowano role i odpowiedzialności, muszą one znajdować odzwierciedlenie w regulacjach wewnętrznych, upoważnieniach lub macierzach odpowiedzialności.

Na potrzeby przygotowania do kontroli warto uporządkować dokumentację przynajmniej w czterech warstwach:

  • Dokumenty zarządcze – polityki, standardy, procedury, uchwały, decyzje, zakresy odpowiedzialności i zatwierdzenia kierownictwa.
  • Rejestry i ewidencje – rejestr ryzyk, incydentów, wyjątków, aktywów, dostawców krytycznych, działań korygujących i przeglądów.
  • Dowody operacyjne – logi, raporty z testów, wyniki przeglądów, potwierdzenia realizacji zadań, zapisy zmian, protokoły odbioru i wyniki ćwiczeń.
  • Dowody kompetencji i nadzoru – materiały szkoleniowe, certyfikaty, wyniki testów wiedzy, potwierdzenia komunikacji wewnętrznej oraz raporty dla kierownictwa.

Szczególną uwagę należy zwrócić na wersjonowanie, aktualność i właścicieli dokumentów. Jednym z częstszych problemów w organizacjach jest sytuacja, w której procedury formalnie istnieją, ale są nieaktualne, niezatwierdzone albo niespójne z realnym sposobem działania. Z perspektywy kontroli oznacza to osłabienie wiarygodności całego systemu zgodności. Rekomendujemy więc prowadzenie centralnego repozytorium z jasno określonym statusem dokumentu, datą wejścia w życie, datą przeglądu oraz wskazaniem osoby lub funkcji odpowiedzialnej.

Przygotowanie do kontroli wymaga także myślenia scenariuszowego. Organizacja powinna być w stanie nie tylko przekazać dokument, ale również pokazać jego praktyczne zastosowanie na konkretnym przykładzie. Dobrą praktyką jest wcześniejsze przeprowadzenie wewnętrznego przeglądu „evidence readiness”, czyli sprawdzenia, czy do każdej kluczowej deklaracji istnieje adekwatny i łatwo dostępny dowód. Taki przegląd często ujawnia luki nie w samych zabezpieczeniach, lecz w sposobie ich dokumentowania.

W obszarze szkoleń i budowania świadomości szczególnie istotne są dowody potwierdzające rzeczywiste podnoszenie kompetencji, a nie wyłącznie jednorazową realizację obowiązku. Z tego względu warto gromadzić nie tylko listy obecności, ale również programy, zakres merytoryczny, wyniki ewaluacji i potwierdzenia ukończenia. W przypadku organizacji rozwijających kompetencje cyfrowe i technologiczne praktycznym wsparciem mogą być wyspecjalizowane programy szkoleniowe prowadzone przez doświadczonych trenerów-praktyków. Więcej o podejściu warsztatowym i projektowaniu rozwoju kompetencji można znaleźć na blogu technicznym Cognity.

Ostatecznie dobrze przygotowana organizacja nie tworzy dokumentacji na potrzeby samej kontroli, lecz utrzymuje ją jako element ładu organizacyjnego. To właśnie regularność aktualizacji, ścieżka akceptacji, możliwość odtworzenia decyzji oraz kompletność dowodów najczęściej decydują o tym, czy zgodność będzie oceniana jako rzeczywista i dojrzała, a nie wyłącznie deklaratywna.

💡 Fakt: Przygotowując się do kontroli, mapuj każdą ważną deklarację na konkretny dowód: politykę, właściciela, zapis wykonania i ślad przeglądu. Jeśli dokument istnieje, ale jest nieaktualny, bez zatwierdzenia albo bez potwierdzenia stosowania, dla kontrolującego to często luka równie istotna jak brak dokumentu.

Plan działań krok po kroku: priorytety na 30/90/180 dni

W praktyce przygotowanie organizacji do NIS2 najlepiej prowadzić etapowo, z wyraźnym podziałem na działania pilne, działania porządkujące oraz działania utrwalające. Taki plan pozwala ograniczyć ryzyko chaosu wdrożeniowego, lepiej rozdzielić odpowiedzialności i szybciej uzyskać mierzalne efekty. Kluczowe jest przy tym, aby nie traktować zgodności wyłącznie jako projektu dokumentacyjnego. NIS2 wymaga, by rozwiązania organizacyjne, techniczne i kompetencyjne działały realnie, a nie jedynie formalnie.

W pierwszych 30 dniach priorytetem powinno być uruchomienie minimum zarządczego i wykonanie działań, które dają organizacji kontrolę nad zakresem prac. Na tym etapie rekomendujemy formalne potwierdzenie sponsora po stronie zarządu, wyznaczenie właściciela programu NIS2 oraz zbudowanie roboczego zespołu obejmującego compliance, IT, security i właścicieli kluczowych procesów. Równolegle należy ustalić, które usługi, systemy, procesy i relacje zewnętrzne mają znaczenie dla obowiązków organizacji. W tym samym oknie czasowym warto uporządkować stan obecny: zidentyfikować największe luki, sprawdzić gotowość do obsługi incydentów, potwierdzić dostępność podstawowej dokumentacji oraz ocenić, czy kadra kierownicza i zespoły operacyjne rozumieją swoje role.

Pierwsze 30 dni to również moment na szybkie decyzje wykonawcze. Jeżeli organizacja nie ma spójnego rejestru zasobów krytycznych, jasnego modelu eskalacji lub minimalnych zasad współpracy z dostawcami, właśnie te obszary powinny otrzymać najwyższy priorytet. Naszym zdaniem nie należy w tym czasie dążyć do pełnej dojrzałości procesu, lecz do uzyskania kontroli, widoczności i podstawowej zdolności reagowania. Istotnym elementem jest także zaplanowanie działań rozwojowych dla ludzi. W praktyce obserwujemy, że bez szybkiego podniesienia świadomości menedżerów i właścicieli procesów wdrożenie NIS2 często pozostaje zamknięte w obszarze technicznym, co utrudnia późniejsze egzekwowanie odpowiedzialności.

W horyzoncie 90 dni organizacja powinna przejść z fazy diagnozy do fazy wdrożenia i standaryzacji. To etap, w którym należy uporządkować kluczowe polityki, procedury i role operacyjne, a także wdrożyć mechanizmy pracy, które będą mogły być wykorzystywane cyklicznie. W tym okresie priorytetem staje się domknięcie najważniejszych ryzyk, uruchomienie uzgodnionych środków bezpieczeństwa, przetestowanie podstawowego scenariusza incydentowego oraz włączenie wymagań cyberbezpieczeństwa do zarządzania relacjami z dostawcami. Równie ważne jest rozpoczęcie działań dowodowych, czyli takiego prowadzenia zapisów, aby organizacja była w stanie wykazać nie tylko istnienie zasad, ale też ich stosowanie.

W perspektywie 90 dni warto również przeprowadzić pierwszą serię działań szkoleniowych dostosowanych do ról. Zarząd potrzebuje zrozumienia obowiązków nadzorczych i decyzyjnych, kadra kierownicza musi wiedzieć, jak zarządzać ryzykiem i eskalacją, a zespoły operacyjne powinny ćwiczyć scenariusze związane z incydentami, obiegiem informacji i codzienną higieną bezpieczeństwa. Jeżeli organizacja szuka praktycznego wsparcia w budowaniu kompetencji cyfrowych i procesowych, pomocne mogą być szkolenia projektowane w formule warsztatowej, osadzone w realnych zadaniach zespołów. Takie podejście opisujemy także na blogu technicznym Cognity, gdzie publikujemy materiały dotyczące praktycznego wdrażania kompetencji IT i AI w środowisku biznesowym.

Po 180 dniach organizacja powinna wejść w etap stabilizacji i potwierdzania skuteczności. Na tym poziomie celem nie jest już samo wdrożenie podstaw, lecz zapewnienie powtarzalności, nadzoru i ciągłego doskonalenia. Obejmuje to cykliczne przeglądy ryzyk, regularne testowanie gotowości operacyjnej, kontrolę jakości dokumentacji, aktualizację wymagań wobec stron trzecich oraz raportowanie stanu realizacji do kierownictwa. To również właściwy moment, aby zweryfikować, czy przyjęte rozwiązania rzeczywiście działają w praktyce: czy incydenty są obsługiwane zgodnie z założeniami, czy właściciele procesów realizują przypisane obowiązki i czy organizacja posiada wystarczające dowody zgodności.

W ciągu 180 dni warto też uporządkować model rozwoju kompetencji tak, aby nie ograniczał się do jednorazowego szkolenia. Najlepsze efekty daje program rozpisany na role, poziomy odpowiedzialności i rzeczywiste scenariusze pracy. W naszej ocenie szczególnie skuteczne są działania prowadzone metodą „learning by doing”, z udziałem trenerów-praktyków i z dopasowaniem do środowiska klienta. Taki model pozwala nie tylko podnieść świadomość, ale także przełożyć wymagania regulacyjne na konkretne zachowania operacyjne. W przypadku organizacji planujących szkolenia zamknięte, często kluczowe jest elastyczne dopasowanie programu do procesów, narzędzi i struktury odpowiedzialności występujących wewnątrz firmy.

Jeżeli plan 30/90/180 dni ma być skuteczny, powinien mieć charakter zarządczy, a nie wyłącznie projektowy. Oznacza to jasne kamienie milowe, mierniki postępu, przypisanych właścicieli i regularny przegląd statusu. NIS2 w praktyce premiuje organizacje, które potrafią połączyć wymagania regulacyjne z codziennym sposobem działania. Dlatego rekomendujemy rozpoczęcie od obszarów o najwyższym wpływie na ciągłość działania, a następnie konsekwentne rozszerzanie programu na kolejne procesy, systemy i relacje biznesowe. Tak zbudowany plan pozwala ograniczyć ryzyko, przyspieszyć dojście do gotowości i stworzyć podstawy do trwałego, a nie pozornego spełniania wymagań.

icon

Formularz kontaktowyContact form

Imię *Name
NazwiskoSurname
Adres e-mail *E-mail address
Telefon *Phone number
UwagiComments