10 najczęstszych błędów przy wdrażaniu wymagań NIS2

Cyprian Gutkowski Data publikacji: 09.01.2026 4 min. czytania

Dyrektywa NIS2 podnosi poprzeczkę w obszarze cyberbezpieczeństwa dla organizacji zarówno publicznych jak i prywatnych. W teorii wszystko wygląda klasycznie analiza ryzyka, właściwie do niej wybrane środki techniczne i organizacyjne, efektywne zarządzanie incydentami, a and wszystkim aktywny nadzór zarządu. W praktyce jednak, po kilkunastu miesiącach pracy z różnymi organizacjami, widzę, że wiele błędów powtarza się niemal schematycznie.

Poniżej przedstawiam 10 najczęstszych błędów, z którymi spotykam się przy wdrażaniu NIS2. Nie jest to katalog uchybień, lecz praktyczny przewodnik po obszarach, w których organizacje najczęściej potykają się na poziomie decyzji i zarządzania. Świadomie nie odnoszę się do błędów stricte technologicznych, jak niewłaściwej konfiguracji urządzeń bezpieczeństwa, braku ciągłego monitoringu czy niedoskonałych procedur operacyjnych w SOC, które to wszystkie zdarzają się równie często a wymagają odrębnej i głębszej analizy.

1. Traktowanie NIS2 jak kolejnego „papierowego obowiązku”

Najczęstszy błąd? Założenie, że NIS2 to głównie dokumenty do odhaczenia, położyć w segregatorze, nie giąć i kilka lat posłuży. To tylko jakaś polityka, procedura, regulamin – najlepiej skopiować za darmo i po sprawie.

Tymczasem NIS2 nie jest dyrektywą o posiadanych dokumentach, tylko o realnym zarządzaniu ryzykiem cyberbezpieczeństwa i ciągłości świadczenia usługi. Dokumentacja jest ważna, ale tylko wtedy, gdy odzwierciedla rzeczywiste procesy i decyzje w organizacji.

2. Brak realnego zaangażowania zarządu

W wielu organizacjach cyberbezpieczeństwo nadal jest postrzegane jako problem „IT”. NIS2 zmienia to podejście wprost – odpowiedzialność spoczywa na kierownictwie.

Częsty błąd to delegowanie wszystkiego do działu IT lub zewnętrznego dostawcy, bez realnego nadzoru, decyzji i świadomości po stronie zarządu. A to właśnie zarząd odpowiada (również odpowiedzialnością osobistą) za akceptację ryzyka, budżet i priorytety, ogółem za spełnienie wymogów dyrektywy w organizacji.

Jedną z najważniejszych zmian, jakie przynosi NIS2, jest symboliczne i bardzo praktyczne zerwanie z myśleniem, że cyberbezpieczeństwo to wyłącznie domena działu IT. Po raz pierwszy na taką skalę bezpieczeństwo cyfrowe wychodzi z cienia infrastruktury technicznej i staje się tematem strategicznym, porównywalnym z finansami, ciągłością działania czy zgodnością regulacyjną.

Cyberbezpieczeństwo przestaje być problemem informatyków, a zaczyna być odpowiedzialnością całej organizacji. Dotyczy zarządu, który podejmuje decyzje o akceptacji ryzyka i alokacji budżetu. Dotyczy menedżerów, którzy odpowiadają za procesy biznesowe i dostawców. Dotyczy wreszcie pracowników, bo to ich codzienne decyzje bardzo często decydują o tym, czy incydent w ogóle się wydarzy.

W praktyce oznacza to zmianę podejścia: z pytania czy IT nas zabezpieczyło? – na pytanie czy cała organizacja jest odporna na incydent i wie, jak właściwie zareagować?. NIS2 jasno pokazuje, że bez tej zmiany mentalnej, nawet najlepsze narzędzia i procedury nie zapewnią realnego bezpieczeństwa.

3. Kopiowanie wdrożeń „1:1” z innych organizacji

„Zróbmy to tak jak u nich, oni przeszli audyt” – to zdanie słyszę bardzo często.

Problem w tym, że NIS2 wymaga proporcjonalności. Inaczej powinna wyglądać ochrona w urzędzie, inaczej w szpitalu, a jeszcze inaczej w firmie produkcyjnej. Ślepe kopiowanie cudzych rozwiązań prowadzi albo do przerostu formy nad treścią, albo do realnych luk bezpieczeństwa, czasem ocierających się o gatunek komedii absurdu. Regulacje nie są kopiowalne 1:1, zawsze wymagają dostosowania do kontekstu wdrażającej je organizacji.

4. Analiza ryzyka tylko „na papierze”

Analiza ryzyka bywa traktowana jak wymagana tabelka do raportu. Bez dyskusji, bez sporów, bez trudnych pytań. A przecież to właśnie ona powinna być fundamentem wszystkich dalszych decyzji, od inwestycji po reakcję na incydent.

Analiza ryzyka bywa traktowana jako formalność: tabela, kilka zagrożeń, rzućmy kilka kolorków żółtych, co by nie samo zielone, więc niskie lub średnie ryzyko – i gotowe.

To błąd krytyczny. NIS2 opiera się właśnie na zidentyfikowanym właściwie ryzyku. Jeśli analiza ryzyka nie uwzględnia rzeczywistych systemów, dostawców, ludzi i scenariuszy incydentów, cała reszta wdrożenia traci sens i w przypadku incydentu jej założenia posypią się jak domek z kart.

5. Pomijanie łańcucha dostaw i podwykonawców

Jednym z największych „nowych” obszarów wymaganych w NIS2 jest bezpieczeństwo łańcucha dostaw ICT.

W praktyce często widzę, że organizacje skupiają się wyłącznie na sobie: własne systemy, własna sieć, własni pracownicy. Tymczasem realne ryzyko bardzo często pochodzi od dostawców, integratorów i firm serwisowych.

Dużo częściej spotyka się obecnie ataki przeprowadzane przez kompromitację łańcucha dostaw. Nasz dostawca staje się dla nas tak samo ważny jak pracownik. NIS2 bardzo jasno mówi, że ryzyko nie kończy się na granicy organizacji, tylko biegnie dalej, aż przez cały łańcuch dostaw.

6. Mylenie NIS2 z RODO lub ISO 27001

NIS2 bywa wdrażana „przy okazji” RODO albo ISO/IEC 27001 czy ISO 22301, bez zrozumienia różnic. To jeden z bardziej podstępnych błędów. Posiadanie RODO czy ISO pomaga, ale nie rozwiązuje wszystkiego. NIS2 kładzie nacisk na odporność operacyjną i zdolność działania w kryzysie, a nie tylko na formalną zgodność.

RODO koncentruje się na danych osobowych, ISO 27001 na systemie zarządzania, a NIS2 na odporności operacyjnej i ciągłości działania usług kluczowych. Oczywiście te obszary się przenikają, bo osiągnięcie zgodności z 27001 i 22301 pozwala na spełnienie wielu wymogów NIS2, ale mechaniczne „przepisanie” istniejących dokumentów zwykle nie spełnia wymagań dyrektywy, bo inny czas reakcji, inny tryb zgłaszania incydentów, inny monitoring bezpieczeństwa i wiele innych.

7. Niedoszacowanie zarządzania incydentami

Wiele organizacji skupia się na zapobieganiu, a zapomina o podstawowym pytaniu: co zrobimy, gdy incydent się wydarzy?

NIS2 bardzo mocno akcentuje:

  • zdolność wykrywania incydentów,
  • jasne role i odpowiedzialności,
  • terminy zgłaszania,
  • komunikację wewnętrzną i zewnętrzną,
  • działania korekcyjne i korygujące,
  • ogólnie zdolność do przywracania usługi.

Brak ćwiczeń, niejasne role i improwizacja w stresie to jeden z najczęstszych obrazków, jakie widzę w praktyce. Brak przećwiczonych procedur w tym obszarze to jeden z największych realnych problemów, który będzie musiał być rozwiązany w organizacjach.

8. Brak szkoleń i świadomości pracowników

Najlepsze procedury nie zadziałają, jeśli ludzie o nich nie wiedzą albo ich nie rozumieją.

Częsty błąd to ograniczenie szkoleń do jednorazowego e-learningu dla świętego spokoju. Tymczasem NIS2 wymaga ciągłego budowania świadomości, zwłaszcza wśród kadry kierowniczej i osób kluczowych operacyjnie. Ale nie można zapominać o pracownikach, powinny powstać dostosowane do ich stopnia pracy w systemach teleinformatycznych plany szkoleń które adresują problemy na właściwym dla nich poziomie. Bez realnego zrozumienia po stronie pracowników nawet najlepsze procedury pozostają martwe.

9. Zakładanie, że „outsourcing załatwi wszystko”

Outsourcing bezpieczeństwa, SOC, CISO as a Service – to wszystko może być bardzo pomocne. Problem zaczyna się wtedy, gdy organizacja oddaje odpowiedzialność, a nie tylko realizację zadań. NIS2 nie pozwala „oddać bezpieczeństwa na zewnątrz”, decyzje, ryzyko i konsekwencje zawsze zostają po stronie organizacji.

Z perspektywy NIS2 to zawsze organizacja pozostaje odpowiedzialna: za decyzje, ryzyka, reakcję na incydenty i kontakt z organami właściwymi, stąd powinna stale współpracować ze swoimi dostawcami i skutecznie ich nadzorować.

10. Odkładanie wdrożenia „na później”

Na koniec błąd najbardziej ludzki: „jeszcze mamy czas”. Jest to błąd, który zwykle kosztuje najwięcej: czekanie. Wdrożenie NIS2 to proces wymagający czasu, rozmów i zmian organizacyjnych. Im później się zaczyna, tym większa presja, skróty i pozorna zgodność zamiast realnej odporności.

NIS2 to nie jednorazowy projekt, tylko proces. Im później organizacja zaczyna, tym większe ryzyko wdrażania wszystkiego w pośpiechu, bez refleksji i bez realnej poprawy bezpieczeństwa.

Podsumowanie

Z mojego doświadczenia wynika, że największym zagrożeniem przy wdrażaniu NIS2 są złe decyzje organizacyjne.

Dobrze wdrożona dyrektywa NIS2 nie musi być ani nadmiernie kosztowna, ani przesadnie skomplikowana. Wymaga jednak:

  • zrozumienia sensu regulacji w połączeniu z kontekstem organizacji,
  • rzetelnej analizy ryzyka,
  • zaangażowania kierownictwa,
  • i myślenia o cyberbezpieczeństwie jako o elemencie zarządzania, a nie problemie technicznym.

NIS2 nie jest kolejną regulacją do wdrożenia, ale impulsem do zmiany sposobu myślenia o cyberbezpieczeństwie: z technicznego problemu na element strategicznego zarządzania organizacją.

Cyprian Gutkowski – specjalista ds. bezpieczeństwa procesów IT, prawnik oraz doświadczony CISO w sektorze finansowym i zdrowia, ekspert w zakresie zgodności z regulacjami NIS2, DORA i RODO. Od lat zaangażowany w rozwój cyberbezpieczeństwa w Polsce, współtworzył projekty dla krajowych CSIRT-ów, prowadzi szkolenia i wykłada na uczelniach, a w 2025 roku zdobył tytuł Wykładowcy Roku MBA PW.

Najnowsze publikacje
Pokaż wszystkie artykuły
Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?






    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.
    Grupa Trecom
    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać