Dyrektywa NIS 2 – obowiązki firm: zarządzanie ryzykiem, zgłaszanie incydentów

Dowiedz się jakie wymogi stawia NIS 2 m.in. w obszarze incydentów bezpieczeństwa, ciągłości działania i zarządzania kryzysowego czy polityk bezpieczeństwa do osiągnięcia zgodności z wymogami dyrektywy.

Spis treściAnaliza Ryzyk Polityki Bezpieczeństwa Lista kontrolna - Jak szybko zweryfikować czy obszar zarządzania ryzykiem i polityk bezpieczeństwa jest pod kontrolą?Ciągłość działania i zarządzania kryzysowego Incydenty Bezpieczeństwa Do kogo firmy i instytucje mają zgłaszać incydenty bezpieczeństwa?

Tomasz Matuła Data publikacji: 07.06.2024 | Data aktualizacji: 19.02.2026 4 min. czytania

Obowiązki firm: zarządzanie ryzykiem

NIS 2 wskazuje, że wszystkie podmioty muszą „podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego sieci i systemów informatycznych”.

Mówiąc prościej, te środki oznaczają zatrudnionych specjalistów, wdrożone procesy i procedury, systemy i rozwiązania techniczne itd.

Przyjęty przez Senat 28 stycznia 2026 roku bez poprawek projekt nowelizacji UKSC implementującej w Polsce obowiązki wynikające z dyrektywy NIS 2 podkreśla, jak ważne jest podejście oparte na ryzyku, zobowiązując podmioty kluczowe i ważne do wprowadzenia systemu zarządzania bezpieczeństwem informacji (SZBI) w procesach służących świadczeniu przez nie usług.

Analiza Ryzyk

Właściwym podejściem, niezależnie od wielkości firmy czy instytucji, jest przeprowadzenie analizy ryzyk (w tym cybernetycznych) oraz identyfikacja tych najbardziej krytycznych. Wymienione wcześniej środki muszą zapewniać poziom bezpieczeństwa powiązany z i wynikający wprost z występujących w danej organizacji ryzyk.

Dyrektywa NIS 2 wymaga posiadania przez organizację udokumentowanych, aktualizowanych analiz i ewaluacji ryzyk oraz bezpieczeństwa systemów informatycznych:

identyfikację ryzyk, w tym cyber i ich poziomu
analizę tych ryzyk i wybranie tych najistotniejszych
posiadanie planu mitygacji najbardziej krytycznych ryzyk

Schemat pokazujący jak wykonać analizę ryzyka cyber wymaganą przez NIS 2/UoKSC.

Dobrze przygotowana, przedyskutowana i uzgodniona z Zarządem oraz udokumentowana analiza cyberryzyk zapewnia nam spełnienie w tym zakresie wymagań NIS 2, ale przede wszystkim jest najlepszym sposobem na przekonanie Zarządu do wagi obszaru cyber w tym potrzebnych nakładów finansowych.

Pamiętajmy, by w oszacowaniu budżetu i środków na minimalizację cyber ryzyk wykorzystać specyfikę naszej organizacji, raporty o zagrożeniach czy przypadki cyberataków na podobnych do naszej organizacji.

Należy wziąć pod uwagę koszty przestojów, niedostępności usług, utratę produkcji, dodać odzyskiwanie danych i wysiłki potrzebne do przywrócenia normalnego działania, a także uwzględnić szacunkowe koszty kar NIS 2 i szkody dla powiązanych przedsiębiorstw itp.

Polityki Bezpieczeństwa

Kolejny obowiązek to posiadanie udokumentowanej i aktualizowanej polityki bezpieczeństwa organizacji. Polityka bezpieczeństwa organizacji bazuje na analizie ryzyk. To z analizy ryzyk oraz przyjętej na ich podstawie polityki bezpieczeństwa wynikają już konkretne rozwiązania, zabezpieczenia organizacyjne i techniczne.

Z polityki bezpieczeństwa systemów informatycznych powinny wynikać takie procesy jak:

inwentaryzacja zasobów i zarządzanie zasobami
dostęp użytkowników i zarządzania hasłami
zarządzanie zmianami
zarządzanie podatnościami i poprawkami
wykrywanie, monitorowanie i rejestrowanie incydentów bezpieczeństwa, a następnie ich analiza i reagowanie
wykorzystywanie rozwiązań do ochrony end pointów, wykorzystanie kryptografii itp
segmentacja sieci, tworzenie kopii zapasowych i odzyskiwanie danych

POBIERZ WHITE PAPERS O WYMOGACH NIS2

Dowiedz się jak przygotować się na poszczególne wymogi NIS 2 z serią white papers od ekspertów Trecom.

Pobierz materiał

Lista kontrolna – Jak szybko zweryfikować czy obszar zarządzania ryzykiem i polityk bezpieczeństwa jest pod kontrolą?

Rekomenduję, by zadać sobie samemu następujące pytania – mini lista kontrolna:

Czy krytyczne procesy i ich zasoby są znane, udokumentowane, określono dla nich najważniejsze ryzyka a środki bezpieczeństwa określone i wdrożone?
Czy zasoby teleinformatyczne objęte zakresem zostały zidentyfikowane, są monitorowane, a podatności i zagrożenia są zarządzane?
Czy polityki bezpieczeństwa, procedury są dokumentowane, komunikowane i cyklicznie oceniane?
Czy wdrożono proces monitorowania i zgłaszania incydentów bezpieczeństwa i reagowania na nie? Czy jest on udokumentowany?

Ciągłość działania i zarządzania kryzysowego

Dyrektywa NIS 2 odnosi się do „ciągłości działania i zarządzania kryzysowego” w swoich środkach zarządzania ryzykiem. Liczy się realna gotowość naszej organizacji do przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej czy kryzysowej. Kluczowe jest tu posiadanie planów ciągłości działania i zarządzania kryzysowego. Równie ważne jest cykliczne testowanie planów ciągłości działania i zarządzania kryzysowego. Nawet najlepiej opracowany dokument będzie bezużyteczny, jeśli pracownicy nie będą potrafili skorzystać z niego w sytuacji kryzysowej.

Incydenty Bezpieczeństwa

NIS 2 wprowadza dwa rygorystyczne obowiązki dotyczące incydentów bezpieczeństwa:

1. Obowiązek przesłania wczesnego ostrzeżenia

Bez zbędnej zwłoki i co ważne w czasie nie dłuższym niż 24 godziny od powzięcia wiedzy o poważnym incydencie czy zagrożeniu cybernetycznym musimy dokonać wczesnego ostrzeżenia, w którym musimy wskazać, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym, czy działaniem w złym zamiarze oraz czy mógł wywrzeć wpływ transgraniczny.

2. Obowiązek zgłoszenia incydentu

Następnie, bez zbędnej zwłoki, w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – zgłoszenie incydentu, z aktualizacją wcześniejszych informacji i wskazaniem wstępnej oceny poważnego incydentu, jego dotkliwości i skutków, a tam, gdzie to ma zastosowanie także wskaźników integralności systemu.

3. Obowiązek przedstawienia raportu tymczasowego

W trakcie obsługi incydentu, odpowiedni CSIRT może zażądać przedstawienia raportu tymczasowego przedstawiającego status postępu działań naprawczych. Raport ma na celu skontrolowanie, czy indycent jest obsługiwany we właściwy sposób.

4. Obowiązek przedstawienia raportu końcowego

< 1 miesiąc po złożeniu pierwszego raportu, po zgłoszeniu incydentu. Raport końcowy powinien zawierać:

szczegółowy opis incydentu, jego wagi, wpływu i dotkliwości oraz skutków,
rodzaj zagrożenia, pierwotna przyczyna, która prawdopodobnie była źródłem incydentu,
zastosowane i wdrażane środki zaradcze ograniczające ryzyko,
wskazanie transgranicznych skutków incydentów.

Podmioty ważne-publiczne nie są zobowiązane do przekazywania wczesnych ostrzeżeń i raportów końcowych. Podmioty publiczne-ważne mają jedynie obowiązek dokonania zgłoszenia incydentu poważnego. Sposób zgłaszania nie ulega zmianie – podmioty te powinny zgłosić incydent poważny niezwłocznie, nie później niż w terminie 72 godzin od jego wykrycia.

Tabela przedstawiająca wymogi związane ze zgłaszaniem incydentów w ramach NIS 2/UokSC.

Definicja poważnego incydentu

Poważny incydent bezpieczeństwa to takie zdarzenie, które:

spowodowało lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty ﬁnansowe dla danego podmiotu,
wpłynęło lub jest w stanie wpłynąć na inne osoby ﬁzyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe,
ma znaczący wpływ na świadczenie usług,
wszelkie istotne zidentyﬁkowane zagrożenia cybernetyczne, które mogły potencjalnie skutkować istotnym incydentem (zdarzenia potencjalnie wypadkowe).

Do kogo firmy i instytucje mają zgłaszać incydenty bezpieczeństwa?

Incydenty poważne, ich status i raporty musimy zgłaszać do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT. Odbywać się to będzie przy użyciu systemu S46, który służyć będzie do komunikacji dwustronnej z CSIRTami. Na rozpoczęcie korzystania z systemu S46 do zgłaszania incydentów ustawa przewiduje 12 miesięcy od wejścia w życie UoKSC.
 Zgłoszenia należy wysyłać do odpowiedniego CSIRTu sektorowego, o ile taki został utworzony. Obecnie istnieją następujące CISRITy sektorowe:

CSIRT CeZ – dla sektora ochrony zdrowia, w ramach Centrum e-Zdrowia.
CSIRT INFRASTRUKTURA – dla sektora transportu i dostępu do wody, powołany przez Ministerstwo Infrastruktury.
CSIRT Energia – dla sektora energii, tworzony przez Ministerstwo Klimatu i Środowiska.

W czerwcu 2025 r. Ministerstwo Cyfryzacji ogłosiło utworzenie CSIRTu Cyfra – dla sektora infrastruktury cyfrowej. Planowana operacyjność tej jednostki to czerwiec 2026 r.

Jeśli nie istnieje odpowiedni CSIRT sektorowy, incydenty należy zgłaszać do:

CSIRT GOV – dla sektorów związanych z obronnością i bezpieczeństwem,
CSIRT MON – dla instytucji administracji publicznej,
CSIRT NASK – dla pozostałych podmiotów, głównie sektora cywilnego i prywatnego.

Jak sprawdzić, czy jesteśmy przygotowani do zgłaszania i raportowania incydentów bezpieczeństwa?

Rekomenduję, by zadać sobie samemu następujące pytania – mini lista kontrolna:

Czy jestem w stanie na żądanie uprawnionych organów dostarczyć dowody?
Czy moja organizacja wykrywa i reaguje na incydenty w trybie operacyjnym, codziennie? Czy jestem odpowiednio szkolony w tym zakresie?
Czy wykrywam na bieżąco podatności, zagrożenia i zdarzenia security. Jaka jest ich jakość? Czy proces ten jest zautomatyzowany?
Czy moja organizacja jest w stanie zidentyfikować przyczynę źródłową incydentu? Czy obejmuje to czas i ścieżkę ataku?
Czy mam zdefiniowany, zakomunikowany i przećwiczony proces komunikacji w zakresie incydentów NIS 2?

Najnowsze publikacje