Jak przygotować organizację przed wejściem w życie UoKSC? Praktyczny przewodnik

Spis treści1. Co zrobić przed wdrożeniem analizy ryzyka?Krok 1: Identyfikacja usługi kluczowej Krok 2: Identyfikacja usług powiązanych Krok 3: Identyfikacja aktywów technicznych 2. Ciągłość działania: BIA, RTO i RPO - co to naprawdę oznacza?3. Jak przygotować się do zabezpieczenia łańcucha dostaw w kontekście NIS 2?4. Co zrobić przed wdrożeniem monitoringu systemów i zarządzania incydentami?5. Jak przygotować się do zbierania informacji o podatnościach i Cyber Threat Intelligence?6. Co zrobić przed wdrożeniem obszaru szkoleń?7. Co zrobić przed stworzeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)?

Aleksander Bronowski Data publikacji: 08.01.2026 | Data aktualizacji: 03.02.2026 4 min. czytania

Wiele firm w Polsce, oczekując na finalne przyjęcie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC), zadaje jedno pytanie: co można zrobić już teraz, aby wdrażanie wymogów dyrektywy NIS 2 było możliwie bezproblemowe?

Choć wymagania NIS 2 są już znane i nie zmieniają się znacząco od kolejnych wersji projektu UoKSC, warto pamiętać, że nie istnieje uniwersalny schemat wdrożenia, który można zastosować w każdej organizacji. Każda firma musi przygotować się wewnętrznie – organizacyjnie, procesowo i technologicznie – aby wdrożenie było skuteczne i zgodne z wymogami prawa.

Dobrym przykładem jest bezpieczeństwo łańcucha dostaw. Trudno spełnić wymagania w tym obszarze, jeśli nie wiadomo, których dostawców należy uwzględnić, jaki mają wpływ na świadczenie usługi oraz do jakich systemów i zasobów mają dostęp. Nie chodzi wyłącznie o stworzenie listy – nie powinniśmy oczekiwać zaawansowanych środków bezpieczeństwa wobec małych dostawców, którzy nie mają dostępu do systemów, nie wchodzą do budynków i nie przetwarzają żadnych danych.

Nie oznacza to oczywiście, że tacy dostawcy są całkowicie poza ramami bezpieczeństwa. Jednak zgodność z NIS 2 w obszarze łańcucha dostaw wymaga wcześniejszej klasyfikacji partnerów, zanim zaczniemy narzucać im konkretne środki bezpieczeństwa. Bez odpowiedniego przygotowania okres wdrażania NIS 2 może się znacząco wydłużyć, a ryzyko niezgodności wzrosnąć. W tym artykule pokazujemy, co można zrobić już teraz, aby NIS 2 nie zaskoczył organizacji tak, jak zima co roku zaskakuje kierowców.

1. Co zrobić przed wdrożeniem analizy ryzyka?

Krok 1: Identyfikacja usługi kluczowej

Usługa kluczowa to ta, która determinuje, że organizacja podlega pod NIS 2 – np. produkcja leków, dystrybucja energii czy usługi transportowe. To punkt wyjścia do dalszych działań.

Krok 2: Identyfikacja usług powiązanych

Należy określić wszystkie procesy niezbędne do świadczenia usługi kluczowej, takie jak logistyka i wysyłka produktów, współpraca z kluczowymi dostawcami, usługi R&D czy utrzymanie systemów IT i OT.

Krok 3: Identyfikacja aktywów technicznych

Obejmuje wszystkie zasoby potrzebne do realizacji powyższych usług: infrastruktura on-premise, chmura, sieć, systemy OT oraz aplikacje biznesowe.

Mapowanie krytyczności

Nie wszystkie zasoby są równie krytyczne. Już teraz warto stworzyć macierz krytyczności, odpowiadającą na pytania: jaki jest wpływ niedostępności danego systemu na usługę kluczową, czy istnieją mechanizmy zastępcze i ile czasu organizacja może funkcjonować bez danego aktywa. To przygotowuje grunt pod Business Impact Analysis (BIA), który jest wymagany w kontekście ciągłości działania.

“We engaged Trecom to support our NIS2 gap assessment, and the experience was very positive. The team was well prepared, professional, and demonstrated a strong understanding of the regulation. Their recommendations were practical, reasonable, and aligned well with our business.”

Brent Sistare, Sr. Manager,
Cybersecurity, AFL Global

2. Ciągłość działania: BIA, RTO i RPO – co to naprawdę oznacza?

NIS 2 bardzo wyraźnie akcentuje ciągłość działania i odporność organizacji. Business Impact Analysis (BIA) pozwala odpowiedzieć na pytanie: co się stanie, jeśli dany system lub proces przestanie działać?

BIA pozwala określić, które procesy biznesowe są krytyczne, jakie będą skutki ich niedostępności (finansowe, prawne, reputacyjne) oraz jak długo organizacja może funkcjonować bez danego systemu.

Dwa kluczowe parametry to:

RTO (Recovery Time Objective) – maksymalny czas przywrócenia systemu,
RPO (Recovery Point Objective) – maksymalna ilość danych, które mogą zostać utracone.

Bez BIA wymagania ciągłości działania pozostają wyłącznie teoretyczne. Już teraz warto przygotować mapowanie aktywów na procesy biznesowe, określić wstępne parametry RTO/RPO, zidentyfikować realistyczne scenariusze awaryjne oraz ocenić mechanizmy odtwarzania danych – czy backupy są regularnie testowane.

POBIERZ WHITE PAPERS O WYMOGACH NIS2

Dowiedz się jak przygotować się na poszczególne wymogi NIS 2 z serią white papers od ekspertów Trecom.

Pobierz materiał

3. Jak przygotować się do zabezpieczenia łańcucha dostaw w kontekście NIS 2?

Bezpieczeństwo łańcucha dostaw jest jednym z najtrudniejszych obszarów NIS 2, ponieważ trudno spełnić wymagania, jeśli nie wiadomo, których dostawców uwzględnić, jaki mają wpływ na usługę kluczową i do jakich systemów lub danych mają dostęp.

Kluczowe pytania przed wdrożeniem wymagań

Którzy partnerzy są krytyczni dla świadczenia usługi?
Czy i do czego mają dostęp?
Jaki byłby wpływ ich niedostępności lub incydentu bezpieczeństwa?

Praktyczne działania przygotowawcze

Sklasyfikuj dostawców: Krytyczni – mają dostęp do systemów/danych krytycznych; Istotni – wpływają na ciągłość, ale bez dostępu do systemów czy Pomocniczy – minimalny wpływ.
Określ minimalne wymagania dla każdej grupy: standardy bezpieczeństwa (jak ISO 27001); zarządzanie dostępem (MFA) czy monitoring infrastruktury (SOC)

4. Co zrobić przed wdrożeniem monitoringu systemów i zarządzania incydentami?

NIS 2 wymaga nie tylko reakcji na incydenty, ale również ciągłego monitorowania systemów oraz posiadania formalnych procesów reagowania. W pierwszym kroku warto przeanalizować obecne technologie – SIEM, EDR, NDR, firewalle itd. Jeżeli nie mamy technologii wymaganych do świadczenia usługi to należy przeanalizować dostępne na rynku opcje. Dobrym punktem wyjścia jest rozpoczęcie od technologii SIEM

W kolejnym kroku należy przejść do decyzji o modelu realizacji SOC – wewnętrzny, zewnętrzny czy hybrydowy – determinuje zakres odpowiedzialności i potrzebne kompetencje. W zdecydowanej większości przypadków firmy decydują się na zewnętrzne zespoły SOC.

Jeżeli decydujemy się na współpracę z zewnętrznym dostawcą to należy sprawdzić ramy współpracy – kwestie telemetrii, inżynierii detekcji, kompetencji (np. CTI, DFIR itd.), SLA, modele współpracy, doświadczenie czy certyfikację.

5. Jak przygotować się do zbierania informacji o podatnościach i Cyber Threat Intelligence?

Obszar zarządzania podatnościami i CTI jest złożony – wiele organizacji reaguje wyłącznie technicznie, zamiast wdrożyć formalny proces. Już teraz warto sprawdzić jak w organizacji zarządza się podatnościami. Czy firma zarządza całym cyklem: identyfikacją, oceną, naprawą i weryfikacją podatności? Jeżeli nie to zachęcamy do outsourcingu tego obszaru do SOC (jest to stosunkowo niewielki koszt, który umożliwia skorzystanie z eksperckiej wiedzy).

Cyber Threat Intelligence to proaktywne gromadzenie informacji o zagrożeniach specyficznych dla branży i regionu, które pozwala priorytetyzować działania. Ten obszar również warto zlecić zewnętrznemu dostawcy przez swój ekspercki charakter.

6. Co zrobić przed wdrożeniem obszaru szkoleń?

Skuteczne programy szkoleniowe opierają się na segmentacji według ról i poziomu dostępu. Pracownicy powinni uczestniczyć w szkoleniach odpowiednich do ich obowiązków – od podstawowych zasad bezpieczeństwa dla użytkowników końcowych, przez zaawansowane szkolenia dla zespołów IT, po governance i NIS 2 dla kadry zarządzającej.

Co wyróżnia skuteczne programy szkoleń?

Segmentacja według ról i poziomu dostępu

Już teraz warto:

Zidentyfikować grupy pracowników mające dostęp do systemów
Określić różne poziomy szkoleń: użytkownicy końcowi — podstawowe zasady bezpieczeństwa; IT i zespoły techniczne — zaawansowane szkolenia techniczne czy kadra zarządzająca — governance i odpowiedzialność

Wybrać odpowiednią formę — praktyczną, a nie wyłącznie „slajdy”

Ciągłość zamiast jednorazowości

Regularne kampanie świadomościowe
Symulacje phishingu z natychmiastowym feedbackiem
Mierzenie skuteczności — nie tylko „odhaczenie” uczestnictwa

7. Co zrobić przed stworzeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)?

Przed wdrożeniem SZBI warto zacząć od uporządkowania istniejących zasobów i dokumentów, a nie od pisania nowych polityk.

Już teraz warto:

zinwentaryzować polityki haseł, procedury nadawania uprawnień, regulaminy IT oraz zasady backupów i odtwarzania danych,
zebrać zapisy umowne dotyczące bezpieczeństwa u dostawców,
scentralizować dokumenty i powiązać je z analizą ryzyka oraz procesami biznesowymi.

To pozwala odpowiedzieć na pytanie, jakie zasady bezpieczeństwa faktycznie obowiązują w organizacji i stanowi fundament pod dalsze działania zgodne z NIS 2.

Jeżeli chodzi o obecny stan NIS 2 to w styczniu 2026 roku przyjęto nowelizację Ustawy o KSC wdrażającą dyrektywę NIS 2. Ustawa została uchwalona przez Sejm w piątek, 23 stycznia 2026 r. W porównaniu do wcześniejszych wersji projektu, zmiany koncentrują się przede wszystkim na wydłużeniu kluczowych terminów.

Podmioty objęte regulacją będą miały 12 miesięcy na wdrożenie środków zarządzania ryzykiem, co stanowi jeden z podstawowych obowiązków wynikających z NIS 2. Dodatkowo przewidziano 6 miesięcy na zgłoszenie się do wykazu podmiotów kluczowych i ważnych. Raportowanie incydentów będzie realizowane za pośrednictwem systemu S46, którego uruchomienie przesunięto o 12 miesięcy.

Aleksander Bronowski – GTM Manager z ponad sześcioletnim doświadczeniem w doradztwie transakcyjnym i technologicznym. Na co dzień wspiera klientów w doborze i projektowaniu rozwiązań z obszaru cyberbezpieczeństwa. Specjalizuje się w obszarze zarządzania incydentami, podatnościami i ryzykiem, a także NIS 2.

Najnowsze publikacje