Jak przygotować organizację przed wejściem w życie UoKSC? Praktyczny przewodnik

Aleksander Bronowski Data publikacji: 08.01.2026 4 min. czytania

Wiele firm w Polsce, oczekując na finalne przyjęcie nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UoKSC), zadaje jedno pytanie: co można zrobić już teraz, aby wdrażanie wymogów dyrektywy NIS 2 było możliwie bezproblemowe?

Choć wymagania NIS 2 są już znane i nie zmieniają się znacząco od kolejnych wersji projektu UoKSC, warto pamiętać, że nie istnieje uniwersalny schemat wdrożenia, który można zastosować w każdej organizacji. Każda firma musi przygotować się wewnętrznie – organizacyjnie, procesowo i technologicznie – aby wdrożenie było skuteczne i zgodne z wymogami prawa.

Dobrym przykładem jest bezpieczeństwo łańcucha dostaw. Trudno spełnić wymagania w tym obszarze, jeśli nie wiadomo, których dostawców należy uwzględnić, jaki mają wpływ na świadczenie usługi oraz do jakich systemów i zasobów mają dostęp. Nie chodzi wyłącznie o stworzenie listy – nie powinniśmy oczekiwać zaawansowanych środków bezpieczeństwa wobec małych dostawców, którzy nie mają dostępu do systemów, nie wchodzą do budynków i nie przetwarzają żadnych danych.

Nie oznacza to oczywiście, że tacy dostawcy są całkowicie poza ramami bezpieczeństwa. Jednak zgodność z NIS 2 w obszarze łańcucha dostaw wymaga wcześniejszej klasyfikacji partnerów, zanim zaczniemy narzucać im konkretne środki bezpieczeństwa. Bez odpowiedniego przygotowania okres wdrażania NIS 2 może się znacząco wydłużyć, a ryzyko niezgodności wzrosnąć. W tym artykule pokazujemy, co można zrobić już teraz, aby NIS 2 nie zaskoczył organizacji tak, jak zima co roku zaskakuje kierowców.

1. Co zrobić przed wdrożeniem analizy ryzyka?

Krok 1: Identyfikacja usługi kluczowej

Usługa kluczowa to ta, która determinuje, że organizacja podlega pod NIS 2 – np. produkcja leków, dystrybucja energii czy usługi transportowe. To punkt wyjścia do dalszych działań.

Krok 2: Identyfikacja usług powiązanych

Należy określić wszystkie procesy niezbędne do świadczenia usługi kluczowej, takie jak logistyka i wysyłka produktów, współpraca z kluczowymi dostawcami, usługi R&D czy utrzymanie systemów IT i OT.

Krok 3: Identyfikacja aktywów technicznych

Obejmuje wszystkie zasoby potrzebne do realizacji powyższych usług: infrastruktura on-premise, chmura, sieć, systemy OT oraz aplikacje biznesowe.

Mapowanie krytyczności

Nie wszystkie zasoby są równie krytyczne. Już teraz warto stworzyć macierz krytyczności, odpowiadającą na pytania: jaki jest wpływ niedostępności danego systemu na usługę kluczową, czy istnieją mechanizmy zastępcze i ile czasu organizacja może funkcjonować bez danego aktywa. To przygotowuje grunt pod Business Impact Analysis (BIA), który jest wymagany w kontekście ciągłości działania.

2. Ciągłość działania: BIA, RTO i RPO – co to naprawdę oznacza?

NIS 2 bardzo wyraźnie akcentuje ciągłość działania i odporność organizacji. Business Impact Analysis (BIA) pozwala odpowiedzieć na pytanie: co się stanie, jeśli dany system lub proces przestanie działać?

BIA pozwala określić, które procesy biznesowe są krytyczne, jakie będą skutki ich niedostępności (finansowe, prawne, reputacyjne) oraz jak długo organizacja może funkcjonować bez danego systemu.

Dwa kluczowe parametry to:

  • RTO (Recovery Time Objective) – maksymalny czas przywrócenia systemu,
  • RPO (Recovery Point Objective) – maksymalna ilość danych, które mogą zostać utracone.

Bez BIA wymagania ciągłości działania pozostają wyłącznie teoretyczne. Już teraz warto przygotować mapowanie aktywów na procesy biznesowe, określić wstępne parametry RTO/RPO, zidentyfikować realistyczne scenariusze awaryjne oraz ocenić mechanizmy odtwarzania danych – czy backupy są regularnie testowane.

3. Jak przygotować się do zabezpieczenia łańcucha dostaw w kontekście NIS 2?

Bezpieczeństwo łańcucha dostaw jest jednym z najtrudniejszych obszarów NIS 2, ponieważ trudno spełnić wymagania, jeśli nie wiadomo, których dostawców uwzględnić, jaki mają wpływ na usługę kluczową i do jakich systemów lub danych mają dostęp.

Kluczowe pytania przed wdrożeniem wymagań

  • Którzy partnerzy są krytyczni dla świadczenia usługi?
  • Czy i do czego mają dostęp?
  • Jaki byłby wpływ ich niedostępności lub incydentu bezpieczeństwa?

Praktyczne działania przygotowawcze

  • Sklasyfikuj dostawców: Krytyczni – mają dostęp do systemów/danych krytycznych; Istotni – wpływają na ciągłość, ale bez dostępu do systemów czy Pomocniczy – minimalny wpływ.
  • Określ minimalne wymagania dla każdej grupy: standardy bezpieczeństwa (jak ISO 27001); zarządzanie dostępem (MFA) czy monitoring infrastruktury (SOC)

4. Co zrobić przed wdrożeniem monitoringu systemów i zarządzania incydentami?

NIS 2 wymaga nie tylko reakcji na incydenty, ale również ciągłego monitorowania systemów oraz posiadania formalnych procesów reagowania. W pierwszym kroku warto przeanalizować obecne technologie – SIEM, EDR, NDR, firewalle itd. Jeżeli nie mamy technologii wymaganych do świadczenia usługi to należy przeanalizować dostępne na rynku opcje. Dobrym punktem wyjścia jest rozpoczęcie od technologii SIEM

W kolejnym kroku należy przejść do decyzji o modelu realizacji SOC – wewnętrzny, zewnętrzny czy hybrydowy – determinuje zakres odpowiedzialności i potrzebne kompetencje. W zdecydowanej większości przypadków firmy decydują się na zewnętrzne zespoły SOC.

Jeżeli decydujemy się na współpracę z zewnętrznym dostawcą to należy sprawdzić ramy współpracy – kwestie telemetrii, inżynierii detekcji, kompetencji (np. CTI, DFIR itd.), SLA, modelów współpracy, doświadczenia czy certyfikacji.

5. Jak przygotować się do zbierania informacji o podatnościach i Cyber Threat Intelligence?

Obszar zarządzania podatnościami i CTI jest złożony – wiele organizacji reaguje wyłącznie technicznie, zamiast wdrożyć formalny proces. Już teraz warto sprawdzić jak w organizacji zarządza się podatnościami. Czy firma zarządza całym cyklem: identyfikacją, oceną, naprawą i weryfikacją podatności? Jeżeli nie to zachęcamy do outsourcingu tego obszaru do SOC (jest to stosunkowo niewielki koszt, który umożliwia skorzystanie z eksperckiej wiedzy).

Cyber Threat Intelligence to proaktywne gromadzenie informacji o zagrożeniach specyficznych dla branży i regionu, które pozwala priorytetyzować działania. Ten obszar również warto zlecić zewnętrznemu dostawcy przez swój ekspercki charakter.

6. Co zrobić przed wdrożeniem obszaru szkoleń?

Skuteczne programy szkoleniowe opierają się na segmentacji według ról i poziomu dostępu. Pracownicy powinni uczestniczyć w szkoleniach odpowiednich do ich obowiązków – od podstawowych zasad bezpieczeństwa dla użytkowników końcowych, przez zaawansowane szkolenia dla zespołów IT, po governance i NIS 2 dla kadry zarządzającej.

Co wyróżnia skuteczne programy szkoleń?

Segmentacja według ról i poziomu dostępu

Już teraz warto:

  • Zidentyfikować grupy pracowników mające dostęp do systemów
  • Określić różne poziomy szkoleń: użytkownicy końcowi — podstawowe zasady bezpieczeństwa; IT i zespoły techniczne — zaawansowane szkolenia techniczne czy kadra zarządzająca — governance i odpowiedzialność
  • Wybrać odpowiednią formę — praktyczną, a nie wyłącznie „slajdy”

Ciągłość zamiast jednorazowości

  • Regularne kampanie świadomościowe
  • Symulacje phishingu z natychmiastowym feedbackiem
  • Mierzenie skuteczności — nie tylko „odhaczenie” uczestnictwa

7. Co zrobić przed stworzeniem Systemu Zarządzania Bezpieczeństwem Informacji (SZBI)?

Przed wdrożeniem SZBI warto zacząć od uporządkowania istniejących zasobów i dokumentów, a nie od pisania nowych polityk.

Już teraz warto:

  • zinwentaryzować polityki haseł, procedury nadawania uprawnień, regulaminy IT oraz zasady backupów i odtwarzania danych,
  • zebrać zapisy umowne dotyczące bezpieczeństwa u dostawców,
  • scentralizować dokumenty i powiązać je z analizą ryzyka oraz procesami biznesowymi.

To pozwala odpowiedzieć na pytanie, jakie zasady bezpieczeństwa faktycznie obowiązują w organizacji i stanowi fundament pod dalsze działania zgodne z NIS 2.

Aleksander Bronowski – GTM Manager z ponad sześcioletnim doświadczeniem w doradztwie transakcyjnym i technologicznym. Na co dzień wspiera klientów w doborze i projektowaniu rozwiązań z obszaru cyberbezpieczeństwa. Specjalizuje się w obszarze zarządzania incydentami, podatnościami i ryzykiem, a także NIS 2.

Najnowsze publikacje
Priorytety w usługach zewnętrznych w cyberbezpieczeństwie
Cyberbezpieczeństwo
Priorytety w usługach zewnętrznych w cyberbezpieczeństwie

Tomasz Matuła

29.12.2025

Priorytety w monitoringu i reagowaniu na zagrożenia
Cyberbezpieczeństwo
Priorytety w monitoringu i reagowaniu na zagrożenia

Tomasz Matuła

22.12.2025

Trecom występował na AT Summit 19-21.11.2025
Cyberbezpieczeństwo
Trecom występował na AT Summit 19-21.11.2025

Michał Ciemiega

17.12.2025

Pokaż wszystkie artykuły
Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?






    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.
    Grupa Trecom
    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać