Jak wygląda audyt gotowości NIS2 prowadzony przez TrecomSEC – krok po kroku

Cyprian Gutkowski Data publikacji: 09.01.2026 5 min. czytania

Wraz z wejściem w życie Dyrektywy NIS2 coraz więcej organizacji zadaje sobie jedno zasadnicze pytanie: czy jesteśmy gotowi spełniać nowe obowiązki w zakresie cyberbezpieczeństwa i ciągłości działania? Faktyczną odpowiedź na to pytanie powinien być rzetelnie przeprowadzony audyt gotowości NIS2, którego celem jest nie tylko ocena obecnego stanu, ale przede wszystkim wyznaczenie realnej, praktycznej, możliwej od zrealizowania przez zamawiającego (biorąc pod uwagę kontekst działalności, zasoby i kompetencje) drogi do osiągnięcia zgodności.

Wyspecjalizowany zespół – TrecomSEC – realizuje takie audyty w formie analizy luki, opierając się na unikalnej wypracowanej wewnętrznie metodyce łączącej wymagania prawne, najlepsze praktyki branżowe i wiedzę praktyczną z przeprowadzonych do tej pory audytów wynikających z art. 15 obecnie obowiązującej ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) u operatorów usług kluczowych.

Dyrektywa NIS2 a polskie przepisy – ważna uwaga

Na wstępie należy jasno zaznaczyć, że Dyrektywa NIS2 nie jest aktem prawnym, który obowiązuje bezpośrednio podmioty prywatne i publiczne. Dyrektywa UE określa jedynie cele i minimalne standardy, jakie państwa członkowskie mają osiągnąć, pozostawiając jednak im swobodę w zakresie sposobu ich implementacji do prawa krajowego.

W przypadku Polski odpowiedni akt prawny, mający wdrożyć wymogi NIS2, powinien był zostać przyjęty do 17 października 2024 r. Tak się jednak nie stało. Obecnie projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa zakończył już etap konsultacji, prac odpowiednich komitetów oraz Rady Ministrów i trafił do Parlamentu. Nadal jednak oznacza to, że szczegółowe wymagania nie zostały jeszcze ostatecznie zatwierdzone.

Obowiązującym aktem prawnym, opartym na wcześniejszej dyrektywie NIS, pozostaje ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). Niestety, przepisy te różnią się w wielu aspektach od nowych wymogów NIS2. Dlatego audyt przeprowadzany Trecom opiera się przede wszystkim bezpośrednio na treści Dyrektywy NIS2, z jednoczesnym uwzględnieniem aktualnego projektu nowelizacji UKSC.

Takie podejście pozwala zdaniem ekspertów możliwie najwierniej przygotować organizację do nadchodzących obowiązków, nawet w sytuacji niepewności legislacyjnej.

Audyt a dokładniej rzecz biorąc analiza odbywa się w kilku dokładnie zaplanowanych krokach.

Krok 1: Określenie, czy organizacja podlega NIS2

Pierwszym etapem audytu jest ustalenie, czy dany podmiot w rzeczywistości podlega zakresowi przedmiotowemu i podmiotowemu dyrektywy NIS2, a skoro podlega to  jako podmiot ważny czy podmiot kluczowy?

W tym celu wykorzystywane są:

  • informacje bezpośrednio przekazane przez Zamawiającego,
  • publicznie dostępne informacje o organizacji (profil działalności, PKD, rynek, sektor, skala działalności),
  • wiedza ekspercka Zespołu Projektowego TrecomSEC w zakresie NIS2 oraz KSC.

Już na tym etapie klient otrzymuje wartościową informację: czy i dlaczego podlega (lub potencjalnie może podlegać) przepisom NIS2 oraz jakie mogą z tego wynikać konsekwencje.

Krok 2: Szczegółowa ankieta audytowa – setki punktów kontrolnych

Następnie Zespół Projektowy przygotowuje i przekazuje do wypełnienia dwie ankiety audytowe, składające się w sumie z kilkuset pytań zamkniętych (checkboxy) i towarzyszących im często pytań otwartych, jak również pytań z prośbą o określenie czy organizacja posiada zasoby i kompetencje, by wykonać rekomendacje samemu czy będzie musiała skorzystać z wsparcia podmiotów zewnętrznych. Dotyczy to wymaganych przez NIS2 obszarów takich jak: 

  • zarządzanie ryzykiem,
    • obsługi incydentów,
    • ciągłości działania,
    • bezpieczeństwa łańcucha dostaw,
    • szkoleń i świadomości,
    • zabezpieczeń technicznych,
    • zarządzania dostępami,
    • monitorowania bezpieczeństwa i logowania zdarzeń.

W praktyce są to często dwie uzupełniające się ankiety, pozwalające na pełne pokrycie wymagań NIS2. Ankiety w niektórych miejscach powtarzają swoje pytania, jedynie inaczej ubierając je w słowa, tak by w sposób crossowy uzyskać odpowiedź na pytanie a przez to jak najlepiej odwzorować stan faktyczny czy zidentyfikować dokumentację lub procesy mogącą istnieć już obecnie u zamawiającego audyt.

Dzięki temu już na wczesnym etapie powstaje szczegółowy obraz funkcjonujących mechanizmów bezpieczeństwa – zarówno formalnych, jak i nieformalnych.

Krok 3: Przegląd dokumentacji i istniejących procesów

Kolejnym krokiem jest szczegółowa analiza dokumentacji przekazanej przez organizację, m.in.:

  • polityk bezpieczeństwa informacji,
  • procedur reagowania na incydenty,
  • planów ciągłości działania i odtwarzania po awarii,
  • regulaminów i instrukcji IT,
  • rejestrów ryzyk i podatności,
  • umów z dostawcami (szczególnie rozwiązań ICT czy usług bezpieczeństwa),
  • zapisów z systemów bezpieczeństwa.

Co warte podkreślenia – zespół TrecomSEC – analizuje nie tylko dokumenty formalne, ale również procesy, które funkcjonują operacyjnie, mimo że nie zostały formalnie udokumentowane. Jest to niezwykle ważne, ponieważ w praktyce wiele organizacji posiada pewne mechanizmy bezpieczeństwa, całkiem dobrze zakorzenione w strukturze organizacyjnej, które jednak nie są sformalizowane, a przez to pozostają niewidoczne dla większości audytorów i samego nadzoru.

Krok 4: Spotkania audytowe i warsztaty z organizacją

Następnie odbywają się spotkania audytowe i warsztatowe z przedstawicielami organizacji. W spotkaniach takich mogą (w zależności od potrzeb i struktury organizacji) brać udział:

  • kadra zarządzająca,
  • dział IT,
  • dział bezpieczeństwa,
  • osoby odpowiedzialne za ciągłość działania,
  • dział compliance,
  • HR i szkolenia,
  • właściciele procesów biznesowych.

Podczas takich spotkań warsztatowych podejmowane przez audytorów są następujące czynności:

  • wspólnie omawiana jest wypełniona ankieta (sprawdzenie poprawności rozumienia zarówno pytań, jak i odpowiedzi),
  • weryfikowane są informacje zawarte w dokumentacji,
  • przeprowadzane są wywiady z oddelegowanymi do tego pracownikami,
  • identyfikowane są luki i ryzyka faktycznie istniejące dla zamawiającego,
  • analizowany podczas spotkań jest faktyczny (a nie jedynie deklaratywny) poziom gotowości.

Jest to najważniejszy etap, w którym wiedza formalna i doświadczenie zespołu audytorskiego spotyka się z operacyjną rzeczywistością badanej organizacji. Co w efekcie pozwoli sformułować właściwe wnioski i rekomendacje.

Krok 5: Raport końcowy i rekomendacje

Efektem przeprowadzonego przez ekspertów badania – jest szczegółowy raport z analizy luki NIS2, który obejmuje:

  • ocenę organizacji w odniesieniu do wymagań NIS2,
  • identyfikację luk w minimum 14 obszarach,
  • ocenę dojrzałości cyberbezpieczeństwa,
  • wskazanie obszarów krytycznych i priorytetowych w procesie likwidacji luk,
  • zestaw konkretnych, praktycznych rekomendacji korygujących zastany stan faktyczny, który został zidentyfikowany jako niezgodny z wymaganiami Dyrektywy NIS2.

Co niezwykle ważne – raport TrecomSEC jest całkowicie vendor agnostic, co oznacza, że:

  • nie promuje konkretnych producentów,
  • nie narzuca konkretnych rozwiązań technologicznych,
  • skupia się wyłącznie na faktycznych wymaganiach i potrzebach organizacji.

Dzięki temu klient otrzymuje obiektywny i niezależny obraz sytuacji, celem pracy naszych ekspertów jest ustalenie stanu faktycznego, przedstawienie możliwości niwelacji zidentyfikowanych luk a nie sprzedaż konkretnych rozwiązań technologicznych.

Krok 6: Harmonogram działań (roadmapa NIS2)

Integralną częścią raportu jest harmonogram działań wdrożeniowych, uwzględniający -działania niezbędne do wykonania jako pierwsze, działania możliwe do realizacji równolegle, jak i działania, które powinny zostać przesunięte dopiero do czasu zakończenia uchwalenia ostatecznej treści ustawy (np. szczegółowe procedury raportowania do CSIRT).

Co daje taki raport?

Można odwrócić to pytanie. Czy jesteś w stanie zaplanować budżet, przydzielić role i odpowiedzialności w zespole, określić priorytety działań – jeśli nie wiesz co rzeczywiście masz zrobić?

Naszym zdaniem nie, działając bez dokładnego rozeznania, bez zidentyfikowanych i wskazanych szczegółowo do osiągnięcia celów nie unikniesz chaotycznych i kosztownych decyzji, które tylko w minimalnym stopniu zbliżą organizację do spełnienia wymogów NIS2. W niektórych przypadkach wręcz ją oddala, bo źle przeprowadzona analiza ryzyka, błędne zarządzanie incydentami czy niewłaściwie napisana polityka dostawców lub plany ciągłości działania, mogą ściągnąć na organizacje kary a na najwyższe jej kierownictwo odpowiedzialność osobistą.

Raport z audytu analizy luki jest więc w praktyce kompletną roadmapą właściwego wdrożenia NIS2.

Szczegóły organizacyjne i logistyczne

Kto przeprowadza audyt?

Audyt realizowany jest przez ekspertów TrecomSEC, którzy:

  • posiadają certyfikaty zgodne z art. 15 obowiązującej ustawy o KSC,
  • audytują obecnie już działających operatorów usług kluczowych,
  • posiadają doświadczenie w projektach dla sektora publicznego i prywatnego,
  • dysponują w zespole prawnikami z wieloletnim doświadczeniem w obszarze cyberbezpieczeństwa,
  • pełnili i pełnią funkcję CISO w organizacjach z wielu sektorów gospodarki,
  • znają wymagania m.in. takich standardów jak ISO 27001, ISO 22301 czy NIST.

Daje to gwarancję, że audyt ma charakter profesjonalny, rzetelny i zgodny z najlepszymi praktykami rynkowymi.

Dlaczego audyt gotowości na spełnienie wymogów NIS2 jest tak korzystny dla organizacji?

Dla wielu organizacji największym problemem jest brak odpowiedzi na trzy kluczowe pytania:

  1. Czy w ogóle podlegamy NIS2?
  2. Jeśli tak – czego konkretnie nam brakuje?
  3. Od czego powinniśmy zacząć „naszą przygodę”?

Audyt gotowości NIS2 prowadzony przez zespół ekspertów z TrecomSEC daje jasność sytuacyjną, umożliwia zaplanowanie kosztów wdrożenia – stanowiąc podstawę do dalszych działań projektowych.

Jednocześnie nie jest w żaden sposób wiążący dla organizacji, bo rekomendacje z audytu mogą zostać wdrożone samodzielnie przez organizację, wdrożone we współpracy z Trecom lub przekazane do wdrożenia dowolnej innej firmie wdrożeniowej.

Audyt jest zatem jedynie fundamentem całego procesu dostosowania do NIS2. Bez niego organizacja działa „po omacku”, ryzykując błędne decyzje i nieefektywne wydatki.

Podsumowanie

Audyt gotowości NIS2 realizowany przez Trecom to nie tylko badanie zgodności czy kolejna kontrola. To strategiczne narzędzie zarządcze, które pozwala organizacji wejść w nową rzeczywistość regulacyjną świadomie, bezpiecznie, z jasno określonym przez ekspertów i zaakceptowanym przez organizację planem działania.

W świecie, gdzie cyberzagrożenia są codziennością, a odpowiedzialność zarządu za bezpieczeństwo rośnie, taki audyt przestaje być wyborem a staje się koniecznością.

Cyprian Gutkowski – specjalista ds. bezpieczeństwa procesów IT, prawnik oraz doświadczony CISO w sektorze finansowym i zdrowia, ekspert w zakresie zgodności z regulacjami NIS2, DORA i RODO. Od lat zaangażowany w rozwój cyberbezpieczeństwa w Polsce, współtworzył projekty dla krajowych CSIRT-ów, prowadzi szkolenia i wykłada na uczelniach, a w 2025 roku zdobył tytuł Wykładowcy Roku MBA PW.

Najnowsze publikacje
SOC checklist część 2: codzienne zadania, których nie widać
Cyberbezpieczeństwo
SOC checklist część 2: codzienne zadania, których nie widać

Michał Buczyński

09.01.2026

10 najczęstszych błędów przy wdrażaniu wymagań NIS2
Cyberbezpieczeństwo
10 najczęstszych błędów przy wdrażaniu wymagań NIS2

Cyprian Gutkowski

09.01.2026

Jak przygotować organizację przed wejściem w życie UoKSC? Praktyczny przewodnik
Cyberbezpieczeństwo
Jak przygotować organizację przed wejściem w życie UoKSC? Praktyczny przewodnik

Aleksander Bronowski

08.01.2026

Pokaż wszystkie artykuły
Skontaktuj się z nami

Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne? Chcesz otrzymać oferty naszych rozwiązań lub wersje demonstracyjne?

Chcesz umówić się na konsultacje? Chcesz umówić się na konsultacje?

Masz dodatkowe pytania? Masz dodatkowe pytania?






    Więcej informacji o przetwarzaniu danych osobowych przeczytaj tutaj.
    Grupa Trecom
    „Trecom Spółka Akcyjna” Sp. k.

    ul. Czyżewska 10, 02-908 Warszawa

    info@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Wrocław Sp. z o.o.

    ul. Wyścigowa 58, 53-012 Wrocław

    wroclaw@trecom.pl +48 71 715 14 70

    Sprawdź jak dojechać

    Trecom Łódź Sp. z o.o.

    ul. Urzędnicza 36, 91-312 Łódź

    lodz@trecom.pl +48 22 483 49 39

    Sprawdź jak dojechać

    Trecom Enterprise Solutions Sp. z o.o.

    ul. Czyżewska 10, 02-908 Warszawa

    biuro.enterprise@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    „Trecom Kraków Spółka Akcyjna” Sp. k.

    ul. Zakliki z Mydlnik 16, 30-198 Kraków

    krakow@trecom.pl +48 12 390 71 40

    Sprawdź jak dojechać

    Trecom Nord Sp. z o.o.

    ul. Olimpijska 2, 81-538 Gdynia

    gdansk@trecom.pl +48 22 488 72 00

    Sprawdź jak dojechać

    Trecom Poznań Sp. z o.o.

    ul. Krzemowa 1, Złotniki, 62-002 Suchy Las k. Poznania

    poznan@trecom.pl +48 61 639 61 55

    Sprawdź jak dojechać

    Intertrading Systems Technology Sp. z o.o.

    Al. Jerozolimskie 162A, 02-342 Warszawa

    ist@ist.pl +48 22 50 245 50

    Sprawdź jak dojechać