Jeden partner do wdrożenia wymogów NIS 2

Trecom przeprowadza organizacje przez cały proces wdrożenia NIS 2 – od analizy luki i analizy ryzyka, przez wdrożenie technologii (SIEM, EDR, NDR), po uruchomienie monitoringu 24/7 w SOC i szkolenia kadry zarządzającej. Zrealizowaliśmy ponad 60 projektów w zakresie NIS 1 i NIS 2 dla podmiotów kluczowych i ważnych.

Zamów audyt luki NIS2

+1700

klientów

+115

inżynierów

+90

partnerów technologicznych

Czym jest NIS 2 i dlaczego Twoja firma musi działać teraz?

Harmonogram wdrażania NIS 2 w Polsce

23.01
2026

Uchwalenie ustawy

kliknij po szczegóły

19.02
2026

Podpis prezydenta

kliknij po szczegóły

02.04
2026

Publikacja w Dzienniku Ustaw

kliknij po szczegóły

02.10
2026

Obowiązek Rejestracji

kliknij po szczegóły

02.04
2027

Wdrożenie środków bezpieczeństwa

kliknij po szczegóły

02.03
2028

Kary i pierwszy audyt

kliknij po szczegóły

23 stycznia 2026
Ustawa o KSC przyjęta przez Sejm. To formalny początek procesu wdrażania NIS 2 w polskim porządku prawnym.

19 lutego 2026
Podpis prezydenta zamknął wieloletni etap prac parlamentarnych — Sejm, Senat i konsultacje społeczne dobiegły końca.

Prezydent skierował do Trybunału Konstytucyjnego regulacje odnoszące się m.in. do tzw. dostawców wysokiego ryzyka. Nie oznacza to, że całość ustawy zostanie zmieniona.

2 marca 2026
Od tego momentu firmy mają 13 miesięcy na dostosowanie się do nowych wymogów. Organizacje objęte ustawą muszą rozpocząć działania związane z dostosowaniem procesów, polityk bezpieczeństwa oraz monitoringiem i raportowaniem.
Wejście w życie nowelizacji UoKSC następuje po miesięczny vactio legis od dnia publikacji w Dzienniku Ustaw, czyli 02.04.2026.

6 miesięcy od wejścia w życie
W tym czasie organizacja powinna ustalić swój status (podmiot kluczowy lub ważny) oraz dokonać formalnej rejestracji w systemie S46.

Co ważne, ustawodawca czy CISIRTy nie będą przesyłać do podmiotów indywidualnych decyzji o włączeniu w zakres podmiotów objętych nowelizacją UoKSC. Obowiązek samorejestracji leży po stronie organizacji.

13 miesięcy od wejścia w życie
W tym terminie organizacje objęte NIS 2 powinny spełniać już wszystkie wymogi, m.in.: polityki bezpieczeństwa, zarządzanie incydentami, bezpieczeństwo łańcucha dostaw, szkolenia dla pracowników czy analizę ryzyka.

24 miesiące od wejścia w życie
Po tym okresie organy nadzorcze mogą rozpocząć nakładanie kar za brak zgodności. To oznacza, że organizacje powinny być w pełni przygotowane na ewentualną kontrolę.

24 miesiące po wejściu w życie nowelizacji podmioty są również zobowiązane do wykonania pierwszego audytu bezpieczeństwa systemu informacyjnego.

Ustawa zakłada możliwość nakładania kar wcześniej w przypadku wystąpienia incydentu.

Kogo obejmuje NIS 2?

Podmioty kluczowe i ważne mają 13 miesięcy na wdrożenie proporcjonalnych środków

Kryterium rozmiaru: 50+ pracowników lub 10 mln EUR obrotu (z wyjątkami).

Szczegółowy przewodnik po NIS 2 →

Kary i odpowiedzialność osobista zarządu

Podmioty kluczowe: do 10 mln EUR lub 2% rocznego obrotu

Podmioty ważne: do 7 mln EUR lub 1,4% rocznego obrotu

Dodatkowa kara w Polsce: do 100 000 000 PLN w przypadku naruszenia przepisów powodującego bezpośrednie, ekstremalnie poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, życia i zdrowia ludzi

Kierownik podmiotu: osobista odpowiedzialność – kara do 300% wynagrodzenia w sektorze prywatnym i 100% w sektorze publicznym

Kary mogą być nakładane od 24 miesięcy po wejściu ustawy w życie. Ustawa dopuszcza kary wcześniej w przypadku wystąpienia incydentu.

Nie wiesz, czy Twoja firma podlega NIS2? Zamów bezpłatną konsultację

Jak Trecom realizuje każdy wymóg NIS 2?

Wymóg NIS 2

Analiza ryzyka i polityki bezpieczeństwa
Obsługa incydentów
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Bezpieczeństwo sieci i systemów
Zarządzanie podatnościami
Kryptografia i kontrola dostępu
Szkolenia pracowników i zarządu
Monitoring i raportowanie

Co trzeba zrobić

Analiza ryzyka, SZBI
Procedury detekcji, reakcji, raportowania (24h/72h/30 dni)
BCP/DRP, BIA, zarządzanie kryzysowe
Identyfikacja dostawców, ocena ryzyka dostawców, wymogi kontraktowe
m.in. SIEM, EDR, NDR, NGFW, segmentacja
Skanowanie i ocena podatności
IAM, PAM, MFA, ZTNA
Szkolenia awareness, gry strategiczne
Ciągły monitoring, raportowanie dla organów

Jak Trecom to realizuje

TrecomSEC
Doradztwo
SOC 24/7
Monitoring
TrecomSEC + technologie backup
Doradztwo + Technologie
TrecomSEC
Doradztwo
Technologie cyberbezpieczeństwa
Technologie
SOC + technologie do oceny podatności
Monitoring + Technologie
Technologie | SASE
Technologie
TrecomSEC
Doradztwo
SOC 24/7 oraz technologie SIEM/EDR/XDR
Monitoring + Technologie

Większość firm potrzebuje 3–5 różnych dostawców, by pokryć te wymogi. Z Trecom realizujesz cały proces z jednym partnerem.

Jak wygląda wdrożenie NIS 2 z Trecom – krok po kroku?

Audyt luki NIS 2

Warsztaty, ankiety, analiza dowodów technicznych. Deliverable: raport z oceną luk i rekomendacjami. Doświadczenie: >60 projektów. Szczegóły audytu →

TrecomSEC

Plan osiągnięcia zgodności

Priorytetyzacja luk, harmonogram działań, budżet, przypisanie odpowiedzialności. Deliverable: roadmapa z timeline i KPI.

TrecomSEC + klient

Wdrożenie technologii i procesów

Równoległe: (a) SZBI, BCP (TrecomSEC), (b) SIEM, EDR czy XDR po kilku vendorów per technologia, (c) szkolenia.

+115 inżynierów

Monitoring 24/7

SOC Trecom przejmuje ciągły monitoring, detekcję i reakcję. Raportowanie incydentów zgodnie z NIS 2 (24h/72h/30 dni).

SOC 24/7 →

Ciągłe doskonalenie

Cykliczne przeglądy bezpieczeństwa, CISOaaS, aktualizacja reguł detekcji, testy penetracyjne, raportowanie dla zarządu i regulatorów.

TrecomSEC + SOC

Dlaczego warto wybrać Trecom jako partnera wdrożenia NIS 2?

Jeden partner vs kilku dostawców – porównanie modeli

Kryterium

Audyt luki NIS 2
Dokumentacja (SZBI, BCP)
Wdrożenie technologii
Monitoring 24/7 (SOC)
Szkolenia kadry
Koordynacja projektu

Firma doradcza

✅
✅
❌
❌
✅
Klient koordynuje

Firma technologiczna

❌
❌
✅ (1–2 vendorów per technologia)
❌
❌
Klient koordynuje

SOC-as-a-Service

❌
❌
❌
✅
❌
Klient koordynuje

Trecom (pełny łańcuch)

✅ TrecomSEC
✅ TrecomSEC
✅ (3–4 vendorów per technologia)
✅ Własny SOC
✅
Trecom koordynuje

Przy modelu wielu dostawców odpowiedzialność za koordynację spada na klienta. Z Trecom masz jednego partnera odpowiedzialnego za cały proces – od audytu po codzienny monitoring. W ramach wdrożenia dostępne również: monitoring infrastruktury (NOC) i pełna lista partnerów technologicznych.

Trecom w liczbach

>60

projektów NIS1/NIS 2

+115

inżynierów i architektów

90+

partnerów technologicznych

SOC 24/7

monitoring 365 dni

30+

specjalizacji zaawansowanych

25+

lat na rynku

1700+

klientów

biur w Polsce

Cisco

Security Partner of the Year 2024,
Poland

Zespół TrecomSEC – eksperci od regulacji

Mirosław Maj

Dyrektor TrecomSEC, ex-lider CERT Polska, Prezes Fundacji Bezpieczna Cyberprzestrzeń

Cyprian Gutkowski

Prawnik oraz ekspert TrecomSEC od NIS 2/UoKSC

Michał Kaczmarek

SOC Manager

Piotr Kępski

Inżynier systemów bezpieczeństwa

Marcin Fronczak

Inżynier

Wojciech Korus

Inżynier ds. cyberbezpieczeństwa

Zespół TrecomSEC łączy doświadczenie regulacyjne (prawnicy) z operacyjną wiedzą o zagrożeniach (CTI czy analiza ryzyka). Poznaj wszystkich ekspertów →

Doświadczenie i referencje w projektach NIS 2

„Trecom’s expertise and commitment to quality made a significant difference in our NIS 2 compliance journey. Their team demonstrated deep understanding of both regulatory requirements and practical implementation challenges.”

Brent Sistare – Sr. Manager, Cybersecurity, AFL Global (produkcja/telekomunikacja, NIS 2 gap assessment)

Opinia klienta: Brent Sistare, Sr. Manager Cybersecurity, AFL Global — o audycie NIS2 z Trecom

Konferencja Trecom Security 360

VI edycja (2025), temat przewodni: „NIS 2 – mity i fakty”. 130+ uczestników stacjonarnie, 160 online. Partnerzy: Fundacja Bezpieczna Cyberprzestrzeń, PTI, Security Magazine. Od 6 lat organizujemy jedno z większych spotkań branżowych poświęconych cyberbezpieczeństwu.

Seria white papers o NIS 2

Publikujemy cyklicznie materiały edukacyjne o NIS 2 – od interpretacji wymogów, przez praktyczne case studies, po aktualizacje legislacyjne. Ponad 2500 pobrań materiałów o NIS 2. Pobierz white papers →

Wdrożenie NIS2 — infografika

Sektory obsługiwane przez Trecom

Energetyka

Infrastruktura krytyczna, OT/ICS, IEC 62443

Finanse

DORA, compliance KNF

Produkcja

IT/OT convergence, NIS 2 jako nowy obowiązek

Transport

Sektor kluczowy NIS 2, bezpieczeństwo systemów sterowania

Ochrona zdrowia

Ochrona danych medycznych, systemy HIS

Technologie i telco

Dostawcy usług cyfrowych, data center

Handel

Podmioty ważne, ochrona danych klientów, rozproszone lokalizacje (case study: Żabka)

Sektor publiczny

Ustawa o KSC, Cyberbezpieczny Samorząd

Najczęściej zadawane pytania o wdrożenie NIS 2

Czy moja firma podlega NIS 2?

NIS 2 obejmuje podmioty kluczowe i ważne z 18 sektorów – od energetyki i finansów, przez produkcję i transport, po usługi cyfrowe i ochronę zdrowia. Co do zasady podlegają firmy średnie i duże (50+ pracowników lub 10 mln EUR obrotu), ale wyjątki dotyczą m.in. dostawców usług DNS, rejestrów TLD i dostawców usług zaufania niezależnie od wielkości. Trecom w ramach audytu luki NIS 2 weryfikuje, czy organizacja podlega nowym przepisom. Przewodnik po NIS 2 →

Ile czasu mamy na wdrożenie wymogów NIS 2?

Po wejściu ustawy o KSC w życie firmy mają 6 miesięcy na rejestrację w wykazie podmiotów kluczowych i ważnych oraz 13 miesięcy na wdrożenie środków zarządzania ryzykiem. Kary administracyjne mogą być nakładane po 24 miesiącach. Biorąc pod uwagę skalę wymaganych zmian – od audytu, przez wdrożenie technologii, po uruchomienie monitoringu – przygotowania warto rozpocząć natychmiast.

Ile kosztuje wdrożenie NIS 2?

Koszt zależy od wielkości organizacji, aktualnego poziomu dojrzałości cyberbezpieczeństwa i zakresu luk zidentyfikowanych w audycie. Sam audyt luki NIS 2 to projekt o określonym budżecie i czasie. Pełne wdrożenie (dokumentacja + technologie + SOC) to proces rozciągnięty w czasie, z możliwością priorytetyzacji działań. Trecom przygotowuje roadmap z harmonogramem i budżetem po audycie luki.

Jak długo trwa wdrożenie NIS 2 od zera do zgodności?

Audyt luki NIS 2 trwa zwykle 4–6 tygodni w zależności od wielkości organizacji. Pełne wdrożenie wymogów – obejmujące dokumentację, technologie i monitoring – wymaga 7–10 miesięcy. Kluczowe: NIS 2 to proces ciągły, nie jednorazowy projekt. Po osiągnięciu zgodności organizacja musi utrzymywać i doskonalić system zarządzania bezpieczeństwem.

Czy ISO 27001 wystarczy do spełnienia wymogów NIS 2?

ISO 27001 stanowi solidny fundament, ale nie gwarantuje automatycznej zgodności z NIS2. Dyrektywa nakłada dodatkowe wymagania np. raportowanie incydentów w terminach 24h/72h/30 dni, bezpieczeństwo łańcucha dostaw czy obowiązkowe szkolenia zarządu. Organizacje posiadające dokumentację ISO 27001 mają podstawą, ale potrzebują uzupełnień – szczególnie w obszarze monitoringu 24/7 (SOC) i procedur raportowania.

Czym różni się Trecom od firm doradczych w kontekście NIS 2?

Firmy doradcze przeprowadzą audyt i przygotują dokumentację, ale nie wdrożą technologii (SIEM, EDR, MFA) i nie będą monitorować infrastruktury 24/7. Trecom łączy doradztwo strategiczne (TrecomSEC), wdrożenie technologii od 90+ vendorów i operacyjne SOCw jednym partnerstwie. Efekt: klient nie koordynuje 3–5 dostawców, lecz realizuje cały proces z jednym integratorem.

Co grozi firmie za brak wdrożenia NIS 2?

Podmioty kluczowe: kara do 10 mln EUR lub 2% rocznego obrotu. Podmioty ważne: do 7 mln EUR lub 1,4% obrotu. Dodatkowo: osobista odpowiedzialność kierownika podmiotu – kara do 300% wynagrodzenia. Poza karami finansowymi: ryzyko zawieszenia certyfikacji lub zezwoleń na prowadzenie usług. Kary mogą być nakładane od 24 miesięcy po wejściu ustawy w życie.

Czy Trecom pomoże też z DORA oprócz NIS 2?

Tak – TrecomSEC prowadzi projekty zgodności zarówno z NIS 2, jak i z DORA (Digital Operational Resilience Act) dla sektora finansowego. Wiele wymogów DORA i NIS 2 pokrywa się (zarządzanie ryzykiem, obsługa incydentów, testy odporności), więc organizacje z sektora finansowego mogą realizować oba wdrożenia w ramach jednego projektu.