Dyrektywa NIS2 wprowadza w UE istotnie podwyższone wymagania w zakresie cyberbezpieczeństwa dla podmiotów działających w sektorach uznanych za kluczowe i ważne. W Polsce następuje to poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) (która zacznie obowiązywać od 3 kwietnia 2026 r.). W praktyce oznacza to m.in. konieczność wdrożenia środków zarządzania ryzykiem, uporządkowania nadzoru nad bezpieczeństwem, zasad współpracy z dostawcami oraz przygotowania organizacji na obowiązki związane z obsługą i raportowaniem incydentów. W nowym porządku prawnym to organizacja będzie zobligowana do samooceny podlegania pod NIS2 oraz dokonania odpowiedniego zgłoszenia.
W ramach NIS2 szczególnie podkreślona jest rola kierownictwa: oczekuje się realnego nadzoru nad systemem zarządzania bezpieczeństwem i adekwatnych decyzji organizacyjnych oraz budżetowych. W razie naruszeń ryzyka dotyczą nie tylko organizacji, ale również odpowiedzialności członków zarządu w zakresie nadzoru i zapewnienia wdrożenia wymaganych środków.
Samoocena podlegania pod NIS2/KSC to szybki, uporządkowany proces, który odpowiada na dwa pytania:
- czy podlegasz reżimowi (podmiot kluczowy / ważny), oraz
- co konkretnie trzeba przygotować, aby ograniczyć ryzyko prawne i operacyjne (w tym na poziomie zarządczym).
Krok pierwszy | Odpowiedz na 4 podstawowe pytania
1. Czy Twoja organizacja może należeć do sektora objętego NIS2 / nową ustawą o KSC? (np. energia, transport, zdrowie, finanse, gospodarka wodno-kanalizacyjna, infrastruktura cyfrowa, administracja publiczna, wybrane branże produkcyjne i usługowe)
2. Jaka jest skala działalności Twojej organizacji?
- Więcej niż 50 pracowników?
- Obrót suma bilansowa: 10–50 mln EUR lub nawet >50 mln EUR
- Suma bilansowa: 10–50 mln EUR czy nawet >50 mln EUR
3. Czy działasz w grupie kapitałowej lub masz istotne powiązania właścicielskie? (w tym udziały / głosy ≥25% w innym podmiocie lub inny podmiot ma ≥25% u Ciebie)
4. Czy w ostatnich 12 miesiącach wystąpił choć jeden z poniższych sygnałów?
- klienci / kontrahenci żądali ankiet lub audytów cyber (NIS2 / ISO / kwestionariusze dostawcy),
- doszło do istotnego incydentu IT (np. ransomware, wyciek danych, dłuższa awaria),
- przestój systemów >24h realnie wstrzymałby kluczowe procesy (sprzedaż, produkcja, logistyka, obsługa klienta).
Jeśli odpowiedziałeś „tak” w co najmniej jednym pytaniu — skontaktuj się z nami. Przeprowadzimy samoocenę i przygotujemy opinię prawną: kwalifikację statusu, uzasadnienie oraz praktyczną listę działań dostosowawczych (w tym rekomendacje dla zarządu dotyczące nadzoru i ładu cyberbezpieczeństwa).
