Proces implementacji dyrektywy NIS 2 w organizacji – schemat działania

16 października, 2025

W Polsce trwają zaawansowane prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), która ma wdrożyć do krajowego porządku prawnego dyrektywę NIS 2. Nowelizacja ta jest kluczowym elementem budowy spójnego systemu ochrony w sferze „cyber”. Regulacje mają dotyczyć podmiotów świadczących usługi ważne i kluczowe dla gospodarki i bezpieczeństwa państwa.

Choć Polska nie zakończyła jeszcze procesu legislacyjnego, projekt ustawy jest już na zaawansowanym etapie prac rządowych. Oznacza to, że organizacje muszą już teraz rozpocząć przygotowania do wdrożenia wymagań zawartych w NIS 2. Dotyczy to zarówno rozwiązań prawnych, jak i techniczno-organizacyjnych.

Poniżej prezentujemy, jak krok po kroku przygotować organizacje na nadchodzące zmiany w prawie.

Schemat działania

1. Samoocena organizacji

a. określenie, czy organizacja jest podmiotem kluczowym lub ważnym w rozumieniu NIS 2;
b. analiza działalności pod kątem objęcia obowiązkami wynikającymi z UKSC;
c. wstępny audyt i identyfikacja luk systemowych.

2. Planowanie działań wdrożeniowych

a. opracowanie planu wdrożenia środków bezpieczeństwa zgodnych z NIS2;
b. ustalenie budżetu i obowiązków członków organizacji;
c. przygotowanie planu szkoleń i komunikacji wewnętrznej.

3. Implementacja techniczna i organizacyjna

a. wdrożenie mechanizmów ochrony systemów informatycznych;
b. aneksowanie umów z dostawcami;
c. powołanie zespołu reagowania na incydenty.

4. Monitorowanie i audyt zgodności

a. regularne przeglądy i testy systemu bezpieczeństwa;
b. przeprowadzenie audytów wewnętrznych i zewnętrznych;
c. raportowanie incydentów (o ile zaistnieją) zgodnie z procedurami.

5. Utrzymanie i doskonalenie systemu bezpieczeństwa

a. aktualizacja procedur w zakresie cyberbezpieczeństwa;
b. szkolenia cykliczne i edukacja personelu;
c. przygotowanie na ewentualne kontrole organów nadzorczych.

Implementacja dyrektywy NIS 2 to nie tylko wymóg prawny, lecz także szansa na wzmocnienie odporności organizacji na incydenty. Wobec trwających prac nad UKSC, każda organizacja powinna już teraz przygotować się do nowych obowiązków, opracować plan wdrożenia i rozpocząć działania implementacyjne.