🚨 NIS2 już obowiązuje. Edukacja w zakresie bezpieczeństwa jest teraz wymagana przez prawo w UE.

Sprawdź zgodność
Rozpocznij bezpłatny okres próbny
Powrót do Centrum zasobów

Dyrektywa NIS2: Kompletny przewodnik (2026)

Certyfikat ISO 27001 to znak wyróżniający, który pokazuje, jak bardzo Twoja organizacja dba o zarządzanie poufnymi informacjami. Nie jest to jednak jedyny standard, na który trzeba zwrócić uwagę w 2026 roku.

Dyrektywa NIS2 (zwana również NIS-2 lub NIS 2.0) nakłada na organizacje z 18 sektorów obowiązek wdrożenia solidnych środków bezpieczeństwa cybernetycznego, w tym szkoleń z zakresu świadomości bezpieczeństwa dla wszystkich pracowników.

Jednak dokładne zrozumienie wymagań dyrektywy NIS2 oraz tego, jak holenderska ustawa o cyberbezpieczeństwie (Cwb) przekłada je na prawo krajowe, może być przytłaczające.

W tym przewodniku wyjaśniamy wszystko, co musisz wiedzieć: czym jest NIS2, kogo dotyczy, przedstawiamy pełną listę kontrolną NIS2 na rok 2026 oraz podpowiadamy, jak przygotować swoją organizację do audytu.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (dyrektywa (UE) 2022/2555) to zaktualizowane ramy prawne Unii Europejskiej dotyczące bezpieczeństwa sieci i informacji. Zastąpiła ona pierwotną dyrektywę NIS (NIS1) z 2016 roku, która była pierwszym aktem prawnym UE w zakresie cyberbezpieczeństwa.

NIS2 weszło w życie 16 stycznia 2023 r., a państwa członkowskie UE miały obowiązek wdrożyć je do prawa krajowego do 17 października 2024 r. Jednak większość państw członkowskich, w tym Holandia, nie dotrzymała tego terminu.

Celem tej dyrektywy jest osiągnięcie wysokiego, jednolitego poziomu cyberbezpieczeństwa w całej UE poprzez nałożenie na organizacje działające w sektorach krytycznych następujących obowiązków:

  • Wprowadź środki bezpieczeństwa cybernetycznego oparte na ocenie ryzyka
  • Zgłaszaj poważne zdarzenia odpowiednim organom w ściśle określonych terminach
  • Zadbaj o to, by kadra kierownicza była odpowiednio przeszkolona i ponosiła odpowiedzialność
  • Organizuj regularne szkolenia uświadamiające dla wszystkich pracowników
  • Zarządzaj ryzykiem związanym z bezpieczeństwem łańcucha dostaw

Szacuje się, że w całej UE w zakres dyrektywy NIS2 wchodzi około 160 000 podmiotów. To dziesięciokrotny wzrost w porównaniu z dyrektywą NIS1.

NIS2 a NIS1: co się zmieniło?

Pierwotna dyrektywa NIS stanowiła solidny punkt wyjścia, ale zawierała spore luki. Dyrektywa NIS2 wypełnia je we wszystkich obszarach. Oto krótkie podsumowanie najważniejszych zmian:

Aspekt NIS1 NIS2
Obsługiwane sektory 7 sektorów 18 sektorów
Podmioty objęte zakresem ~15,000 ~160,000
Zgłaszanie incydentów Nie ma konkretnego harmonogramu 24 godz. / 72 godz. / 1 miesiąc
Kary Ustalane przez każde państwo członkowskie Do 10 mln euro lub 2% obrotów
Odpowiedzialność kadry kierowniczej Nie dotyczy Odpowiedzialność cywilna za rażące niedbalstwo
Łańcuch dostaw Nie jest to wyraźnie wymagane Obowiązkowe zarządzanie ryzykiem
Szkolenie z zakresu zarządzania Nie jest wymagane Obowiązkowe dla zarządu i kadry kierowniczej

Chcesz dowiedzieć się więcej o różnicach? Przeczytaj nasze pełne porównanie: Czym różni się NIS1 od NIS2?

Przepisy dotyczące NIS2 w Europie

NIS2 to dyrektywa UE, co oznacza, że nie ma bezpośredniego zastosowania do organizacji. Każde państwo członkowskie musi ją wdrożyć do prawa krajowego. Oto, jak wygląda sytuacja w 2026 roku.

Stan wdrożenia w całej UE

Postępy we wdrażaniu są bardzo zróżnicowane. Kraje takie jak Belgia, Chorwacja i Włochy jako jedne z pierwszych przyjęły przepisy krajowe. Inne, w tym Holandia i Niemcy, potrzebowały na to więcej czasu.

Komisja Europejska wszczęła postępowania w sprawie uchybienia zobowiązaniom wobec 23 państw członkowskich za niedotrzymanie terminu transpozycji wyznaczonego na październik 2024 r. Do maja 2025 r. 19 państw członkowskich otrzymało formalne upomnienia prawne (uzasadnione opinie). Na początku 2026 r. około 16 krajów w pełni wdrożyło dyrektywę NIS2 do prawa krajowego.

Pakiet UE dotyczący cyberbezpieczeństwa ze stycznia 2026 r.

20 stycznia 2026 r. Komisja Europejska opublikowała wniosek dotyczący zmiany dyrektywy NIS2 w ramach szerszego pakietu dotyczącego cyberbezpieczeństwa. Najważniejsze zmiany obejmują:

  • Uproszczone zasady dotyczące jurysdykcji dla organizacji działających w wielu krajach UE
  • Ścieżki zapewnienia zgodności oparte na certyfikacji, umożliwiające organizacjom wykazanie zgodności poprzez uznane certyfikaty
  • Ulepszone raportowanie dotyczące oprogramowania ransomware wraz z bardziej szczegółowymi wymaganiami dotyczącymi danych o incydentach
  • Zakres został rozszerzony o dostawców europejskich portfeli tożsamości cyfrowej oraz podwodnej infrastruktury danych
  • Zmiana klasyfikacji około 22 500 podmiotów w celu zmniejszenia obciążeń związanych z przestrzeganiem przepisów dla mniejszych organizacji
  • Wzmocnienie roli agencji ENISA w koordynowaniu nadzoru transgranicznego

Negocjacje w sprawie tych zmian mają trwać przez cały rok 2026, a po ich przyjęciu przewidziano 12-miesięczny okres na wdrożenie przepisów.

NIS2 w Holandii: ustawa o cyberbezpieczeństwie (Cwb)

W Holandii dyrektywa NIS2 jest wdrażana w ramach ustawy o cyberbezpieczeństwie (Cwb). Ustawa ta zastępuje dotychczasową ustawę Wbni (Wet beveiliging netwerk- en informatiesystemen).

Aktualny stan (marzec 2026 r.)

  • Projekt ustawy został przedłożony Izbie Reprezentantów 4 czerwca 2025 r .
  • Na 23 marca 2026 r. zaplanowano debatę plenarną
  • Po Izbie Reprezentantów projekt ustawy musi jeszcze przejść przez Senat
  • Rząd planuje, żeby ustawa weszła w życie w drugim kwartale 2026 roku

Trzy elementy regulacyjne

Holenderska implementacja składa się z trzech warstw:

  1. Ustawa o cyberbezpieczeństwie, która jest głównym aktem prawnym wdrażającym dyrektywę NIS2
  2. Rozporządzenie w sprawie cyberbezpieczeństwa (AMvB) – ogólne rozporządzenie administracyjne określające konkretne obowiązki
  3. Rozporządzenia ministerialne dotyczące poszczególnych sektorów, zawierające wymagania dostosowane do potrzeb danej branży

Najważniejsze holenderskie obowiązki

Organizacje objęte ustawą o cyberbezpieczeństwie muszą wypełniać cztery podstawowe obowiązki:

  • Obowiązek staranności: wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem
  • Obowiązek rejestracji: zarejestruj się w wyznaczonym organie nadzorczym dla swojej branży
  • Obowiązek szkoleniowy dla kadry kierowniczej: członkowie zarządu i kadra kierownicza muszą przejść szkolenie z zakresu cyberbezpieczeństwa
  • Obowiązek zgłaszania incydentów: zgłaszaj poważne incydenty do NCSC w wyznaczonych terminach

Organy nadzorcze

NCSC (Nationaal Cyber Security Centrum) pełni rolę głównego organu koordynującego. Organy nadzorcze odpowiedzialne za poszczególne sektory wyznacza się w drodze rozporządzeń ministerialnych.

Dla organizacji z sektora opieki zdrowotnej otoczenie regulacyjne jest wyjątkowo złożone, łącząc wymogi NIS2 z istniejącymi przepisami dotyczącymi ochrony danych pacjentów, specyficznymi dla tej branży.

Kogo dotyczy rozporządzenie NIS2?

Rozporządzenie NIS2 ma zastosowanie do organizacji na podstawie dwóch kryteriów: sektora i wielkości.

Podmioty o kluczowym znaczeniu (sektory o szczególnym znaczeniu)

  • Energia (energia elektryczna, ropa, gaz, wodór, ogrzewanie miejskie)
  • Transport (lotniczy, kolejowy, wodny, drogowy)
  • Infrastruktura bankowa i rynków finansowych
  • Służba zdrowia (szpitale, laboratoria, producenci sprzętu medycznego, apteki)
  • Woda pitna i ścieki
  • Infrastruktura cyfrowa (DNS, rejestry domen najwyższego poziomu, dostawcy usług w chmurze, centra danych, sieci CDN)
  • Zarządzanie usługami ICT (dostawcy usług zarządzanych, dostawcy usług zarządzania bezpieczeństwem)
  • Administracja publiczna
  • Przestrzeń

Ważne podmioty (inne kluczowe sektory)

  • Usługi pocztowe i kurierskie
  • Zarządzanie odpadami
  • Produkcja (urządzenia medyczne, elektronika, maszyny, pojazdy silnikowe)
  • Produkcja, przetwórstwo i dystrybucja żywności
  • Produkcja i dystrybucja chemikaliów
  • Dostawcy usług cyfrowych (platformy handlowe online, wyszukiwarki, serwisy społecznościowe)
  • Instytucje badawcze

Progi wielkości

Organizacje z tych sektorów są objęte zakresem, jeśli spełniają następujące kryteria dotyczące wielkości:

  • Średnie przedsiębiorstwa: ponad 50 pracowników lub ponad 10 mln euro rocznego obrotu
  • Duże przedsiębiorstwa: ponad 250 pracowników lub ponad 50 mln euro rocznego obrotu

Niektóre podmioty podlegają tym przepisom niezależnie od wielkości, w tym dostawcy usług DNS, rejestry domen najwyższego poziomu oraz (zgodnie z proponowanymi zmianami z 2026 r.) dostawcy europejskich portfeli tożsamości cyfrowej.

Różnica w nadzorze

Podmioty kluczowe podlegają nadzorowi prewencyjnemu, co oznacza regularne audyty i kontrole oraz wyższe kary. Podmioty ważne podlegają nadzorowi reaktywnemu: dochodzenia są wszczynane dopiero po wystąpieniu incydentów lub zgłoszeniu naruszeń, a kary są niższe.

Lista kontrolna NIS2 (2026)

Skorzystaj z tej obszernej listy kontrolnej, aby sprawdzić, czy Twoja organizacja spełnia wszystkie wymogi NIS2. Nie ogranicza się ona tylko do szkoleń uświadamiających, ale obejmuje pełen zakres obowiązków wynikających z NIS2, pomagając Ci przygotować się do zapewnienia zgodności z przepisami i audytów.

1. Ład korporacyjny i odpowiedzialność kadry zarządzającej

  • Organ zarządzający oficjalnie zatwierdził środki zarządzania ryzykiem cyberbezpieczeństwa w organizacji
  • Członkowie zarządu i kadra kierownicza ukończyli szkolenie z zakresu cyberbezpieczeństwa
  • Za zgodność z NIS2 odpowiada wyznaczona osoba lub zespół (np. CISO, specjalista ds. zgodności)
  • Cyberbezpieczeństwo to stały punkt porządku obrad posiedzeń zarządu i kierownictwa
  • Kierownictwo zdaje sobie sprawę ze swojej osobistej odpowiedzialności za nieprzestrzeganie przepisów
  • Przeznaczono środki na działania związane z cyberbezpieczeństwem i szkolenia
  • Struktura zarządzania cyberbezpieczeństwem jest udokumentowana i przekazana wszystkim zainteresowanym

2. Zarządzanie ryzykiem i środki bezpieczeństwa

Artykuł 21 dyrektywy NIS2 nakłada na organizacje obowiązek wdrożenia odpowiednich i proporcjonalnych środków. Twoja lista kontrolna powinna zawierać:

  • Przeprowadzono formalną ocenę ryzyka, która jest regularnie weryfikowana
  • Zasady zarządzania ryzykiem są spisane, zatwierdzone i przekazane wszystkim
  • Wprowadzono środki techniczne: zapory sieciowe, systemy wykrywania włamań, szyfrowanie oraz kontrola dostępu
  • Wprowadzono środki organizacyjne: zasady, procedury, role i obowiązki
  • Opracowano plany zapewnienia ciągłości działania i przywrócenia sprawności po awarii, które są regularnie testowane
  • Procedury tworzenia kopii zapasowych i przywracania danych są udokumentowane i regularnie testowane
  • W razie potrzeby wprowadza się segmentację sieci
  • W systemach krytycznych i przy zdalnym dostępie stosuje się uwierzytelnianie wieloskładnikowe (MFA)
  • Wdrożono program zarządzania lukami w zabezpieczeniach (regularne skanowanie, instalowanie poprawek)
  • W przypadku oprogramowania tworzonego wewnętrznie stosujemy praktyki bezpiecznego programowania

3. Zgłaszanie incydentów i reagowanie na nie

  • Plan reagowania na incydenty został sporządzony i przetestowany
  • Określono kryteria klasyfikacji zdarzeń (co stanowi „istotne zdarzenie”)
  • Wprowadzono 24-godzinny system wczesnego ostrzegania, a pracownicy wiedzą, jak go uruchomić
  • Procedura zgłaszania zdarzeń w ciągu 72 godzin została udokumentowana
  • Szablon i procedura sporządzania miesięcznego raportu końcowego są już gotowe
  • Dane kontaktowe krajowego zespołu CSIRT (np. NCSC w Holandii) są łatwo dostępne
  • Przydzielono role w ramach reagowania na incydenty i przeszkolono członków zespołu
  • Przeprowadza się analizy po zdarzeniach i dokumentuje wyciągnięte wnioski
  • Reakcja na incydenty jest sprawdzana co najmniej raz w roku w ramach ćwiczeń symulacyjnych

4. Bezpieczeństwo łańcucha dostaw

  • Mamy już sporządzoną listę kluczowych dostawców i usługodawców
  • Wymogi dotyczące cyberbezpieczeństwa są uwzględnione w umowach z dostawcami
  • Dostawcy są poddawani ocenie pod kątem stanu cyberbezpieczeństwa (due diligence)
  • Zidentyfikowano i ograniczono ryzyko związane z zależnościami od podmiotów zewnętrznych
  • Istnieje procedura służąca do monitorowania i weryfikacji bezpieczeństwa dostawców na bieżąco
  • W umowach z dostawcami zawarto postanowienia dotyczące zgłaszania incydentów
  • Dostęp kluczowych dostawców do twoich systemów jest monitorowany i kontrolowany

5. Szkolenie z zakresu świadomości bezpieczeństwa

  • Wszyscy pracownicy przechodzą regularne szkolenia z zakresu bezpieczeństwa
  • Kierownictwo i członkowie zarządu przechodzą specjalistyczne szkolenia z zakresu cyberbezpieczeństwa
  • Szkolenie to proces ciągły, a nie jednorazowe wydarzenie (zalecane co miesiąc lub co tydzień)
  • Szkolenie obejmuje takie tematy jak phishing, inżynieria społeczna, bezpieczeństwo haseł, postępowanie z danymi oraz zgłaszanie incydentów
  • Szkolenie obejmuje zagrożenia charakterystyczne dla Twojej branży
  • Nowi pracownicy przechodzą szkolenie wprowadzające w ramach procesu wdrażania
  • Wykonawcy i pracownicy zewnętrzni, którzy mają dostęp, przechodzą odpowiednie szkolenie
  • Regularnie przeprowadzamy symulacje ataków phishingowych, żeby sprawdzić, czy pracownicy są na to przygotowani
  • Śledzimy wskaźniki ukończenia szkoleń i wyniki ocen
  • Treści szkoleniowe są aktualizowane w oparciu o najnowsze informacje o zagrożeniach
  • Potwierdzenia ukończenia szkoleń są przechowywane na potrzeby audytów zgodności

6. Rejestracja i powiadomienia

  • Twoja organizacja ustaliła już, czy kwalifikuje się jako podmiot niezbędny lub ważny
  • Rejestracja w wyznaczonym organie nadzorczym została zakończona (lub jest planowana na moment wejścia ustawy w życie)
  • Dane kontaktowe do zgłaszania incydentów (CSIRT/organ nadzorczy) są aktualne
  • Procedury powiadamiania są udokumentowane i przypisane do konkretnych ról
  • Dokumentacja dotycząca zakresu NIS2 w Twojej organizacji jest aktualizowana (określa, które systemy, usługi i procesy są objęte tymi wymogami)

7. Zasady bezpieczeństwa informacji i dokumentacja

  • Polityka bezpieczeństwa informacji jest spisana i zatwierdzona przez kierownictwo
  • Opracowano zasady dopuszczalnego użytkowania i przekazano je wszystkim pracownikom
  • Zasady kontroli dostępu określają, kto ma dostęp do poszczególnych systemów i danych
  • Procedury klasyfikacji i przetwarzania danych są udokumentowane
  • Zasady dotyczące haseł są zgodne z aktualnymi najlepszymi praktykami (złożoność, uwierzytelnianie wieloskładnikowe, zakaz ponownego używania haseł)
  • Wprowadzono zasady dotyczące pracy zdalnej i korzystania z własnych urządzeń
  • Środki bezpieczeństwa fizycznego są udokumentowane w obiektach, w których znajdują się systemy o znaczeniu krytycznym
  • Środki kontroli kryptograficznej i zasady szyfrowania są udokumentowane
  • Wszystkie zasady są weryfikowane i aktualizowane co najmniej raz w roku

8. Monitorowanie, audytowanie i ciągłe doskonalenie

  • Wprowadzono system monitorowania bezpieczeństwa (zarządzanie logami, SIEM, powiadomienia)
  • Regularnie przeprowadzane są audyty lub oceny bezpieczeństwa (wewnętrzne lub zewnętrzne)
  • Testy penetracyjne przeprowadza się co najmniej raz w roku
  • Określono kluczowe wskaźniki efektywności (KPI) dotyczące cyberbezpieczeństwa i przekazano je kierownictwu
  • Wyniki audytów i zgłoszeń dotyczących incydentów prowadzą do podjęcia udokumentowanych działań naprawczych
  • Program cyberbezpieczeństwa jest co roku weryfikowany i ulepszany
  • Informacje o zagrożeniach są monitorowane i uwzględniane w środkach bezpieczeństwa
  • Przed każdym cyklem audytowym sprawdzane jest, czy spełnione są wymagania NIS2

Jedyny wymóg NIS2, który możesz już w tym tygodniu odhaczyć

Właśnie na szkoleniach z zakresu świadomości większość planów się kończy. Guardey zamienia je w krótkie, oparte na mechanizmach gier wyzwania z wbudowaną funkcją raportowania. Wypróbuj za darmo przez 14 dni – nie musisz podawać danych do płatności.

Rozpocznij bezpłatny okres próbny

Certyfikat NIS2

Często zadawane pytanie: czy istnieje oficjalny certyfikat NIS2? Krótka odpowiedź brzmi: nie, jeszcze nie.

W przeciwieństwie do normy ISO 27001, która ma ugruntowany proces certyfikacji, NIS2 to wymóg prawny egzekwowany przez krajowe organy nadzorcze. Nie ma jednej plakietki z napisem „certyfikat NIS2”, którą można by zdobyć.

Są jednak pewne istotne zmiany.

Zgodność oparta na certyfikacji (proponowana na rok 2026)

W pakiecie dotyczącym cyberbezpieczeństwa z stycznia 2026 r. Komisja Europejska proponuje ścieżki zapewnienia zgodności oparte na certyfikacji. Oznacza to, że organizacje posiadające określone uznane certyfikaty mogą być w stanie wykazać zgodność z dyrektywą NIS2 – lub przynajmniej częściową zgodność – właśnie dzięki tym certyfikatom.

Norma ISO 27001 jako podstawa

Norma ISO 27001 jest powszechnie uznawana za standard najlepiej odpowiadający wymogom NIS2. Organizacje posiadające certyfikat ISO 27001 przekonają się, że wiele wymogów NIS2 jest już spełnionych. Jednak NIS2 zawiera dodatkowe wymagania wykraczające poza zakres normy ISO 27001, w tym:

  • Terminy zgłaszania konkretnych zdarzeń (24 godziny, 72 godziny, 1 miesiąc)
  • Odpowiedzialność kadry kierowniczej i obowiązkowe szkolenia dla członków zarządu
  • Oceny bezpieczeństwa łańcucha dostaw
  • Wymagania branżowe

Znaki jakości NIS2 i oceny gotowości

Kilka zewnętrznych organizacji oferuje oceny gotowości do wdrożenia NIS2, analizy dojrzałości lub certyfikaty jakości. Chociaż nie są to oficjalne certyfikaty, mogą pomóc firmom w porównaniu ich zgodności z przepisami oraz wykazaniu swojego zaangażowania wobec interesariuszy.

NIS2 i szkolenia z zakresu świadomości bezpieczeństwa

Szkolenia z zakresu świadomości bezpieczeństwa to jeden z najbardziej wyraźnych wymogów dyrektywy NIS2. Artykuł 20 stanowi, że organy zarządzające muszą przejść takie szkolenia, a organizacje powinny regularnie organizować podobne szkolenia dla swoich pracowników.

Dlaczego w NIS2 kładzie się nacisk na szkolenia uświadamiające

Liczby mówią same za siebie. Według raportu ENISA „Threat Landscape 2025”:

  • Phishing stanowi 60% wszystkich punktów dostępu wykorzystywanych do włamań
  • Ponad 80% ataków socjotechnicznych wykorzystuje obecnie treści generowane przez sztuczną inteligencję
  • 53,7% incydentów cybernetycznych dotyczyło organizacji uznanych za podmioty o znaczeniu krytycznym zgodnie z dyrektywą NIS2
  • Sama administracja publiczna stanowiła 38,2% wszystkich ukierunkowanych ataków

Czynnik ludzki pozostaje największym słabym punktem. Bez przeszkolonych pracowników, którzy potrafią rozpoznać zagrożenia i je zgłaszać, nawet najbardziej zaawansowane zabezpieczenia techniczne mogą zostać obejście.

Czego NIS2 oczekuje od twojego programu szkoleń uświadamiających

  • Regularne szkolenia, a nie tylko raz w roku. Oczekuje się ciągłych, regularnych szkoleń.
  • Zaangażowanie kierownictwa. Członkowie zarządu i kadra kierownicza muszą się zaangażować.
  • Istotność. Szkolenia muszą obejmować obecne i pojawiające się zagrożenia, w tym ataki wykorzystujące sztuczną inteligencję.
  • Dowody. Musisz być w stanie wykazać, że szkolenia się odbywają i są skuteczne.
  • Zakres. Wszyscy pracownicy mający dostęp do systemów i danych, w tym podwykonawcy.

Jak Guardey pomaga spełnić wymogi dotyczące świadomości w zakresie NIS2

Dzięki Guardey Twoi pracownicy co tydzień podejmują wyzwania związane z cyberbezpieczeństwem, których wykonanie zajmuje nie więcej niż trzy minuty. Tematy obejmują rozpoznawanie phishingu, bezpieczeństwo haseł, postępowanie z danymi, inżynierię społeczną i wiele innych zagadnień, a wszystko to zgodne z wymogami NIS2.

Podejście oparte na mechanizmach gier zapewnia wysoki poziom zaangażowania i wysoki wskaźnik ukończenia. A dzięki panelowi raportowemu Guardey możesz wykazać audytorom zgodność z przepisami, przedstawiając dowody w postaci:

  • Wskaźniki ukończenia szkoleń w podziale na pracowników i działy
  • Wyniki ocen i trendy w zakresie wiedzy
  • Wyniki symulacji phishingu i postępy w czasie
  • Zakres tematyczny zgodny z wymogami NIS2

Typowe błędy związane z zapewnieniem zgodności z NIS2

Wiele organizacji nie docenia nakładu pracy, jaki trzeba włożyć w zapewnienie zgodności z NIS2. Oto najczęstsze pułapki, z jakimi się spotykamy.

1. Czekanie na uchwalenie ustawy przed podjęciem działań

Dyrektywa NIS2 obowiązuje od stycznia 2023 roku. Chociaż holenderska ustawa o cyberbezpieczeństwie (Cyberbeveiligingswet) jest wciąż w trakcie prac legislacyjnych, wymagania są jasne. Organizacje, które będą czekać z dostosowaniem się do przepisów aż do momentu oficjalnego wejścia ustawy w życie, będą musiały się spieszyć, żeby zdążyć. Zacznij już teraz.

2. Traktowanie NIS2 wyłącznie jako problemu informatycznego

NIS2 wyraźnie wymaga odpowiedzialności kierownictwa. Nie jest to coś, co można całkowicie przekazać działowi IT. Członkowie zarządu muszą przejść odpowiednie szkolenia, zatwierdzać środki bezpieczeństwa cybernetycznego i mogą zostać pociągnięci do osobistej odpowiedzialności.

3. Ignorowanie wymagań dotyczących łańcucha dostaw

Wiele organizacji skupia się na własnym bezpieczeństwie, ale zapomina o swoich dostawcach. Dyrektywa NIS2 wymaga od ciebie oceny ryzyka związanego z cyberbezpieczeństwem w całym łańcuchu dostaw oraz zarządzania nim.

4. Tylko coroczne szkolenie uświadamiające

Jednorazowe szkolenie w ciągu roku nie spełnia wymogu „regularnego” szkolenia. Audytorzy oczekują ciągłego zaangażowania: comiesięcznych krótkich szkoleń, regularnych symulacji ataków phishingowych oraz ciągłego monitorowania.

5. Nie wiesz, czy przepisy NIS2 mają zastosowanie w Twoim przypadku

Co zaskakujące, wiele organizacji nawet nie sprawdziło, czy podlegają przepisom NIS2. Nie zakładaj, że jesteś wyłączony. Dokładnie sprawdź kryteria dotyczące sektora i wielkości.

6. Brak testów reagowania na incydenty

Samo sporządzenie planu reagowania na incydenty na papierze to za mało. NIS2 wymaga, żebyś go przetestował. Przeprowadź ćwiczenia symulacyjne, odtwarzaj scenariusze incydentów i upewnij się, że Twój zespół jest w stanie dotrzymać 24-godzinnego terminu na zgłoszenie wczesnego ostrzeżenia.

7. Brak wymaganego zgłoszenia

Zgodnie z ustawą o cyberbezpieczeństwie organizacje muszą zarejestrować się w wyznaczonym organie nadzorczym. Łatwo to przeoczyć, ale jest to obowiązkowe.

NIS2, ISO 27001 i DORA: jak wypadają w porównaniu?

Wiele organizacji musi spełniać wymagania wielu różnych standardów. Oto porównanie NIS2 z normą ISO 27001 i ustawą DORA (Digital Operational Resilience Act).

Wymagania NIS2 ISO 27001 DORA
Typ Dyrektywa UE (wymóg prawny) Międzynarodowa norma (dobrowolna) Rozporządzenie UE (wymóg prawny)
Zakres 18 sektorów, kluczowe i ważne podmioty Każda organizacja (z własnej woli) Tylko sektor finansowy
Czy szkolenie z zakresu świadomości jest obowiązkowe? Tak (art. 20) Tak (punkt 7.3, A.6.3) Tak (art. 13)
Potrzebujesz szkolenia z zakresu zarządzania? Tak (obowiązkowe, na poziomie zarządu) Wymagane (punkt 5.1) Tak (obowiązkowe, na poziomie zarządu)
Harmonogram zgłaszania incydentów 24 godz. / 72 godz. / 1 miesiąc Nie określono (zdefiniuj samodzielnie) 4 godz. / 72 godz. (poważne awarie informatyczne)
Bezpieczeństwo łańcucha dostaw Obowiązkowe A.5.19–A.5.22 (kontrola dostawców) Obowiązkowe (ryzyko związane z zewnętrznymi dostawcami usług ICT)
Kary Do 10 mln euro lub 2% obrotów Utrata certyfikatu Do 10 mln euro lub 2% obrotów
Czy jest dostępna certyfikacja? Jeszcze nie (planowane na 2026 r.) Tak (akredytowane jednostki certyfikujące) Jeszcze nie
Czy kierownictwo ponosi osobistą odpowiedzialność? Tak Nie Tak

Dobra wiadomość: organizacje posiadające certyfikat ISO 27001 mają sporą przewagę, jeśli chodzi o zgodność z NIS2. Podejście do zarządzania ryzykiem, wymagania dotyczące dokumentacji oraz obowiązki w zakresie szkoleń uświadamiających w znacznym stopniu się pokrywają.

Najczęściej zadawane pytania dotyczące dyrektywy NIS2

Co oznacza skrót NIS2?

Skrót NIS2 oznacza dyrektywę w sprawie bezpieczeństwa sieci i informacji (wersja 2). Często pisze się ją też jako NIS-2 lub NIS 2.0. To druga wersja unijnej dyrektywy o cyberbezpieczeństwie, która zastępuje pierwotną dyrektywę NIS z 2016 roku.

Kiedy NIS2 wejdzie w życie w Holandii?

Holenderska wersja dyrektywy NIS2, czyli ustawa o cyberbezpieczeństwie (Cyberbeveiligingswet), ma wejść w życie w drugim kwartale 2026 roku. Projekt ustawy został przedłożony Izbie Reprezentantów (Tweede Kamer) 4 czerwca 2025 roku i obecnie przechodzi przez procedurę parlamentarną.

Czy szkolenia z zakresu świadomości bezpieczeństwa są obowiązkowe zgodnie z dyrektywą NIS2?

Tak. Artykuł 20 dyrektywy NIS2 wyraźnie nakłada na organy zarządzające obowiązek odbycia szkoleń z zakresu cyberbezpieczeństwa oraz regularnego organizowania podobnych szkoleń dla pracowników. Oznacza to, że szkolenia uświadamiające są obowiązkiem prawnym, a nie opcjonalnym.

Czy rozporządzenie NIS2 dotyczy małych i średnich przedsiębiorstw?

Tak, to możliwe. Zakresem objęte są organizacje zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót w wysokości co najmniej 10 mln euro, działające w jednej z 18 objętych sektorów. Niektóre podmioty są uwzględnione niezależnie od wielkości (np. dostawcy usług DNS, rejestry domen najwyższego poziomu).

Jakie są kary za nieprzestrzeganie przepisów NIS2?

Podmioty o kluczowym znaczeniu mogą zostać ukarane grzywną w wysokości do 10 mln euro lub 2% globalnego rocznego obrotu. Podmioty o istotnym znaczeniu mogą zostać ukarane grzywną w wysokości do 7 mln euro lub 1,4% globalnego obrotu. Dodatkowo kierownictwo może zostać pociągnięte do odpowiedzialności osobistej.

Czy mogę uzyskać certyfikat NIS2?

Na razie nie. Nie ma oficjalnego certyfikatu zgodności z NIS2. Jednak pakiet Komisji Europejskiej dotyczący cyberbezpieczeństwa z 2026 roku proponuje ścieżki zgodności oparte na certyfikacji. Certyfikat ISO 27001 obejmuje wiele wymagań NIS2 i jest uznawany przez audytorów za solidną podstawę.

Czym NIS2 różni się od RODO?

RODO skupia się na ochronie danych osobowych. Dyrektywa NIS2 dotyczy szeroko pojętego bezpieczeństwa sieci i systemów informatycznych. Te dwa akty prawne wzajemnie się uzupełniają: środki przewidziane w dyrektywie NIS2 pomagają chronić systemy przetwarzające dane osobowe, wspierając tym samym zgodność z RODO.

Jaki jest związek między NIS2 a ustawą o cyberbezpieczeństwie?

Ustawa o cyberbezpieczeństwie to holenderska ustawa krajowa, która wdraża unijną dyrektywę NIS2. Przekłada ona wymogi dyrektywy na obowiązujące prawo holenderskie, zastępując poprzednią ustawę Wbni (Wet beveiliging netwerk- en informatiesystemen).

Zacznij już dziś przygotowywać się do spełnienia wymogów NIS2

NIS2 to nie jest kwestia przyszłości. Dyrektywa już obowiązuje, wymagania są jasne, a wkrótce zaczną ją egzekwować. Organizacje, które zaczną działać już teraz, będą w najlepszej sytuacji, gdy pojawią się audytorzy.

Dzięki szkoleniom Guardey Security Awareness Training Twoi pracownicy co tydzień otrzymują 3-minutowe mikrolekcje dotyczące phishingu, postępowania z danymi, zgłaszania incydentów i nie tylko. Wszystko to jest zgodne z wymogami NIS2 i obejmuje pełną dokumentację na potrzeby audytów zgodności.

Spełnij wymogi szkoleniowe NIS2 i to udowodnij

Guardey szkoli każdego pracownika w ciągu kilku minut tygodniowo i automatycznie to dokumentuje, dzięki czemu zawsze masz pod ręką odpowiednie dowody. Zobacz to na żywo podczas prezentacji.

Zaplanuj prezentację
Dinela Lokvancic
Dinela Lokvancic Specjalista ds. marketingu Dinela dba o aktualność informacji dotyczących firmy Guardey w Internecie. Tworzy treści, które sprawiają, że złożone tematy związane z cyberbezpieczeństwem stają się przystępne, oraz pomaga organizacjom zrozumieć, dlaczego szkolenia z zakresu świadomości bezpieczeństwa są ważne dla waszych zespołów.
Gotowy, żeby zacząć?

Dołącz do ponad 500 firm, które już chronią swoje zespoły dzięki Guardey

Rozpocznij bezpłatny 14-dniowy okres próbny
14 dni za darmo · Bez karty kredytowej · Pełny dostęp · Konfiguracja w 5 minut
Albo umów się na spersonalizowaną prezentację