24 marca 2026 r. • NIS2
Certyfikat ISO 27001 to znak wyróżniający, który pokazuje, jak bardzo Twoja organizacja dba o zarządzanie poufnymi informacjami. Nie jest to jednak jedyny standard, na który trzeba zwrócić uwagę w 2026 roku.
Dyrektywa NIS2 (zwana również NIS-2 lub NIS 2.0) nakłada na organizacje z 18 sektorów obowiązek wdrożenia solidnych środków bezpieczeństwa cybernetycznego, w tym szkoleń z zakresu świadomości bezpieczeństwa dla wszystkich pracowników.
Jednak dokładne zrozumienie wymagań dyrektywy NIS2 oraz tego, jak holenderska ustawa o cyberbezpieczeństwie (Cwb) przekłada je na prawo krajowe, może być przytłaczające.
W tym przewodniku wyjaśniamy wszystko, co musisz wiedzieć: czym jest NIS2, kogo dotyczy, przedstawiamy pełną listę kontrolną NIS2 na rok 2026 oraz podpowiadamy, jak przygotować swoją organizację do audytu.
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (dyrektywa (UE) 2022/2555) to zaktualizowane ramy prawne Unii Europejskiej dotyczące bezpieczeństwa sieci i informacji. Zastąpiła ona pierwotną dyrektywę NIS (NIS1) z 2016 roku, która była pierwszym aktem prawnym UE w zakresie cyberbezpieczeństwa.
NIS2 weszło w życie 16 stycznia 2023 r., a państwa członkowskie UE miały obowiązek wdrożyć je do prawa krajowego do 17 października 2024 r. Jednak większość państw członkowskich, w tym Holandia, nie dotrzymała tego terminu.
Celem tej dyrektywy jest osiągnięcie wysokiego, jednolitego poziomu cyberbezpieczeństwa w całej UE poprzez nałożenie na organizacje działające w sektorach krytycznych następujących obowiązków:
- Wprowadź środki bezpieczeństwa cybernetycznego oparte na ocenie ryzyka
- Zgłaszaj poważne zdarzenia odpowiednim organom w ściśle określonych terminach
- Zadbaj o to, by kadra kierownicza była odpowiednio przeszkolona i ponosiła odpowiedzialność
- Organizuj regularne szkolenia uświadamiające dla wszystkich pracowników
- Zarządzaj ryzykiem związanym z bezpieczeństwem łańcucha dostaw
Szacuje się, że w całej UE w zakres dyrektywy NIS2 wchodzi około 160 000 podmiotów. To dziesięciokrotny wzrost w porównaniu z dyrektywą NIS1.
NIS2 a NIS1: co się zmieniło?
Pierwotna dyrektywa NIS stanowiła solidny punkt wyjścia, ale zawierała spore luki. Dyrektywa NIS2 wypełnia je we wszystkich obszarach. Oto krótkie podsumowanie najważniejszych zmian:
| Aspekt | NIS1 | NIS2 |
|---|---|---|
| Obsługiwane sektory | 7 sektorów | 18 sektorów |
| Podmioty objęte zakresem | ~15,000 | ~160,000 |
| Zgłaszanie incydentów | Nie ma konkretnego harmonogramu | 24 godz. / 72 godz. / 1 miesiąc |
| Kary | Ustalane przez każde państwo członkowskie | Do 10 mln euro lub 2% obrotów |
| Odpowiedzialność kadry kierowniczej | Nie dotyczy | Odpowiedzialność cywilna za rażące niedbalstwo |
| Łańcuch dostaw | Nie jest to wyraźnie wymagane | Obowiązkowe zarządzanie ryzykiem |
| Szkolenie z zakresu zarządzania | Nie jest wymagane | Obowiązkowe dla zarządu i kadry kierowniczej |
Chcesz dowiedzieć się więcej o różnicach? Przeczytaj nasze pełne porównanie: Czym różni się NIS1 od NIS2?
Przepisy dotyczące NIS2 w Europie
NIS2 to dyrektywa UE, co oznacza, że nie ma bezpośredniego zastosowania do organizacji. Każde państwo członkowskie musi ją wdrożyć do prawa krajowego. Oto, jak wygląda sytuacja w 2026 roku.
Stan wdrożenia w całej UE
Postępy we wdrażaniu są bardzo zróżnicowane. Kraje takie jak Belgia, Chorwacja i Włochy jako jedne z pierwszych przyjęły przepisy krajowe. Inne, w tym Holandia i Niemcy, potrzebowały na to więcej czasu.
Komisja Europejska wszczęła postępowania w sprawie uchybienia zobowiązaniom wobec 23 państw członkowskich za niedotrzymanie terminu transpozycji wyznaczonego na październik 2024 r. Do maja 2025 r. 19 państw członkowskich otrzymało formalne upomnienia prawne (uzasadnione opinie). Na początku 2026 r. około 16 krajów w pełni wdrożyło dyrektywę NIS2 do prawa krajowego.
Pakiet UE dotyczący cyberbezpieczeństwa ze stycznia 2026 r.
20 stycznia 2026 r. Komisja Europejska opublikowała wniosek dotyczący zmiany dyrektywy NIS2 w ramach szerszego pakietu dotyczącego cyberbezpieczeństwa. Najważniejsze zmiany obejmują:
- Uproszczone zasady dotyczące jurysdykcji dla organizacji działających w wielu krajach UE
- Ścieżki zapewnienia zgodności oparte na certyfikacji, umożliwiające organizacjom wykazanie zgodności poprzez uznane certyfikaty
- Ulepszone raportowanie dotyczące oprogramowania ransomware wraz z bardziej szczegółowymi wymaganiami dotyczącymi danych o incydentach
- Zakres został rozszerzony o dostawców europejskich portfeli tożsamości cyfrowej oraz podwodnej infrastruktury danych
- Zmiana klasyfikacji około 22 500 podmiotów w celu zmniejszenia obciążeń związanych z przestrzeganiem przepisów dla mniejszych organizacji
- Wzmocnienie roli agencji ENISA w koordynowaniu nadzoru transgranicznego
Negocjacje w sprawie tych zmian mają trwać przez cały rok 2026, a po ich przyjęciu przewidziano 12-miesięczny okres na wdrożenie przepisów.
NIS2 w Holandii: ustawa o cyberbezpieczeństwie (Cwb)
W Holandii dyrektywa NIS2 jest wdrażana w ramach ustawy o cyberbezpieczeństwie (Cwb). Ustawa ta zastępuje dotychczasową ustawę Wbni (Wet beveiliging netwerk- en informatiesystemen).
Aktualny stan (marzec 2026 r.)
- Projekt ustawy został przedłożony Izbie Reprezentantów 4 czerwca 2025 r .
- Na 23 marca 2026 r. zaplanowano debatę plenarną
- Po Izbie Reprezentantów projekt ustawy musi jeszcze przejść przez Senat
- Rząd planuje, żeby ustawa weszła w życie w drugim kwartale 2026 roku
Trzy elementy regulacyjne
Holenderska implementacja składa się z trzech warstw:
- Ustawa o cyberbezpieczeństwie, która jest głównym aktem prawnym wdrażającym dyrektywę NIS2
- Rozporządzenie w sprawie cyberbezpieczeństwa (AMvB) – ogólne rozporządzenie administracyjne określające konkretne obowiązki
- Rozporządzenia ministerialne dotyczące poszczególnych sektorów, zawierające wymagania dostosowane do potrzeb danej branży
Najważniejsze holenderskie obowiązki
Organizacje objęte ustawą o cyberbezpieczeństwie muszą wypełniać cztery podstawowe obowiązki:
- Obowiązek staranności: wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem
- Obowiązek rejestracji: zarejestruj się w wyznaczonym organie nadzorczym dla swojej branży
- Obowiązek szkoleniowy dla kadry kierowniczej: członkowie zarządu i kadra kierownicza muszą przejść szkolenie z zakresu cyberbezpieczeństwa
- Obowiązek zgłaszania incydentów: zgłaszaj poważne incydenty do NCSC w wyznaczonych terminach
Organy nadzorcze
NCSC (Nationaal Cyber Security Centrum) pełni rolę głównego organu koordynującego. Organy nadzorcze odpowiedzialne za poszczególne sektory wyznacza się w drodze rozporządzeń ministerialnych.
Dla organizacji z sektora opieki zdrowotnej otoczenie regulacyjne jest wyjątkowo złożone, łącząc wymogi NIS2 z istniejącymi przepisami dotyczącymi ochrony danych pacjentów, specyficznymi dla tej branży.
Kogo dotyczy rozporządzenie NIS2?
Rozporządzenie NIS2 ma zastosowanie do organizacji na podstawie dwóch kryteriów: sektora i wielkości.
Podmioty o kluczowym znaczeniu (sektory o szczególnym znaczeniu)
- Energia (energia elektryczna, ropa, gaz, wodór, ogrzewanie miejskie)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Infrastruktura bankowa i rynków finansowych
- Służba zdrowia (szpitale, laboratoria, producenci sprzętu medycznego, apteki)
- Woda pitna i ścieki
- Infrastruktura cyfrowa (DNS, rejestry domen najwyższego poziomu, dostawcy usług w chmurze, centra danych, sieci CDN)
- Zarządzanie usługami ICT (dostawcy usług zarządzanych, dostawcy usług zarządzania bezpieczeństwem)
- Administracja publiczna
- Przestrzeń
Ważne podmioty (inne kluczowe sektory)
- Usługi pocztowe i kurierskie
- Zarządzanie odpadami
- Produkcja (urządzenia medyczne, elektronika, maszyny, pojazdy silnikowe)
- Produkcja, przetwórstwo i dystrybucja żywności
- Produkcja i dystrybucja chemikaliów
- Dostawcy usług cyfrowych (platformy handlowe online, wyszukiwarki, serwisy społecznościowe)
- Instytucje badawcze
Progi wielkości
Organizacje z tych sektorów są objęte zakresem, jeśli spełniają następujące kryteria dotyczące wielkości:
- Średnie przedsiębiorstwa: ponad 50 pracowników lub ponad 10 mln euro rocznego obrotu
- Duże przedsiębiorstwa: ponad 250 pracowników lub ponad 50 mln euro rocznego obrotu
Niektóre podmioty podlegają tym przepisom niezależnie od wielkości, w tym dostawcy usług DNS, rejestry domen najwyższego poziomu oraz (zgodnie z proponowanymi zmianami z 2026 r.) dostawcy europejskich portfeli tożsamości cyfrowej.
Różnica w nadzorze
Podmioty kluczowe podlegają nadzorowi prewencyjnemu, co oznacza regularne audyty i kontrole oraz wyższe kary. Podmioty ważne podlegają nadzorowi reaktywnemu: dochodzenia są wszczynane dopiero po wystąpieniu incydentów lub zgłoszeniu naruszeń, a kary są niższe.
Lista kontrolna NIS2 (2026)
Skorzystaj z tej obszernej listy kontrolnej, aby sprawdzić, czy Twoja organizacja spełnia wszystkie wymogi NIS2. Nie ogranicza się ona tylko do szkoleń uświadamiających, ale obejmuje pełen zakres obowiązków wynikających z NIS2, pomagając Ci przygotować się do zapewnienia zgodności z przepisami i audytów.
1. Ład korporacyjny i odpowiedzialność kadry zarządzającej
- Organ zarządzający oficjalnie zatwierdził środki zarządzania ryzykiem cyberbezpieczeństwa w organizacji
- Członkowie zarządu i kadra kierownicza ukończyli szkolenie z zakresu cyberbezpieczeństwa
- Za zgodność z NIS2 odpowiada wyznaczona osoba lub zespół (np. CISO, specjalista ds. zgodności)
- Cyberbezpieczeństwo to stały punkt porządku obrad posiedzeń zarządu i kierownictwa
- Kierownictwo zdaje sobie sprawę ze swojej osobistej odpowiedzialności za nieprzestrzeganie przepisów
- Przeznaczono środki na działania związane z cyberbezpieczeństwem i szkolenia
- Struktura zarządzania cyberbezpieczeństwem jest udokumentowana i przekazana wszystkim zainteresowanym
2. Zarządzanie ryzykiem i środki bezpieczeństwa
Artykuł 21 dyrektywy NIS2 nakłada na organizacje obowiązek wdrożenia odpowiednich i proporcjonalnych środków. Twoja lista kontrolna powinna zawierać:
- Przeprowadzono formalną ocenę ryzyka, która jest regularnie weryfikowana
- Zasady zarządzania ryzykiem są spisane, zatwierdzone i przekazane wszystkim
- Wprowadzono środki techniczne: zapory sieciowe, systemy wykrywania włamań, szyfrowanie oraz kontrola dostępu
- Wprowadzono środki organizacyjne: zasady, procedury, role i obowiązki
- Opracowano plany zapewnienia ciągłości działania i przywrócenia sprawności po awarii, które są regularnie testowane
- Procedury tworzenia kopii zapasowych i przywracania danych są udokumentowane i regularnie testowane
- W razie potrzeby wprowadza się segmentację sieci
- W systemach krytycznych i przy zdalnym dostępie stosuje się uwierzytelnianie wieloskładnikowe (MFA)
- Wdrożono program zarządzania lukami w zabezpieczeniach (regularne skanowanie, instalowanie poprawek)
- W przypadku oprogramowania tworzonego wewnętrznie stosujemy praktyki bezpiecznego programowania
3. Zgłaszanie incydentów i reagowanie na nie
- Plan reagowania na incydenty został sporządzony i przetestowany
- Określono kryteria klasyfikacji zdarzeń (co stanowi „istotne zdarzenie”)
- Wprowadzono 24-godzinny system wczesnego ostrzegania, a pracownicy wiedzą, jak go uruchomić
- Procedura zgłaszania zdarzeń w ciągu 72 godzin została udokumentowana
- Szablon i procedura sporządzania miesięcznego raportu końcowego są już gotowe
- Dane kontaktowe krajowego zespołu CSIRT (np. NCSC w Holandii) są łatwo dostępne
- Przydzielono role w ramach reagowania na incydenty i przeszkolono członków zespołu
- Przeprowadza się analizy po zdarzeniach i dokumentuje wyciągnięte wnioski
- Reakcja na incydenty jest sprawdzana co najmniej raz w roku w ramach ćwiczeń symulacyjnych
4. Bezpieczeństwo łańcucha dostaw
- Mamy już sporządzoną listę kluczowych dostawców i usługodawców
- Wymogi dotyczące cyberbezpieczeństwa są uwzględnione w umowach z dostawcami
- Dostawcy są poddawani ocenie pod kątem stanu cyberbezpieczeństwa (due diligence)
- Zidentyfikowano i ograniczono ryzyko związane z zależnościami od podmiotów zewnętrznych
- Istnieje procedura służąca do monitorowania i weryfikacji bezpieczeństwa dostawców na bieżąco
- W umowach z dostawcami zawarto postanowienia dotyczące zgłaszania incydentów
- Dostęp kluczowych dostawców do twoich systemów jest monitorowany i kontrolowany
5. Szkolenie z zakresu świadomości bezpieczeństwa
- Wszyscy pracownicy przechodzą regularne szkolenia z zakresu bezpieczeństwa
- Kierownictwo i członkowie zarządu przechodzą specjalistyczne szkolenia z zakresu cyberbezpieczeństwa
- Szkolenie to proces ciągły, a nie jednorazowe wydarzenie (zalecane co miesiąc lub co tydzień)
- Szkolenie obejmuje takie tematy jak phishing, inżynieria społeczna, bezpieczeństwo haseł, postępowanie z danymi oraz zgłaszanie incydentów
- Szkolenie obejmuje zagrożenia charakterystyczne dla Twojej branży
- Nowi pracownicy przechodzą szkolenie wprowadzające w ramach procesu wdrażania
- Wykonawcy i pracownicy zewnętrzni, którzy mają dostęp, przechodzą odpowiednie szkolenie
- Regularnie przeprowadzamy symulacje ataków phishingowych, żeby sprawdzić, czy pracownicy są na to przygotowani
- Śledzimy wskaźniki ukończenia szkoleń i wyniki ocen
- Treści szkoleniowe są aktualizowane w oparciu o najnowsze informacje o zagrożeniach
- Potwierdzenia ukończenia szkoleń są przechowywane na potrzeby audytów zgodności
6. Rejestracja i powiadomienia
- Twoja organizacja ustaliła już, czy kwalifikuje się jako podmiot niezbędny lub ważny
- Rejestracja w wyznaczonym organie nadzorczym została zakończona (lub jest planowana na moment wejścia ustawy w życie)
- Dane kontaktowe do zgłaszania incydentów (CSIRT/organ nadzorczy) są aktualne
- Procedury powiadamiania są udokumentowane i przypisane do konkretnych ról
- Dokumentacja dotycząca zakresu NIS2 w Twojej organizacji jest aktualizowana (określa, które systemy, usługi i procesy są objęte tymi wymogami)
7. Zasady bezpieczeństwa informacji i dokumentacja
- Polityka bezpieczeństwa informacji jest spisana i zatwierdzona przez kierownictwo
- Opracowano zasady dopuszczalnego użytkowania i przekazano je wszystkim pracownikom
- Zasady kontroli dostępu określają, kto ma dostęp do poszczególnych systemów i danych
- Procedury klasyfikacji i przetwarzania danych są udokumentowane
- Zasady dotyczące haseł są zgodne z aktualnymi najlepszymi praktykami (złożoność, uwierzytelnianie wieloskładnikowe, zakaz ponownego używania haseł)
- Wprowadzono zasady dotyczące pracy zdalnej i korzystania z własnych urządzeń
- Środki bezpieczeństwa fizycznego są udokumentowane w obiektach, w których znajdują się systemy o znaczeniu krytycznym
- Środki kontroli kryptograficznej i zasady szyfrowania są udokumentowane
- Wszystkie zasady są weryfikowane i aktualizowane co najmniej raz w roku
8. Monitorowanie, audytowanie i ciągłe doskonalenie
- Wprowadzono system monitorowania bezpieczeństwa (zarządzanie logami, SIEM, powiadomienia)
- Regularnie przeprowadzane są audyty lub oceny bezpieczeństwa (wewnętrzne lub zewnętrzne)
- Testy penetracyjne przeprowadza się co najmniej raz w roku
- Określono kluczowe wskaźniki efektywności (KPI) dotyczące cyberbezpieczeństwa i przekazano je kierownictwu
- Wyniki audytów i zgłoszeń dotyczących incydentów prowadzą do podjęcia udokumentowanych działań naprawczych
- Program cyberbezpieczeństwa jest co roku weryfikowany i ulepszany
- Informacje o zagrożeniach są monitorowane i uwzględniane w środkach bezpieczeństwa
- Przed każdym cyklem audytowym sprawdzane jest, czy spełnione są wymagania NIS2
Jedyny wymóg NIS2, który możesz już w tym tygodniu odhaczyć
Właśnie na szkoleniach z zakresu świadomości większość planów się kończy. Guardey zamienia je w krótkie, oparte na mechanizmach gier wyzwania z wbudowaną funkcją raportowania. Wypróbuj za darmo przez 14 dni – nie musisz podawać danych do płatności.
Rozpocznij bezpłatny okres próbnyCertyfikat NIS2
Często zadawane pytanie: czy istnieje oficjalny certyfikat NIS2? Krótka odpowiedź brzmi: nie, jeszcze nie.
W przeciwieństwie do normy ISO 27001, która ma ugruntowany proces certyfikacji, NIS2 to wymóg prawny egzekwowany przez krajowe organy nadzorcze. Nie ma jednej plakietki z napisem „certyfikat NIS2”, którą można by zdobyć.
Są jednak pewne istotne zmiany.
Zgodność oparta na certyfikacji (proponowana na rok 2026)
W pakiecie dotyczącym cyberbezpieczeństwa z stycznia 2026 r. Komisja Europejska proponuje ścieżki zapewnienia zgodności oparte na certyfikacji. Oznacza to, że organizacje posiadające określone uznane certyfikaty mogą być w stanie wykazać zgodność z dyrektywą NIS2 – lub przynajmniej częściową zgodność – właśnie dzięki tym certyfikatom.
Norma ISO 27001 jako podstawa
Norma ISO 27001 jest powszechnie uznawana za standard najlepiej odpowiadający wymogom NIS2. Organizacje posiadające certyfikat ISO 27001 przekonają się, że wiele wymogów NIS2 jest już spełnionych. Jednak NIS2 zawiera dodatkowe wymagania wykraczające poza zakres normy ISO 27001, w tym:
- Terminy zgłaszania konkretnych zdarzeń (24 godziny, 72 godziny, 1 miesiąc)
- Odpowiedzialność kadry kierowniczej i obowiązkowe szkolenia dla członków zarządu
- Oceny bezpieczeństwa łańcucha dostaw
- Wymagania branżowe
Znaki jakości NIS2 i oceny gotowości
Kilka zewnętrznych organizacji oferuje oceny gotowości do wdrożenia NIS2, analizy dojrzałości lub certyfikaty jakości. Chociaż nie są to oficjalne certyfikaty, mogą pomóc firmom w porównaniu ich zgodności z przepisami oraz wykazaniu swojego zaangażowania wobec interesariuszy.
NIS2 i szkolenia z zakresu świadomości bezpieczeństwa
Szkolenia z zakresu świadomości bezpieczeństwa to jeden z najbardziej wyraźnych wymogów dyrektywy NIS2. Artykuł 20 stanowi, że organy zarządzające muszą przejść takie szkolenia, a organizacje powinny regularnie organizować podobne szkolenia dla swoich pracowników.
Dlaczego w NIS2 kładzie się nacisk na szkolenia uświadamiające
Liczby mówią same za siebie. Według raportu ENISA „Threat Landscape 2025”:
- Phishing stanowi 60% wszystkich punktów dostępu wykorzystywanych do włamań
- Ponad 80% ataków socjotechnicznych wykorzystuje obecnie treści generowane przez sztuczną inteligencję
- 53,7% incydentów cybernetycznych dotyczyło organizacji uznanych za podmioty o znaczeniu krytycznym zgodnie z dyrektywą NIS2
- Sama administracja publiczna stanowiła 38,2% wszystkich ukierunkowanych ataków
Czynnik ludzki pozostaje największym słabym punktem. Bez przeszkolonych pracowników, którzy potrafią rozpoznać zagrożenia i je zgłaszać, nawet najbardziej zaawansowane zabezpieczenia techniczne mogą zostać obejście.
Czego NIS2 oczekuje od twojego programu szkoleń uświadamiających
- Regularne szkolenia, a nie tylko raz w roku. Oczekuje się ciągłych, regularnych szkoleń.
- Zaangażowanie kierownictwa. Członkowie zarządu i kadra kierownicza muszą się zaangażować.
- Istotność. Szkolenia muszą obejmować obecne i pojawiające się zagrożenia, w tym ataki wykorzystujące sztuczną inteligencję.
- Dowody. Musisz być w stanie wykazać, że szkolenia się odbywają i są skuteczne.
- Zakres. Wszyscy pracownicy mający dostęp do systemów i danych, w tym podwykonawcy.
Jak Guardey pomaga spełnić wymogi dotyczące świadomości w zakresie NIS2
Dzięki Guardey Twoi pracownicy co tydzień podejmują wyzwania związane z cyberbezpieczeństwem, których wykonanie zajmuje nie więcej niż trzy minuty. Tematy obejmują rozpoznawanie phishingu, bezpieczeństwo haseł, postępowanie z danymi, inżynierię społeczną i wiele innych zagadnień, a wszystko to zgodne z wymogami NIS2.
Podejście oparte na mechanizmach gier zapewnia wysoki poziom zaangażowania i wysoki wskaźnik ukończenia. A dzięki panelowi raportowemu Guardey możesz wykazać audytorom zgodność z przepisami, przedstawiając dowody w postaci:
- Wskaźniki ukończenia szkoleń w podziale na pracowników i działy
- Wyniki ocen i trendy w zakresie wiedzy
- Wyniki symulacji phishingu i postępy w czasie
- Zakres tematyczny zgodny z wymogami NIS2
Typowe błędy związane z zapewnieniem zgodności z NIS2
Wiele organizacji nie docenia nakładu pracy, jaki trzeba włożyć w zapewnienie zgodności z NIS2. Oto najczęstsze pułapki, z jakimi się spotykamy.
1. Czekanie na uchwalenie ustawy przed podjęciem działań
Dyrektywa NIS2 obowiązuje od stycznia 2023 roku. Chociaż holenderska ustawa o cyberbezpieczeństwie (Cyberbeveiligingswet) jest wciąż w trakcie prac legislacyjnych, wymagania są jasne. Organizacje, które będą czekać z dostosowaniem się do przepisów aż do momentu oficjalnego wejścia ustawy w życie, będą musiały się spieszyć, żeby zdążyć. Zacznij już teraz.
2. Traktowanie NIS2 wyłącznie jako problemu informatycznego
NIS2 wyraźnie wymaga odpowiedzialności kierownictwa. Nie jest to coś, co można całkowicie przekazać działowi IT. Członkowie zarządu muszą przejść odpowiednie szkolenia, zatwierdzać środki bezpieczeństwa cybernetycznego i mogą zostać pociągnięci do osobistej odpowiedzialności.
3. Ignorowanie wymagań dotyczących łańcucha dostaw
Wiele organizacji skupia się na własnym bezpieczeństwie, ale zapomina o swoich dostawcach. Dyrektywa NIS2 wymaga od ciebie oceny ryzyka związanego z cyberbezpieczeństwem w całym łańcuchu dostaw oraz zarządzania nim.
4. Tylko coroczne szkolenie uświadamiające
Jednorazowe szkolenie w ciągu roku nie spełnia wymogu „regularnego” szkolenia. Audytorzy oczekują ciągłego zaangażowania: comiesięcznych krótkich szkoleń, regularnych symulacji ataków phishingowych oraz ciągłego monitorowania.
5. Nie wiesz, czy przepisy NIS2 mają zastosowanie w Twoim przypadku
Co zaskakujące, wiele organizacji nawet nie sprawdziło, czy podlegają przepisom NIS2. Nie zakładaj, że jesteś wyłączony. Dokładnie sprawdź kryteria dotyczące sektora i wielkości.
6. Brak testów reagowania na incydenty
Samo sporządzenie planu reagowania na incydenty na papierze to za mało. NIS2 wymaga, żebyś go przetestował. Przeprowadź ćwiczenia symulacyjne, odtwarzaj scenariusze incydentów i upewnij się, że Twój zespół jest w stanie dotrzymać 24-godzinnego terminu na zgłoszenie wczesnego ostrzeżenia.
7. Brak wymaganego zgłoszenia
Zgodnie z ustawą o cyberbezpieczeństwie organizacje muszą zarejestrować się w wyznaczonym organie nadzorczym. Łatwo to przeoczyć, ale jest to obowiązkowe.
NIS2, ISO 27001 i DORA: jak wypadają w porównaniu?
Wiele organizacji musi spełniać wymagania wielu różnych standardów. Oto porównanie NIS2 z normą ISO 27001 i ustawą DORA (Digital Operational Resilience Act).
| Wymagania | NIS2 | ISO 27001 | DORA |
|---|---|---|---|
| Typ | Dyrektywa UE (wymóg prawny) | Międzynarodowa norma (dobrowolna) | Rozporządzenie UE (wymóg prawny) |
| Zakres | 18 sektorów, kluczowe i ważne podmioty | Każda organizacja (z własnej woli) | Tylko sektor finansowy |
| Czy szkolenie z zakresu świadomości jest obowiązkowe? | Tak (art. 20) | Tak (punkt 7.3, A.6.3) | Tak (art. 13) |
| Potrzebujesz szkolenia z zakresu zarządzania? | Tak (obowiązkowe, na poziomie zarządu) | Wymagane (punkt 5.1) | Tak (obowiązkowe, na poziomie zarządu) |
| Harmonogram zgłaszania incydentów | 24 godz. / 72 godz. / 1 miesiąc | Nie określono (zdefiniuj samodzielnie) | 4 godz. / 72 godz. (poważne awarie informatyczne) |
| Bezpieczeństwo łańcucha dostaw | Obowiązkowe | A.5.19–A.5.22 (kontrola dostawców) | Obowiązkowe (ryzyko związane z zewnętrznymi dostawcami usług ICT) |
| Kary | Do 10 mln euro lub 2% obrotów | Utrata certyfikatu | Do 10 mln euro lub 2% obrotów |
| Czy jest dostępna certyfikacja? | Jeszcze nie (planowane na 2026 r.) | Tak (akredytowane jednostki certyfikujące) | Jeszcze nie |
| Czy kierownictwo ponosi osobistą odpowiedzialność? | Tak | Nie | Tak |
Dobra wiadomość: organizacje posiadające certyfikat ISO 27001 mają sporą przewagę, jeśli chodzi o zgodność z NIS2. Podejście do zarządzania ryzykiem, wymagania dotyczące dokumentacji oraz obowiązki w zakresie szkoleń uświadamiających w znacznym stopniu się pokrywają.
Najczęściej zadawane pytania dotyczące dyrektywy NIS2
Co oznacza skrót NIS2?
Skrót NIS2 oznacza dyrektywę w sprawie bezpieczeństwa sieci i informacji (wersja 2). Często pisze się ją też jako NIS-2 lub NIS 2.0. To druga wersja unijnej dyrektywy o cyberbezpieczeństwie, która zastępuje pierwotną dyrektywę NIS z 2016 roku.
Kiedy NIS2 wejdzie w życie w Holandii?
Holenderska wersja dyrektywy NIS2, czyli ustawa o cyberbezpieczeństwie (Cyberbeveiligingswet), ma wejść w życie w drugim kwartale 2026 roku. Projekt ustawy został przedłożony Izbie Reprezentantów (Tweede Kamer) 4 czerwca 2025 roku i obecnie przechodzi przez procedurę parlamentarną.
Czy szkolenia z zakresu świadomości bezpieczeństwa są obowiązkowe zgodnie z dyrektywą NIS2?
Tak. Artykuł 20 dyrektywy NIS2 wyraźnie nakłada na organy zarządzające obowiązek odbycia szkoleń z zakresu cyberbezpieczeństwa oraz regularnego organizowania podobnych szkoleń dla pracowników. Oznacza to, że szkolenia uświadamiające są obowiązkiem prawnym, a nie opcjonalnym.
Czy rozporządzenie NIS2 dotyczy małych i średnich przedsiębiorstw?
Tak, to możliwe. Zakresem objęte są organizacje zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót w wysokości co najmniej 10 mln euro, działające w jednej z 18 objętych sektorów. Niektóre podmioty są uwzględnione niezależnie od wielkości (np. dostawcy usług DNS, rejestry domen najwyższego poziomu).
Jakie są kary za nieprzestrzeganie przepisów NIS2?
Podmioty o kluczowym znaczeniu mogą zostać ukarane grzywną w wysokości do 10 mln euro lub 2% globalnego rocznego obrotu. Podmioty o istotnym znaczeniu mogą zostać ukarane grzywną w wysokości do 7 mln euro lub 1,4% globalnego obrotu. Dodatkowo kierownictwo może zostać pociągnięte do odpowiedzialności osobistej.
Czy mogę uzyskać certyfikat NIS2?
Na razie nie. Nie ma oficjalnego certyfikatu zgodności z NIS2. Jednak pakiet Komisji Europejskiej dotyczący cyberbezpieczeństwa z 2026 roku proponuje ścieżki zgodności oparte na certyfikacji. Certyfikat ISO 27001 obejmuje wiele wymagań NIS2 i jest uznawany przez audytorów za solidną podstawę.
Czym NIS2 różni się od RODO?
RODO skupia się na ochronie danych osobowych. Dyrektywa NIS2 dotyczy szeroko pojętego bezpieczeństwa sieci i systemów informatycznych. Te dwa akty prawne wzajemnie się uzupełniają: środki przewidziane w dyrektywie NIS2 pomagają chronić systemy przetwarzające dane osobowe, wspierając tym samym zgodność z RODO.
Jaki jest związek między NIS2 a ustawą o cyberbezpieczeństwie?
Ustawa o cyberbezpieczeństwie to holenderska ustawa krajowa, która wdraża unijną dyrektywę NIS2. Przekłada ona wymogi dyrektywy na obowiązujące prawo holenderskie, zastępując poprzednią ustawę Wbni (Wet beveiliging netwerk- en informatiesystemen).
Zacznij już dziś przygotowywać się do spełnienia wymogów NIS2
NIS2 to nie jest kwestia przyszłości. Dyrektywa już obowiązuje, wymagania są jasne, a wkrótce zaczną ją egzekwować. Organizacje, które zaczną działać już teraz, będą w najlepszej sytuacji, gdy pojawią się audytorzy.
Dzięki szkoleniom Guardey Security Awareness Training Twoi pracownicy co tydzień otrzymują 3-minutowe mikrolekcje dotyczące phishingu, postępowania z danymi, zgłaszania incydentów i nie tylko. Wszystko to jest zgodne z wymogami NIS2 i obejmuje pełną dokumentację na potrzeby audytów zgodności.
Spełnij wymogi szkoleniowe NIS2 i to udowodnij
Guardey szkoli każdego pracownika w ciągu kilku minut tygodniowo i automatycznie to dokumentuje, dzięki czemu zawsze masz pod ręką odpowiednie dowody. Zobacz to na żywo podczas prezentacji.
Zaplanuj prezentację