banner z laptopem i logo NIS2
Public safety

NIS2 – europejskie przepisy w zakresie cyberbezpieczeństwa i jak ułatwić spełnienie ich założeń

Agnieszka Pierlak

11.07.2024

8 min

Proget > Blog > Public safety > NIS2 – europejskie przepisy w zakresie cyberbezpieczeństwa i jak ułatwić spełnienie ich założeń

Na skróty:

Dyrektywa NIS2 (2022/2555) weszła w życie 16 stycznia 2023 r. Państwa członkowskie Unii Europejskiej miały czas na jej implementację do 17 października 2024 r., jednak proces ten w wielu krajach postępował stopniowo, również po upływie tego terminu.

Obecnie NIS2 funkcjonuje jako obowiązujący standard unijny, a jej wymagania są sukcesywnie przenoszone na grunt przepisów krajowych i egzekwowane przez poszczególne państwa. W Polsce transpozycja NIS2 została zrealizowana poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC), która ostatecznie weszła w życie 3 kwietnia 2026 r.

Czym jest NIS2? Sprawdź, czy Twój biznes musi zastosować się do jej założeń i dowiedz się, jak można ułatwić spełnienie wymogów nowej dyrektywy.

Czym jest dyrektywa NIS2 i jaki jest jej cel?

NIS2 (Network and Information Security Directive 2) to rozwinięcie dyrektywy NIS z 2016 r. – pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa.

Powstała ona w odpowiedzi na potrzebę dostosowania obecnych przepisów do dynamicznie ewoluującego krajobrazu cyberzagrożeń i coraz bardziej wyrafinowanych ataków. Celem NIS2 jest osiągnięcie wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki.

Najważniejsze aspekty NIS2

  1. Rozszerzony zakres – NIS2 obejmuje więcej sektorów gospodarki niż poprzednia dyrektywa, zwiększając ich liczbę z 7 do 18. W rezultacie dotyczy większej liczby branż i podmiotów.
  2. Nowe obowiązki – organizacje objęte regulacjami muszą wprowadzić minimalny zakres środków bezpieczeństwa, by zapewnić efektywne zarządzanie ryzykiem. Dodatkowo NIS2 zaostrza zasady zgłaszania incydentów.
  3. Kary i sankcje – dyrektywa jasno określa wysokość kar administracyjnych za uchylanie się od spełnienia wymogów. Mogą one sięgać nawet do 10 mln euro lub 2% łącznego rocznego obrotu.

Kogo dotyczą nowe przepisy?

NIS2 dzieli firmy podlegające regulacjom na podmioty kluczowe i ważne. Do pierwszej grupy należą te, których zakłócenie działalności, np. w wyniku cyberataku, może mieć poważne konsekwencje dla funkcjonowania społeczeństwa i gospodarki (np. energetyka, woda pitna, bankowość). Druga grupa obejmuje firmy o mniejszym, choć wciąż istotnym znaczeniu (np. usługi pocztowe, produkcja).

Jakie są zasady identyfikacji podmiotów?

Dyrektywa podaje następujące kryteria:

  • Samoidentyfikacja: organizacja musi ocenić, czy podlega dyrektywie, i zgłosić to do odpowiedniego organu państwowego.
  • Wielkość: przepisy dotyczą przedsiębiorstw średnich i dużych, czyli takich zatrudniających ponad 50 osób i osiągających roczne obroty lub sumę bilansową przekraczającą 10 mln euro.
  • Obszar działalności: dyrektywie podlegają podmioty, które świadczą usługi na terytorium UE i działają w sektorach uznanych za niezbędne dla funkcjonowania gospodarki i społeczeństwa.
ikony NIS2 podmioty kluczowe, NIS2 podmioty ważne, NI2 sektory kluczowe, NIS2 sektory ważne

Nowa dyrektywa – nowe obowiązki

NIS2 wprowadza takie same minimalne wymogi bezpieczeństwa dla wszystkich podmiotów. Obowiązki wynikające z dyrektywy opisano ogólnie, co daje możliwość elastycznego doboru rozwiązań, które pomogą spełnić założenia. Dodatkowo każde państwo UE może narzucić własne regulacje – pod warunkiem, że będą nie mniej rygorystyczne niż te zawarte w NIS2.

Jakie środki zarządzania ryzykiem trzeba wprowadzić?

Dyrektywa skupia się nie tylko na technicznych i organizacyjnych aspektach bezpieczeństwa. Wymaga też, aby pracownicy byli świadomi zagrożeń i odpowiednio przeszkoleni. Środki zarządzania ryzykiem powinny być adekwatne do poziomu ryzyka i obejmować przynajmniej te obszary:

  • Politykę analizy ryzyka – procedury w celu identyfikacji, analizy, oceny i minimalizacji ryzyka związanego z cyberbezpieczeństwem.
  • Obsługę incydentu – procedury w celu wykrywania incydentów, reagowania na nie i zapobiegania im.
  • Ciągłość działania – przywracanie normalnego funkcjonowania organizacji po wystąpieniu sytuacji kryzysowej, np. dzięki stosowaniu kopii zapasowych.
  • Bezpieczeństwo sieci i systemów informatycznych – w procesie ich nabywania, rozwoju, utrzymania, a także postępowanie w przypadku wykrycia podatności.
  • Bezpieczeństwo łańcucha dostaw – ustalenie wymogów stawianych podmiotom zewnętrznym przy współpracy.
  • Bezpieczeństwo zasobów ludzkich, zarządzanie aktywami i kontrola dostępu.
  • Procedury stosowania: kryptografii, szyfrowania, uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo, a także zabezpieczonych systemów łączności wewnętrznej, używanych w sytuacjach nadzwyczajnych.
  • Cyberhigienę – wprowadzenie jej podstawowych praktyk oraz regularne szkolenia pracowników w zakresie cyberbezpieczeństwa.
NIS2 zarządzanie urządzeniami mobilnymi, administrator z tabletem

Zgłaszanie incydentów

NIS2 zaostrza wymogi dotyczące zgłaszania incydentów. Każdy podmiot kluczowy musi być gotowy do szybkiego rozpoznawania incydentów cybernetycznych, reagowania na nie oraz do ich raportowania.

Najważniejszym obowiązkiem jest zgłaszanie poważnych incydentów – po ich wykryciu i bez zbędnej zwłoki – do odpowiedniego CSIRT (Computer Security Incident Response Team). W Polsce są to: CSIRT GOV, CSIRT NASKCSIRT MON.

Wstępne zgłoszenie należy przesłać w ciągu 24 godzin od wykrycia naruszenia, a bardziej szczegółowe informacje – maksymalnie do 72 godzin. Nie później niż miesiąc po zgłoszeniu incydentu organizacja musi dostarczyć sprawozdanie końcowe. Dokument powinien zawierać opis przebiegu zdarzenia, rodzaj i przyczynę zagrożenia oraz podjęte środki zaradcze.

Kary administracyjne

Za nieprzestrzeganie przepisów NIS2 grożą sankcje prawne i finansowe. Sankcje prawne mogą obejmować np. nakazy zgodności, wdrażanie zaleceń z audytu bezpieczeństwa oraz obowiązek informowania klientów o zagrożeniach. Kary finansowe różnią się w zależności od kategorii, do której przynależy dana organizacja.

Podmioty kluczowe: co najmniej 10 mln euro lub 2% łącznego rocznego obrotu.

Podmioty ważne: co najmniej 7 mln euro lub 1,4% łącznego rocznego obrotu.

Konsekwencje, w tym finansowe oraz osobistą odpowiedzialność za brak zgodności, mogą ponieść także osoby pełniące funkcje zarządcze.

Bezpieczeństwo urządzeń mobilnych elementem zgodności z NIS2

Ważnym aspektem zarządzania ryzykiem w świetle NIS2 jest bezpieczeństwo sieci i systemów informatycznych. Wraz z postępem cyfryzacji biznesowe infrastruktury IT obejmują coraz szersze spektrum urządzeń – co odzwierciedlają nowe przepisy.

Jak dyrektywa definiuje „sieci i systemy informatyczne”? To nie tylko komputery stacjonarne i serwery, ale wszelkie urządzenia przetwarzające dane cyfrowe (rozdz. 1 art. 6). Wśród nich znajdują się więc także urządzenia mobilne: laptopy, telefony komórkowe, tablety oraz sprzęt wzmocniony.

Obecnie urządzenia mobilne to nieodzowne narzędzia do prowadzenia biznesu, umożliwiające pracownikom dostęp do aplikacji, danych i zasobów z dowolnego miejsca. Zgodnie z NIS2 muszą być zatem odpowiednio chronione – na równi z tradycyjnymi systemami IT. W realizacji tego zadania nieocenioną rolę pełnią zaawansowane rozwiązania do zarządzania mobilnością, takie jak system Proget MDM.

NIS2 zarządzanie urządzeniami mobilnymi, administrator pracuje na komputerze, przy dwóch ekranach z konsolą Proget

Jak Proget wspiera zgodność z dyrektywą NIS2?

Proget to platforma MDM typu All-in-One, która centralizuje zarządzanie, monitorowanie i ochronę urządzeń mobilnych w biznesie. Pomaga ona administratorom IT spełniać wymagania NIS2, oferując szeroki wachlarz funkcjonalności w obszarach objętych dyrektywą.

Pełna widoczność i zgodność

NIS2 wymaga stałego monitorowania wszystkich urządzeń mobilnych przetwarzających firmowe dane oraz oceny ryzyka z nimi związanego. Konsola Proget zawiera kompleksowy spis sprzętu wdrożonego do systemu, dostarczając wiedzę na temat tego, kto i jakimi urządzeniami dysponuje. Ponadto rozwiązanie umożliwia bieżące śledzenie lokalizacji i stanu bezpieczeństwa urządzeń mobilnych, dzieląc je na zgodne i niezgodne z ustalonymi przez organizację zasadami.

Obsługa incydentów i działania prewencyjne

Dyrektywa nakazuje wprowadzenie skutecznych procedur w celu zapobiegania incydentom bezpieczeństwa, ich wykrywania oraz szybkiego reagowania na nie. Profil Mobile Threat Prevention w systemie Proget monitoruje urządzenia, aplikacje i sieci pod kątem potencjalnych zagrożeń. Pozwala też skonfigurować natychmiastowe, automatyczne reakcje w odpowiedzi na wykryte incydenty – na przykład próbę zainstalowania niebezpiecznej aplikacji. Natomiast gdy urządzenie zostanie zgubione lub skradzione, administrator może zdalnie je zablokować lub wyczyścić dane firmowe, chroniąc je przed nieuprawnionym dostępem.

Spójne i rygorystyczne zasady bezpieczeństwa

NIS2 obliguje firmy do opracowania i wdrożenia polityk bezpieczeństwa, w tym dla urządzeń mobilnych. To obejmuje także zasady codziennego korzystania ze sprzętu oraz metody jego zabezpieczania. Proget pozwala skonfigurować spójne polityki dla poszczególnych urządzeń lub grup (np. pracowników danego działu) oraz wymusić ich przestrzeganie. Polityki mogą narzucać między innymi konieczność ustawiania silnych haseł, wymuszone szyfrowanie oraz kontrolować dostęp do funkcji urządzenia, takich jak aparat czy mikrofon. To podejście minimalizuje ryzyko typowych niedopatrzeń w zakresie bezpieczeństwa, zapewniając zgodność z NIS2.

Efektywne zarządzanie aplikacjami

Ponieważ aplikacje mobilne często uzyskują dostęp do firmowych systemów informatycznych oraz danych, powinny być odpowiednio kontrolowane, gdyż mogą stać się źródłem zagrożenia dla bezpieczeństwa. Proget umożliwia tworzenie białych i czarnych list aplikacji, dzięki czemu blokuje instalowanie aplikacji z nieznanych źródeł i minimalizuje ryzyko zainstalowania złośliwego oprogramowania na urządzeniu. System zapewnia również regularne aktualizacje aplikacji, eliminując luki bezpieczeństwa wynikające z korzystania z przestarzałych, podatnych na cyberataki wersji.

Oddaj swoje dane w dobre ręce.

tablet i telefon, widok na ekran główny z ikonami aplikacji

Podsumowanie

NIS2 nie jest już regulacją „w przygotowaniu” – to obowiązujący unijny standard cyberbezpieczeństwa, implementowany do prawa krajowego i coraz częściej egzekwowany. Bezpieczeństwo informacji staje się kluczowym kryterium współpracy biznesowej, dlatego warto już teraz zacząć wprowadzać odpowiednie środki ochrony. Nawet jeśli Twoja firma nie jest bezpośrednio objęta dyrektywą NIS2, świadomość potencjalnych zagrożeń i proaktywne podejście do zabezpieczeń to inwestycja, która zapewni Twojej organizacji bezpieczeństwo i stabilność w przyszłości.

Zaktualizowano: 28.04.2026

Autor: Agnieszka Pierlak

Specjalistka ds. marketingu z doświadczeniem w branży IT. Interesuje się zagadnieniami związanymi z cyberbezpieczeństwem i bezpieczeństwem wewnętrznym. Prywatnie wielbicielka dobrej literatury, kuchni azjatyckiej i górskich wędrówek.