NIS2 weszło w życie - 5 rzeczy do zrobienia w tym tygodniu
3 kwietnia 2026 ustawa weszła w życie. Odebrałem więcej telefonów niż zwykle - właściciele firm pytają: czy mnie to dotyczy? Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu. Z perspektywy informatyka, który już wdrażał to u klientów.
3 kwietnia 2026 roku ustawa o cyberbezpieczeństwie oficjalnie weszła w życie. Nie za rok. Nie 'kiedyś'. Dzisiaj.
W ciągu ostatnich dwóch tygodni odebrałem więcej telefonów niż zwykle. Właściciele firm pytają to samo: „Czy mnie to dotyczy? Co muszę zrobić? Ile mam czasu?”
Odpowiadam im to samo, co napiszę Ci teraz: nie panikuj, ale nie odkładaj. Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu.
W skrócie
W skrócie: NIS2 dotyczy bezpośrednio firm powyżej 50 osób w kluczowych sektorach. Ale jeśli jesteś dostawcą dużej firmy, ten sam standard obejmie i Ciebie - nawet przy 5 osobach. Co zrobić teraz: sprawdź działający backup, włącz MFA, spisz kto ma do czego dostęp, zrób aktualizacje i zapisz to na papierze. Pierwszy termin rejestracji to 3 października 2026.
Zanim cokolwiek zrobisz - sprawdź, czy to Cię dotyczy
NIS2 dotyczy bezpośrednio firm powyżej 50 pracowników w kluczowych sektorach (energetyka, transport, zdrowie, IT, produkcja, żywność). Ale jest haczyk, o którym mało kto mówi:
Jeśli jesteś dostawcą lub podwykonawcą dużej firmy - Twój klient BĘDZIE wymagał od Ciebie tych samych standardów. Nawet jeśli masz 5 osób.
Obsługuję firmy od 3 do 150 osób. Połowa moich klientów nie podlega NIS2 bezpośrednio - ale ich klienci tak. I już dostaję pytania: „Nasz partner handlowy przysłał ankietę o bezpieczeństwie IT. Nie mam pojęcia co odpowiedzieć.'
5 rzeczy do zrobienia w tym tygodniu
Sprawdź, czy masz backup i czy on DZIAŁA
Nie „czy masz dysk z kopiami”. Czy ktoś w ciągu ostatnich 30 dni sprawdził, że te kopie da się odtworzyć? Bo mam klientów, którzy przez 2 lata myśleli że mają backup - aż serwer padł i okazało się, że kopie były puste.
Włącz MFA na wszystkich kontach firmowych
MFA to podwójne logowanie - hasło plus kod z telefonu. 90% ataków phishingowych odpada przy włączonym MFA. To 15 minut konfiguracji per osoba. Jeśli Twój Microsoft 365, poczta firmowa albo ERP nie mają włączonego MFA - to jest Twój priorytet numer jeden.
Zrób listę - kto ma dostęp do czego
Zeszły miesiąc. Klient, biuro rachunkowe, 8 osób. Okazało się, że praktykant sprzed roku nadal ma dostęp do wszystkich skrzynek mailowych. Nikt go nie wylogował. Nikt nie sprawdził. To nie jest złośliwość - to brak procedury. Weź kartkę i wypisz: kto ma konto w poczcie, kto w ERP, kto zna hasło do Wi-Fi, kto ma klucz do serwerowni. Jeśli na tej liście jest ktoś, kto u Ciebie już nie pracuje - masz problem.
Sprawdź aktualizacje - systemów, routera, antywirusa
Windows Server bez aktualizacji od 6 miesięcy to otwarte drzwi. Router z hasłem 'admin/admin' to zaproszenie. Nie chodzi o wielkie wdrożenia - chodzi o to, żeby podstawy działały. Jeden wieczór na aktualizacje teraz to tygodnie mniej problemów później.
Zapisz to. Na papierze. Dla siebie i dla kontroli
NIS2 wymaga dokumentacji. Nie musisz pisać 200-stronicowej polityki bezpieczeństwa. Ale musisz mieć zapisane: co robisz, kiedy robisz backup, kto ma dostęp i co zrobisz, gdy coś pójdzie nie tak. Jeśli nie masz tego na papierze - nie masz tego wcale.
Terminy - ile faktycznie masz czasu
NIS2 nie wymaga wszystkiego od razu. Ale terminy są konkretne i nieodwołalne:
Ustawa obowiązuje. Zacznij od 5 punktów powyżej.
Musisz wiedzieć, czy podlegasz ustawie i zarejestrować się w rejestrze.
Wdrożone zabezpieczenia techniczne i procedury reagowania na incydenty.
Pierwszy obowiązkowy audyt bezpieczeństwa.
Czego NIE robić
Nie kupuj „pakietu NIS2” od firmy, która Ci tego nie wyjaśni po ludzku. Widziałem oferty za 30 000 zł, które dają Ci 200 stron dokumentów, których nikt nie przeczyta.
Nie ignoruj tematu, bo „mnie to nie dotyczy”. Jeśli masz choć jednego dużego klienta - w ciągu roku on Cię o to zapyta.
Nie próbuj robić tego sam z YouTube'a. Konfiguracja MFA, backup, firewall - to godzina pracy dla kogoś kto to robi codziennie. Dla Ciebie to tydzień prób i błędów.
Co robię moim klientom w pierwszym miesiącu
Każdy klient jest inny, ale schemat się powtarza. Oto co robię w firmie, która 'nigdy nie miała informatyka na stałe':
Po 4 tygodniach masz firmę, która spełnia podstawowe wymagania NIS2 - i śpisz spokojnie. Nie dlatego, że masz papier. Dlatego, że Twoje IT faktycznie działa.
Nie musisz tego robić sam
Zadzwoń albo napisz. Powiem Ci w 15 minut, czy NIS2 dotyczy Twojej firmy, co musisz zrobić w pierwszej kolejności i ile to będzie kosztować. Bez zobowiązań - jeśli powiem, że nic nie musisz robić, to tak powiem.
Najczęstsze pytania
Kogo dotyczy NIS2?
Bezpośrednio firm powyżej 50 pracowników w kluczowych sektorach: energetyka, transport, zdrowie, IT, produkcja, żywność. Ale jest haczyk: jeśli jesteś dostawcą lub podwykonawcą dużej firmy, Twój klient będzie wymagał od Ciebie tych samych standardów - nawet jeśli masz 5 osób.
Co muszę zrobić w pierwszej kolejności?
Pięć rzeczy: sprawdź czy masz backup i czy on naprawdę działa (czy da się odtworzyć kopie), włącz MFA na wszystkich kontach firmowych, zrób listę kto ma dostęp do czego, sprawdź aktualizacje systemów, routera i antywirusa, oraz zapisz wszystko na papierze - bez dokumentacji w oczach NIS2 tego nie ma.
Ile mam czasu na dostosowanie się do NIS2?
Ustawa obowiązuje od 3 kwietnia 2026. Do 3 października 2026 musisz wiedzieć, czy podlegasz ustawie i zarejestrować się w rejestrze. Do 3 kwietnia 2027 wdrożyć zabezpieczenia techniczne i procedury reagowania na incydenty. Pierwszy obowiązkowy audyt bezpieczeństwa to 3 kwietnia 2028.
Co zrobić, gdy partner handlowy przysłał ankietę o bezpieczeństwie IT?
To znak, że Twój klient podlega NIS2 i wymaga tego samego od dostawców. Jeśli nie wiesz, co odpowiedzieć, najprościej zacząć od przeglądu IT - sprawdzam co masz, co działa i co wymaga naprawy w godzinę, bezpłatnie i bez zobowiązań.
Źródła
Ten artykuł to skrót tego, co musisz zrobić TERAZ. Pełne wyjaśnienie NIS2 - kogo dotyczy, jakie są kary, co dokładnie wymaga ustawa - znajdziesz w moim wcześniejszym przewodniku:
NIS2 w praktyce - pełny przewodnik →
12 lat w IT - od banku, przez Kancelarię Prezydenta RP, do własnej firmy. Outsourcing IT dla firm, które nie mogą sobie pozwolić na przestoje.
Poznaj mnie lepiejPowiązane artykuły
NIS2 w praktyce - co musisz wdrożyć w swojej firmie
3 kwietnia 2026 wchodzi w życie ustawa, która dotyczy więcej firm, niż się wydaje - i o której słyszałem od klientów „to chyba nie o nas”. Tłumaczę, kogo to dotyczy, jakie są realne terminy, co musisz mieć od strony technicznej i dlaczego „nic nie zrobiłem” zaczyna kosztować. Bez paragrafów, z przykładami z praktyki.
Phishing w firmie - jak ochronić pracowników i nie stracić danych
W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Księgowa kliknęła link - atakujący miał dostęp do 200 skrzynek. Pokazuję, jak wyglądają prawdziwe ataki, po czym je rozpoznać, co realnie wdrożyć, żeby się chronić, i ile to kosztuje. Z perspektywy informatyka, który wolałby, żebyś nie musiał do niego dzwonić w panice.
Nowe oszustwa AI 2026 - jak rozpoznać i nie dać się nabrać
Literówki i kanciasta polszczyzna przestały zdradzać oszustów - bo mają teraz AI. Maile są bezbłędne, strony logowania nie do odróżnienia, a głos w słuchawce brzmi jak Twój wspólnik. Jako informatyk z przeszłością w bezpieczeństwie pokazuję trzy sztuczki, na które firmy dają się nabrać w 2026, i konkretnie jak się bronić - tanio i skutecznie.