NIS2 w praktyce - co musisz wdrożyć w swojej firmie
3 kwietnia 2026 wchodzi w życie ustawa, która dotyczy więcej firm, niż się wydaje - i o której słyszałem od klientów „to chyba nie o nas”. Tłumaczę, kogo to dotyczy, jakie są realne terminy, co musisz mieć od strony technicznej i dlaczego „nic nie zrobiłem” zaczyna kosztować. Bez paragrafów, z przykładami z praktyki.
19 lutego 2026 roku Prezydent podpisał nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). To polska implementacja europejskiej dyrektywy NIS2 - i dotyczy dużo większej liczby firm, niż myślisz. Nie musisz być ekspertem od prawa, żeby zrozumieć o co chodzi. W tym artykule tłumaczę NIS2 tak, jak tłumaczę ją moim klientom: bez paragrafów, za to z konkretną listą rzeczy do zrobienia. Bo w praktyce NIS2 to nie rewolucja - to uporządkowanie tego, co każda firma powinna mieć od dawna.
W skrócie
W skrócie: NIS2 to nowe prawo (polska ustawa o KSC podpisana 19.02.2026), które wymaga, by firma realnie zabezpieczyła swoje IT. Dotyczy bezpośrednio średnich i dużych firm z objętych sektorów, ale pośrednio też mniejszych dostawców takich firm. W praktyce trzeba mieć backup, monitoring, kontrolę dostępu (MFA), dokumentację i przeszkolony zespół - czyli to, co i tak warto mieć. Kary sięgają 10 mln EUR lub 2% obrotu.
Co to jest NIS2 - w trzech zdaniach
NIS2 to nowe europejskie prawo, które mówi jedno: „zabezpiecz swoją firmę - albo zapłacisz karę.” Polska właśnie wdrożyła je przez nowelizację ustawy o cyberbezpieczeństwie (KSC). Brzmi groźnie, ale w praktyce chodzi o to, żebyś nie dowiadywał się o dziurach w bezpieczeństwie dopiero wtedy, gdy ransomware zaszyfruje Ci wszystkie dane.[1][2]
W skrócie: UE mówi „zabezpieczcie się”, Polska mówi „macie terminy i kary”. A ja mówię - większość z tego i tak powinieneś mieć.
Kogo dotyczy NIS2?
Duże i średnie firmy z konkretnych branż
Energetyka, transport, zdrowie, IT, produkcja, żywność, chemia, poczta, odpady - jeśli działasz w jednym z tych sektorów i masz powyżej 50 pracowników lub ponad 10 mln EUR obrotu, NIS2 dotyczy Cię bezpośrednio.
Łańcuch dostaw - tu jest haczyk
Nawet jeśli Twoja firma ma 10 osób, ale jesteś dostawcą lub podwykonawcą dużej firmy z sektora objętego NIS2 - Twój klient będzie WYMAGAŁ od Ciebie spełnienia tych samych standardów bezpieczeństwa. Bo ustawa nakłada na duże firmy obowiązek zabezpieczenia łańcucha dostaw.
A co z mikro i małymi firmami?
Nawet jeśli formalnie nie podlegasz NIS2 - te wymagania to po prostu dobra praktyka. 240 000 incydentów cyberbezpieczeństwa w Polsce w 2025 roku, dwukrotny wzrost rok do roku. Ransomware nie sprawdza, czy masz 5 czy 500 pracowników.
Czy NIS2 dotyczy Twojej firmy?
Uproszczony schemat - pełną analizę powinien zrobić specjalista
Czy masz powyżej 50 pracowników?
Czy Twój roczny obrót przekracza 10 mln EUR?
Czy działasz w sektorze objętym NIS2?
Czy jesteś dostawcą firmy objętej NIS2?
Lista sektorów objętych NIS2 obejmuje 18 kategorii. Pełny wykaz w załączniku do dyrektywy.[2][4]
Terminy - co i kiedy?
Prezydent podpisał nowelizację ustawy o KSC
Ustawa zaczyna obowiązywać - miesiąc po publikacji w Dzienniku Ustaw
6 miesięcy na wpisanie się do rejestru podmiotów kluczowych/ważnych
12 miesięcy na wdrożenie środków zarządzania ryzykiem
24 miesiące na przeprowadzenie pierwszego audytu bezpieczeństwa
Co NIS2 wymaga technicznie - i co ja z tego robię
Ustawa mówi o „środkach zarządzania ryzykiem” - brzmi jak z urzędu, wiem. Ale w praktyce to po prostu lista rzeczy, które dobry informatyk i tak powinien u Ciebie wdrożyć:[4][5]
Zarządzanie ryzykiem
Wymóg:Sprawdzaj regularnie, gdzie masz słabe punkty w IT
Co robię:Robię audyt sieci, sprawdzam firewall, testuję konfigurację - i daję raport co poprawić
Backup i disaster recovery
Wymóg:Rób kopie zapasowe i sprawdzaj, czy naprawdę da się z nich odzyskać dane
Co robię:Wdrażam backup 3-2-1 (Veeam + NAS + chmura), testuję odtwarzanie co kwartał
Monitoring i wykrywanie incydentów
Wymóg:Miej oko na to, co się dzieje w sieci - żeby nie dowiedzieć się o awarii od klienta
Co robię:Stawiam Zabbix, konfiguruję alerty - o awarii dowiadujemy się w 5 minut, nie po tygodniu
Kontrola dostępu
Wymóg:Ogranicz kto ma dostęp do czego, włącz podwójne logowanie i wymuś silne hasła
Co robię:Active Directory, MFA na wszystkim, VPN zamiast otwartych portów, matryca uprawnień
Dokumentacja i procedury
Wymóg:Spisz zasady bezpieczeństwa i co robić, gdy coś pójdzie nie tak
Co robię:Przygotowuję dokumentację IT, procedury na wypadek awarii, listę kontaktów kryzysowych
Szkolenia pracowników
Wymóg:Ucz ludzi, żeby nie klikali w podejrzane linki i nie używali hasła 'qwerty'
Co robię:Uczę zespół rozpoznawać phishing, tłumaczę dlaczego hasło „firma123” to zły pomysł
Kary - ile to kosztuje, gdy nie zrobisz nic
lub 2% rocznego obrotu - zależnie co jest wyższe
lub 1,4% rocznego obrotu
w przypadku powtarzających się naruszeń
Ale kary to nie jedyne ryzyko. Średni koszt incydentu ransomware dla polskiej firmy to setki tysięcy złotych - włącznie z przestojem, utratą danych i odbudową. Wdrożenie zabezpieczeń kosztuje ułamek tego.[3][7][9]
Cyberbezpieczeństwo w Polsce - twarde dane
240 000+
incydentów w 2025 roku (CERT Polska)[3]
2×
wzrost rok do roku (ze 103 000 w 2024)[3]
29%
firm deklaruje wysoką cyberodporność[9]
66%
firm spodziewa się pogorszenia sytuacji[9]
Checklist - 12 punktów do odhaczenia
Dobra, dość straszenia. Oto konkretna lista - niezależnie od tego, czy NIS2 dotyczy Twojej firmy bezpośrednio, te 12 punktów to absolutne minimum w 2026 roku:
Backup 3-2-1 - trzy kopie, dwa nośniki, jedna offsite
Testowe odtwarzanie backupu - minimum raz na kwartał
Firewall skonfigurowany i aktualizowany
MFA (podwójne logowanie - hasło + kod z telefonu) na poczcie i VPN
Monitoring infrastruktury (system, który pilnuje czy serwery i sieć działają) z alertami SMS/mail
Centralne zarządzanie kontami (Active Directory) z silnymi hasłami (min. 12 znaków)
Aktualizacje systemów - Windows, serwer, oprogramowanie sprzętowe - regularnie
Antywirus/EDR (zaawansowana ochrona przed zagrożeniami) na wszystkich komputerach i serwerze
VPN (szyfrowane połączenie) zamiast otwartego pulpitu zdalnego
Dokumentacja IT - schemat sieci, lista urządzeń, hasła w menedżerze
Procedura reagowania na incydent - kto dzwoni, do kogo, co robi
Przeszkolenie zespołu - phishing, hasła, zgłaszanie incydentów
Z mojej praktyki - trzy historie
Żeby nie było, że tylko straszę paragrafami - oto trzy sytuacje, które sam widziałem. Każda mogła skończyć się inaczej:
Firma handlowa, 40 osób - „u nas się nic nie stanie”
Brak backupu, hasła w Excelu, RDP otwarty na świat. Przyszedł ransomware, zaszyfrował serwer z Optimą. Dane za 5 lat - utracone. Odbudowa trwała 3 tygodnie. Gdyby mieli backup 3-2-1 i VPN, przywróciłbym wszystko w 2 godziny.
Producent, 80 osób - dostawca dużej sieci handlowej
Sieć handlowa zaczęła wymagać od dostawców potwierdzenia zabezpieczeń IT. Mój klient nie miał dokumentacji, monitoringu, ani polityki haseł. W 3 miesiące wdrożyliśmy AD, MFA, Zabbix, backup i przygotowaliśmy dokumentację. Audyt przeszedł bez zastrzeżeń.
Biuro rachunkowe, 12 osób - „jesteśmy za mali na ataki”
Phishing na księgową - kliknęła link, podała hasło do poczty. Atakujący miał dostęp do maili 200 klientów biura. RODO, panika, zgłoszenie do UODO. Po incydencie wdrożyliśmy MFA, szkolenie antyphishingowe i filtrowanie maili. Koszt wdrożenia: ułamek kosztów incydentu.
Sprawdź bezpieczeństwo swojej firmy
Bezpłatny przegląd bezpieczeństwa IT - sprawdzę backup, firewall, dostępy i monitoring. Powiem Ci co masz, czego nie masz i co zrobić najpierw. Bez zobowiązań, bez sprzedażowego pitcha. Po prostu lista rzeczy do ogarnięcia.
Przykłady z mojej praktyki
Powiązane artykuły
Najczęstsze pytania
Czy NIS2 dotyczy mojej firmy?
NIS2 dotyczy bezpośrednio średnich i dużych firm (powyżej 50 pracowników lub 10 mln EUR obrotu) z 18 sektorów: energetyka, transport, zdrowie, IT, produkcja, żywność i inne. Ale nawet mniejsze firmy mogą podlegać pośrednio - jeśli jesteś dostawcą lub podwykonawcą firmy objętej NIS2, Twój klient będzie wymagał spełnienia tych samych standardów.
Jakie kary grożą za niespełnienie NIS2?
Kary za niespełnienie wymagań NIS2 sięgają do 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych i do 7 mln EUR lub 1,4% obrotu dla podmiotów ważnych. W przypadkach powtarzających się naruszeń kara może wynieść nawet 100 mln PLN.
Co muszę wdrożyć pod NIS2?
NIS2 wymaga wdrożenia: zarządzania ryzykiem IT, backupu i disaster recovery, monitoringu infrastruktury, kontroli dostępu (MFA, Active Directory), dokumentacji bezpieczeństwa i procedur reagowania na incydenty oraz szkoleń pracowników. Firmy mają 12 miesięcy od wejścia ustawy na wdrożenie zabezpieczeń.
Od kiedy obowiązuje NIS2 w Polsce?
Nowelizację ustawy o KSC (polska implementacja NIS2) Prezydent podpisał 19 lutego 2026 roku, a w życie wchodzi 3 kwietnia 2026 - miesiąc po publikacji w Dzienniku Ustaw. Potem firmy mają 6 miesięcy na samookreślenie (do października 2026), 12 miesięcy na wdrożenie zabezpieczeń (kwiecień 2027) i 24 miesiące na pierwszy audyt (kwiecień 2028).
Źródła
- [1]Ustawa o zmianie ustawy o krajowym systemie cyberbezpieczeństwa (KSC) - Dziennik Ustaw 2026
- [2]Dyrektywa NIS2 - EUR-Lex, Parlament Europejski i Rada UE
- [3]CERT Polska - Raport roczny 2025: 240 000+ incydentów
- [4]Trecom - Ustawa o KSC w 2026: jak polskie prawo wdraża NIS2
- [5]Sisoft - NIS2 Polska: przewodnik dla firm
- [6]Ipso Legal - Nowelizacja UKSC 2026 (NIS2) przewodnik
- [7]T-Mobile Biznes - 7 trendów w cyberbezpieczeństwie na 2026 rok
- [8]Forsal - Cyberbezpieczeństwo firmy w 2026: jak chronić się przed cyberatakami
- [9]PAP Samorząd - Raport: zaledwie 29% firm deklaruje wysoką cyberodporność
- [10]Biuro29 - Cyfrowe bezpieczeństwo MŚP: nowe zagrożenia w 2026
12 lat w IT - od banku, przez Kancelarię Prezydenta RP, do własnej firmy. Outsourcing IT dla firm, które nie mogą sobie pozwolić na przestoje.
Poznaj mnie lepiejPowiązane artykuły
NIS2 weszło w życie - 5 rzeczy do zrobienia w tym tygodniu
3 kwietnia 2026 ustawa weszła w życie. Odebrałem więcej telefonów niż zwykle - właściciele firm pytają: czy mnie to dotyczy? Oto 5 rzeczy, które powinieneś zrobić w tym tygodniu. Z perspektywy informatyka, który już wdrażał to u klientów.
Nowe oszustwa AI 2026 - jak rozpoznać i nie dać się nabrać
Literówki i kanciasta polszczyzna przestały zdradzać oszustów - bo mają teraz AI. Maile są bezbłędne, strony logowania nie do odróżnienia, a głos w słuchawce brzmi jak Twój wspólnik. Jako informatyk z przeszłością w bezpieczeństwie pokazuję trzy sztuczki, na które firmy dają się nabrać w 2026, i konkretnie jak się bronić - tanio i skutecznie.
Phishing w firmie - jak ochronić pracowników i nie stracić danych
W zeszłym roku ratowałem trzy firmy po atakach phishingowych. Księgowa kliknęła link - atakujący miał dostęp do 200 skrzynek. Pokazuję, jak wyglądają prawdziwe ataki, po czym je rozpoznać, co realnie wdrożyć, żeby się chronić, i ile to kosztuje. Z perspektywy informatyka, który wolałby, żebyś nie musiał do niego dzwonić w panice.