← Wróć do Wiedzy Polski software dla EU

NIS2 dla średniej polskiej firmy: czego dyrektywa naprawdę wymaga

Klarowna odpowiedź na to, czego oczekuje od Ciebie regulator i co możesz zrobić w pierwszej kolejności.

29 maja 2026 · Bartek Liszkowski

Kiedy w 2024 weszła unijna dyrektywa NIS2, większość polskich firm średniej wielkości potraktowała ją jak coś, co dotyczy banków i operatorów telekomunikacyjnych. W 2026 to założenie się rozpadło. Wystarczy, że dostarczasz usługi krytyczne dla łańcucha dostaw klienta, który sam jest pod NIS2 — i nagle Ty też jesteś.

Ten artykuł nie zastąpi rozmowy z prawnikiem. Spisałem w nim natomiast to, czego brakowało mi samemu, kiedy niemiecki klient po raz pierwszy zapytał, jak GoIDEA spełnia NIS2. Bez konsultanckiej mgły, w jasnym języku. Co z dyrektywy naprawdę wynika i co możesz zrobić w pierwszej kolejności.

Czym właściwie jest NIS2

NIS2 to unijna dyrektywa o cyberbezpieczeństwie (formalnie 2022/2555), która zastąpiła starszą dyrektywę NIS z 2016. Podnosi i ujednolica wymogi bezpieczeństwa w całej Unii dla firm z sektorów kluczowych i ważnych. Każdy kraj wdraża ją do własnego prawa — w Polsce przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC).

W praktyce dyrektywa nakłada obowiązki w trzech warstwach: zarządzanie ryzykiem, zgłaszanie incydentów w wyznaczonym czasie oraz osobista odpowiedzialność zarządu za jedno i drugie. To ciągły proces, utrzymywany na bieżąco przez cały czas działania firmy.

Kogo NIS2 dotyczy w Polsce

W skrócie: firmy zaliczone do sektorów krytycznych lub ważnych, zatrudniające 50+ osób lub generujące 10+ mln EUR rocznych przychodów. Sektory krytyczne to energia, transport, bankowość, infrastruktura cyfrowa. Ważne to m.in. produkcja, dostawcy usług cyfrowych, sektor pocztowy, gospodarka odpadami.

Drugi punkt zaczepienia jest mniej oczywisty. Jeśli sam nie jesteś pod NIS2, ale dostarczasz oprogramowanie, infrastrukturę albo usługi krytyczne dla firmy, która jest pod NIS2 — kontrahent ma obowiązek zweryfikować, jak Ty zarządzasz cyberbezpieczeństwem. W praktyce: pojawiają się w umowach klauzule, które wymagają od Ciebie tego samego, co od dużego klienta.

Dla średnich firm produkcyjnych z Polski, które sprzedają do Niemiec albo Beneluksu, to jest dziś najszybszy mechanizm wciągnięcia w NIS2. Niemiecki klient nie pyta, czy chcesz się dostosować. Niemiecki klient ma swój dział compliance, który dostał plan i go realizuje.

Czego dyrektywa naprawdę wymaga

NIS2 określa wymagane rezultaty i pozostawia wybór technologii Tobie. Z perspektywy średniej firmy to dziewięć obszarów, które trzeba opisać i utrzymywać.

Polityki analizy ryzyka i bezpieczeństwa systemów. Procedury obsługi incydentów i ich raportowania w 24 godziny od wykrycia. Ciągłość działania (backupy, zarządzanie kryzysem). Bezpieczeństwo łańcucha dostaw — w tym Twoich dostawców oprogramowania. Bezpieczeństwo nabywania, rozwoju i utrzymania systemów IT. Polityki oceny skuteczności środków zarządzania ryzykiem. Edukacja personelu z higieny cyberbezpieczeństwa. Kryptografia tam, gdzie ma sens. Kontrola dostępu i zarządzanie tożsamością.

Dziewięć obszarów. Każdy musi być udokumentowany. Każdy musi mieć osobę odpowiedzialną. Każdy musi być audytowalny.

Co to znaczy dla średniego przedsiębiorstwa w praktyce

Dla większości firm 20-250 osób wdrożenie NIS2 to przede wszystkim praca dokumentacyjna — technologicznie zwykle mają już to, czego trzeba. Większość polskich średnich firm robi większość z tego, co dyrektywa wymaga — tylko nigdzie tego nie spisuje, nigdzie nie testuje i nigdzie nie raportuje.

Najdroższy element wdrożenia NIS2 to zwykle miesiąc pracy na opisanie tego, co już dzieje się w firmie, i pierwszy audyt, który pokaże, czego tak naprawdę brakuje. Sprzęt bywa tu najmniejszym kosztem.

Drugi koszt to dostawcy. Wszystkie umowy z dostawcami systemów, hostingu, oprogramowania będą wymagały aneksów. Większość gotowych SaaS-ów ma takie aneksy w portfolio. Polski lokalny dostawca, który robił dla Ciebie aplikację dziesięć lat temu, prawdopodobnie nie ma. To jest miejsce, w którym wielu klientów dziś rewiduje portfel dostawców.

Jak buduję pod NIS2

Trzy decyzje architektoniczne, które robię od początku każdego projektu, bo i tak idą w stronę zgodności z dyrektywą.

Po pierwsze — wszystko, co buduję, działa w infrastrukturze klienta, nie w mojej. Twoje dane nigdy nie wychodzą poza serwery, które sam kontrolujesz. To rozwiązuje problem łańcucha dostaw NIS2 na poziomie technicznym, zanim się o nim w ogóle zacznie rozmawiać.

Po drugie — logi audytowe prowadzi automatycznie serwer: kto, kiedy, co. Do tego dokładam dowolne audytowanie, którego potrzebujesz lub które wymuszają przepisy. To samo dotyczy kontroli dostępu na poziomie rekordu, nie tylko ekranu.

Po trzecie — dokumentacja powstaje automatycznie, wraz z budową systemu. Klient dostaje gotowy pakiet — w zasadzie może go sam wygenerować z systemu w dowolnej chwili. Tę samą dokumentację można wykorzystać dalej, przy przygotowaniu innych wymaganych dokumentów.

Więcej szczegółów technicznych zebrałem na osobnej podstronie TUTAJ. Jeśli przygotowujesz się do NIS2 albo Twój klient zaczyna pytać — skontaktuj się ze mną. Omówimy, w którym konkretnym miejscu jesteś dziś i co możesz zrobić w pierwszej kolejności.

Pierwszy krok

Zarezerwuj 30 minut. Sam odbieram każdego maila.

Pierwsza rozmowa to dla mnie spokojne rozpoznanie. Sprawdzam, czy w ogóle mogę pomóc. Bez slajdów, bez ponaglania handlowego. Jeśli widzę, że nie pasujemy — mówię od razu.

Wolisz rozmawiać niż pisać? Wybierz termin w kalendarzu — spotykamy się na Zoomie:
Otwórz Cal.com →

Telefon +48 601 789 966 — można dzwonić, też odbieram osobiście.

Podaj imię i nazwę firmy.
Podaj numer telefonu albo adres e-mail.
Wybierz wielkość firmy.
Wybierz branżę.
Napisz krótko, o czym chciałbyś porozmawiać.

Wysłane. Dziękuję.

Odpisuję w jednym dniu roboczym, zwykle szybciej.