NIS2 – kogo dotyczy naprawdę? Nowe przepisy, które „zahaczają” o więcej firm, niż myślisz

Wyszukiwarka lubi proste pytania, a my lubimy proste odpowiedzi. Nic dziwnego, że fraza nis2 kogo dotyczy rośnie jak na drożdżach – bo każdy chce szybko ustalić, czy temat jest „o nas”, czy „o innych”. Tyle że NIS2 nie jest testem jednokrotnego wyboru. To raczej mapa powiązań: sektor, skala działalności, rola w gospodarce, a czasem także… to, komu dostarczasz usługi i z kim współpracujesz.

Dyrektywa NIS2 porządkuje wymagania cyberbezpieczeństwa w Unii Europejskiej i mocno akcentuje trzy obszary: zarządzanie ryzykiem, reagowanie na incydenty oraz raportowanie – w konkretnych ramach czasowych. W polskich realiach jej wdrożenie wiąże się z dostosowaniem przepisów krajowych, tak aby obowiązki były spójne z krajowym systemem cyberbezpieczeństwa.

NIS2 kogo dotyczy : podmioty kluczowe i podmioty ważne

Jeśli miałbym wskazać jedno zdanie, które najlepiej ustawia temat, brzmiałoby ono tak: NIS2 dzieli organizacje na podmioty kluczowe i podmioty ważne – i to od tej kwalifikacji zaczyna się cała praktyka zgodności.

W skrócie: regulacje celują w te podmioty, których stabilność wpływa na funkcjonowanie państwa i gospodarki, a więc tam, gdzie cyberatak jest w stanie wywołać efekt domina – od przestojów usług po realne straty po stronie obywateli i firm.

W katalogu sektorów, które pojawiają się w kontekście NIS2, przewijają się m.in. energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, infrastruktura cyfrowa oraz zarządzanie usługami ICT, a także obszary związane z wodą pitną, ściekami czy odpadami.

Kluczowa jest tu logika: im bardziej dana działalność jest „kręgosłupem” dla innych usług – tym większe prawdopodobieństwo, że znajdzie się w zakresie wymagań.

W praktyce często dotyczy to średnich i dużych organizacji, ale uwaga: wielkość nie jest jedynym filtrem. NIS2 patrzy na znaczenie usług, ich wpływ na ciągłość działania oraz rolę w ekosystemie – dlatego firmy, które dotąd czuły się „poza regulacjami”, mogą odkryć, że jednak stoją w świetle reflektorów.

Jeśli nie jesteś „wprost”, możesz być „przez dostawców” – łańcuch dostaw w NIS2

To jest ten moment, w którym wiele firm podnosi brwi. Bo nawet jeśli nie jesteś podmiotem kluczowym ani ważnym w rozumieniu przepisów, możesz zostać objęty wymaganiami pośrednio – jako element łańcucha dostaw. NIS2 mocno podkreśla konieczność oceny bezpieczeństwa u dostawców i podwykonawców, czyli tam, gdzie dziś najłatwiej o „ciche wejście” do organizacji: przez konto, integrację, zdalny dostęp, zależność od usługi.

W praktyce wygląda to prosto: duże organizacje zaczną pytać swoich partnerów o konkret. Nie o deklaracje „dbamy o bezpieczeństwo”, tylko o procesy i dowody – jak zarządzacie podatnościami, jak reagujecie na incydenty, jak wygląda ochrona stacji roboczych i serwerów, czy robicie testy, czy macie procedury eskalacji.

I nagle temat NIS2 przestaje być „prawniczym newsem”, a staje się wymaganiem handlowym – warunkiem przetargu, umowy albo przedłużenia współpracy.

Dobra wiadomość jest taka, że da się to poukładać bez paniki – pod warunkiem, że nie odkładasz porządków do czasu, aż w skrzynce wyląduje ankieta „na jutro”. Największą pułapką bywa chaos informacyjny: brak centralnej wiedzy o zasobach, brak spójnej ewidencji systemów, brak jasnego właściciela procesu. A NIS2 premiuje podejście procesowe – takie, które działa nie tylko na slajdzie, ale też w poniedziałek o 8:15, gdy ktoś zgłasza podejrzane logowanie.

Obowiązki, terminy i odpowiedzialność: co NIS2 każe mieć gotowe, zanim wydarzy się incydent

NIS2 bardzo wyraźnie rozdziela dwie rzeczy, które w codziennym języku często wrzucamy do jednego worka: awarię IT i incydent bezpieczeństwa. Incydent dotyczy naruszenia poufności, integralności lub dostępności – i realnie wpływa na bezpieczeństwo sieci i informacji albo ciągłość usług.

To rozróżnienie ma praktyczne skutki, bo od niego zależy, czy uruchamiasz ścieżkę raportowania i jak szybko musisz działać formalnie, a nie tylko technicznie.

Do tego dochodzą terminy, których nie da się „dogadać”. Model raportowania w NIS2 jest etapowy: wczesne ostrzeżenie ma pojawić się w ciągu 24 godzin, pełne zgłoszenie do 72 godzin, później możliwe są raporty statusowe na żądanie oraz sprawozdanie końcowe po zakończeniu obsługi incydentu.

Innymi słowy – nawet jeśli Twoi specjaliści potrafią ugasić pożar, organizacja musi jeszcze umieć go opisać, sklasyfikować, udokumentować i przekazać w odpowiednim trybie do właściwych zespołów reagowania.

Ważny jest też akcent na odpowiedzialność kierownictwa. NIS2 wzmacnia rolę zarządu w nadzorze nad cyberbezpieczeństwem i traktuje incydenty jako element planu ciągłości działania, a nie „problem działu IT”.

W praktyce to oznacza konieczność uporządkowania ról, procedur, komunikacji i audytowalności działań – tak, aby w sytuacji kryzysowej nie szukać odpowiedzi na pytanie „kto ma decyzję?”, tylko po prostu działać według znanego scenariusza.

W tym miejscu warto dodać, że przygotowanie do NIS2 to nie wyłącznie polityki i dokumenty. Równie ważne są narzędzia, które wspierają rejestrowanie zgłoszeń, analizę zdarzeń, śledzenie zależności między usługami i zasobami oraz tworzenie spójnej dokumentacji działań – bo właśnie tego oczekują procesy raportowania i oceny ryzyka.

W praktycznym wdrażaniu takich procesów pomaga Infonet Projekt SA – firma stojąca za dwoma rozwiązaniami IT. Pierwsze to OXARI (oxari.com), czyli profesjonalny system klasy ITSM ServiceDesk zgodny z ITIL, który porządkuje obsługę incydentów, ułatwia dokumentowanie działań i wspiera spójne procedury reagowania. Drugie to ITManager (it-man.pl) – oprogramowanie do centralnego zarządzania komputerami, które może wspierać kontrolę środowiska IT, nadzór nad stacjami roboczymi i egzekwowanie standardów, które w NIS2 przestają być „opcją”, a stają się oczekiwanym poziomem dojrzałości operacyjnej.

Jeśli więc pytasz „NIS2 – kogo dotyczy?”, potraktuj to nie jak ciekawostkę legislacyjną, tylko jak test odporności organizacji. Dla jednych to obowiązek wprost – dla innych wymóg z kontraktu, łańcucha dostaw albo oczekiwań klientów. A różnica między firmą, która przechodzi przez to spokojnie, a firmą, która gasi pożar w biegu, zwykle sprowadza się do jednego: czy procesy i narzędzia były gotowe zanim pojawił się incydent.