NIS2 – kogo dotyczy naprawdę? Nowe przepisy, które „zahaczają” o więcej firm, niż myślisz

Wyszukiwarka lubi proste pytania, a my lubimy proste odpowiedzi. Nic dziwnego, że fraza nis2 kogo dotyczy rośnie jak na drożdżach – bo każdy chce szybko ustalić, czy temat jest „o nas”, czy „o innych”. Tyle że NIS2 nie jest testem jednokrotnego wyboru. To raczej mapa powiązań: sektor, skala działalności, rola w gospodarce, a czasem także… to, komu dostarczasz usługi i z kim współpracujesz.
Dyrektywa NIS2 porządkuje wymagania cyberbezpieczeństwa w Unii Europejskiej i mocno akcentuje trzy obszary: zarządzanie ryzykiem, reagowanie na incydenty oraz raportowanie – w konkretnych ramach czasowych. W polskich realiach jej wdrożenie wiąże się z dostosowaniem przepisów krajowych, tak aby obowiązki były spójne z krajowym systemem cyberbezpieczeństwa.
NIS2 kogo dotyczy : podmioty kluczowe i podmioty ważne
Jeśli miałbym wskazać jedno zdanie, które najlepiej ustawia temat, brzmiałoby ono tak: NIS2 dzieli organizacje na podmioty kluczowe i podmioty ważne – i to od tej kwalifikacji zaczyna się cała praktyka zgodności.
W skrócie: regulacje celują w te podmioty, których stabilność wpływa na funkcjonowanie państwa i gospodarki, a więc tam, gdzie cyberatak jest w stanie wywołać efekt domina – od przestojów usług po realne straty po stronie obywateli i firm.
W katalogu sektorów, które pojawiają się w kontekście NIS2, przewijają się m.in. energetyka, transport, bankowość i infrastruktura rynków finansowych, ochrona zdrowia, infrastruktura cyfrowa oraz zarządzanie usługami ICT, a także obszary związane z wodą pitną, ściekami czy odpadami.
Kluczowa jest tu logika: im bardziej dana działalność jest „kręgosłupem” dla innych usług – tym większe prawdopodobieństwo, że znajdzie się w zakresie wymagań.
W praktyce często dotyczy to średnich i dużych organizacji, ale uwaga: wielkość nie jest jedynym filtrem. NIS2 patrzy na znaczenie usług, ich wpływ na ciągłość działania oraz rolę w ekosystemie – dlatego firmy, które dotąd czuły się „poza regulacjami”, mogą odkryć, że jednak stoją w świetle reflektorów.
Jeśli nie jesteś „wprost”, możesz być „przez dostawców” – łańcuch dostaw w NIS2
To jest ten moment, w którym wiele firm podnosi brwi. Bo nawet jeśli nie jesteś podmiotem kluczowym ani ważnym w rozumieniu przepisów, możesz zostać objęty wymaganiami pośrednio – jako element łańcucha dostaw. NIS2 mocno podkreśla konieczność oceny bezpieczeństwa u dostawców i podwykonawców, czyli tam, gdzie dziś najłatwiej o „ciche wejście” do organizacji: przez konto, integrację, zdalny dostęp, zależność od usługi.
W praktyce wygląda to prosto: duże organizacje zaczną pytać swoich partnerów o konkret. Nie o deklaracje „dbamy o bezpieczeństwo”, tylko o procesy i dowody – jak zarządzacie podatnościami, jak reagujecie na incydenty, jak wygląda ochrona stacji roboczych i serwerów, czy robicie testy, czy macie procedury eskalacji.
I nagle temat NIS2 przestaje być „prawniczym newsem”, a staje się wymaganiem handlowym – warunkiem przetargu, umowy albo przedłużenia współpracy.
Dobra wiadomość jest taka, że da się to poukładać bez paniki – pod warunkiem, że nie odkładasz porządków do czasu, aż w skrzynce wyląduje ankieta „na jutro”. Największą pułapką bywa chaos informacyjny: brak centralnej wiedzy o zasobach, brak spójnej ewidencji systemów, brak jasnego właściciela procesu. A NIS2 premiuje podejście procesowe – takie, które działa nie tylko na slajdzie, ale też w poniedziałek o 8:15, gdy ktoś zgłasza podejrzane logowanie.
Obowiązki, terminy i odpowiedzialność: co NIS2 każe mieć gotowe, zanim wydarzy się incydent
NIS2 bardzo wyraźnie rozdziela dwie rzeczy, które w codziennym języku często wrzucamy do jednego worka: awarię IT i incydent bezpieczeństwa. Incydent dotyczy naruszenia poufności, integralności lub dostępności – i realnie wpływa na bezpieczeństwo sieci i informacji albo ciągłość usług.
To rozróżnienie ma praktyczne skutki, bo od niego zależy, czy uruchamiasz ścieżkę raportowania i jak szybko musisz działać formalnie, a nie tylko technicznie.
Do tego dochodzą terminy, których nie da się „dogadać”. Model raportowania w NIS2 jest etapowy: wczesne ostrzeżenie ma pojawić się w ciągu 24 godzin, pełne zgłoszenie do 72 godzin, później możliwe są raporty statusowe na żądanie oraz sprawozdanie końcowe po zakończeniu obsługi incydentu.
Innymi słowy – nawet jeśli Twoi specjaliści potrafią ugasić pożar, organizacja musi jeszcze umieć go opisać, sklasyfikować, udokumentować i przekazać w odpowiednim trybie do właściwych zespołów reagowania.
Ważny jest też akcent na odpowiedzialność kierownictwa. NIS2 wzmacnia rolę zarządu w nadzorze nad cyberbezpieczeństwem i traktuje incydenty jako element planu ciągłości działania, a nie „problem działu IT”.
W praktyce to oznacza konieczność uporządkowania ról, procedur, komunikacji i audytowalności działań – tak, aby w sytuacji kryzysowej nie szukać odpowiedzi na pytanie „kto ma decyzję?”, tylko po prostu działać według znanego scenariusza.
W tym miejscu warto dodać, że przygotowanie do NIS2 to nie wyłącznie polityki i dokumenty. Równie ważne są narzędzia, które wspierają rejestrowanie zgłoszeń, analizę zdarzeń, śledzenie zależności między usługami i zasobami oraz tworzenie spójnej dokumentacji działań – bo właśnie tego oczekują procesy raportowania i oceny ryzyka.
W praktycznym wdrażaniu takich procesów pomaga Infonet Projekt SA – firma stojąca za dwoma rozwiązaniami IT. Pierwsze to OXARI (oxari.com), czyli profesjonalny system klasy ITSM ServiceDesk zgodny z ITIL, który porządkuje obsługę incydentów, ułatwia dokumentowanie działań i wspiera spójne procedury reagowania. Drugie to ITManager (it-man.pl) – oprogramowanie do centralnego zarządzania komputerami, które może wspierać kontrolę środowiska IT, nadzór nad stacjami roboczymi i egzekwowanie standardów, które w NIS2 przestają być „opcją”, a stają się oczekiwanym poziomem dojrzałości operacyjnej.
Jeśli więc pytasz „NIS2 – kogo dotyczy?”, potraktuj to nie jak ciekawostkę legislacyjną, tylko jak test odporności organizacji. Dla jednych to obowiązek wprost – dla innych wymóg z kontraktu, łańcucha dostaw albo oczekiwań klientów. A różnica między firmą, która przechodzi przez to spokojnie, a firmą, która gasi pożar w biegu, zwykle sprowadza się do jednego: czy procesy i narzędzia były gotowe zanim pojawił się incydent.
Ostatnie Artykuły

Kultura nie zwolniła tempa. Siemianowice rozpoczęły wakacje od koncertów i teatru

Grób Józefa Dreyzy zyska znak pamięci. Uroczystość odbędzie się w Siemianowicach

Pierwszy wakacyjny weekend w SCK. Muzyka, karaoke i teatr pod chmurką

Wakacje w Pszczelniku zaczęły się od biegu. Stadion szybko wypełnił się rodzinami

W Siemianowicach Śląskich wakacje ruszą w biegu. Start przy Pszczelniku

Muzyka wraca pod Szyb Krystyn. Osiem piątków z CHILL TIME

Tysiąc eksponatów i duch wolności. Wystawa w Siemianowicach przyciąga uwagę

Upały nasilają uciążliwe zapachy. Urząd prosi o zgłoszenia

Drezyny, ognisko i lawendowe lody. SCK rusza z letnią wycieczką

Józef Skrzek świętuje, a Siemianowice Śląskie słuchają z dumą 🎶

Letnie informatory SCK już rozłożone w mieście. Wakacyjny program jest pod ręką

Wianki, ognisko i śpiew. Seniorzy znów zrobili świętojańską noc na Rzęsie

Letnie Kino Plenerowe wraca na Rzęsę. Pod gwiazdami cztery seanse

65 młodych ambasadorów odebrało statuetki. Siemianowicki sport szkolny ma nowe twarze
Przydatne dane teleadresowe
- Miejska Biblioteka Publiczna im. Anny Szaneckiej w Siemianowicach Śląskich - kontakt, filie, karta biblioteczna
- Szpital Miejski w Siemianowicach Śląskich - kontakt, oddziały, rejestracja i dojazd
- Urząd Stanu Cywilnego w Siemianowicach Śląskich - kontakt, godziny, rejestracja urodzeń i zgonów
- Powiatowy Inspektorat Nadzoru Budowlanego w Siemianowicach Śląskich - kontakt, zgłoszenia, przeglądy
- Delegatura UKE w Siemianowicach Śląskich - kontakt, dojazd i obsługa klienta
- Pływalnia Miejska w Siemianowicach Śląskich - cennik, godziny, atrakcje i dojazd

