Blog · Bezpieczeństwo IT

NIS2 Polska 2026
lista kontrolna IT managera

Q: Od czego zacząć NIS2 gdy mam tylko 2 osoby w IT?

Priorytet 1: Zadania 1-5 (kwalifikacja, przygotowanie do rejestracji w CSIRT NASK, wyznaczenie rzecznika bezpieczeństwa). Priorytet 2: Zadania 6-8 (lista sprzętu, lista aplikacji, systemy krytyczne). Z tym minimum możesz iść do zarządu i uzasadnić budżet na kolejne kroki (MFA, PAM, monitoring). Dokładne terminy rejestracji i harmonogram dopełnienia obowiązków określi polska ustawa implementująca NIS2. Sprawdź aktualny status na rcl.gov.pl i stronach CSIRT NASK.

Q: Czy można użyć Excel jako rejestru aktywów dla NIS2?

Technicznie tak — UKSC nie narzuca konkretnego narzędzia. Praktycznie: Excel jest problematyczny dla audytu (brak auto-skanowania, brak historii zmian, brak API do eksportu). Dla rzetelnego rejestru aktywów warto rozważyć dedykowane narzędzia CMDB (np. ManageEngine AssetExplorer, Endpoint Central, Lansweeper lub Snipe-IT) — automatyczne discovery i historia zmian ułatwiają późniejsze raportowanie do organu nadzorczego.

40 zadań w 12 miesiącach - praktyczna checklista dla firm objętych ustawą UKSC

← Wróć do Bloga

Bezpieczenstwo

Mateusz Roszkiewicz Maj 2026 11 min czytania

Dyrektywa NIS2 (UE 2022/2555). Termin implementacji przez państwa UE minął 17 października 2024. Polska wdrożyła NIS2 ustawą z dnia 3 kwietnia 2026 r. o krajowym systemie cyberbezpieczeństwa (ustawa KSC) — z opóźnieniem względem terminu UE. Kary wynikające z dyrektywy (do 10 mln EUR lub 2% przychodu) obowiązują na mocy polskiej ustawy KSC. Poniżej 40 konkretnych zadań pogrupowanych w 8 obszarów: lista przygotowawcza, którą możesz drukować i brać na spotkanie z kierownictwem.

40 000

firm objętych NIS2 w Polsce

10 mln EUR

kara maksymalna dla podmiotu kluczowego

KSC 2026

polska ustawa wdrażająca NIS2 — ustawa z 3 kwietnia 2026 r. (ustawa KSC)

Kto podlega pod NIS2 - sprawdź zanim przeczytasz dalej

Dyrektywa NIS2 (UE 2022/2555) oraz polska ustawa implementująca — ustawa z dnia 3 kwietnia 2026 r. o krajowym systemie cyberbezpieczeństwa (KSC) — obejmują dwie kategorie podmiotów. Dokładne przepisy zweryfikuj z aktualnym tekstem ustawy KSC:

Podmioty kluczowe: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ściekownictwo, infrastruktura cyfrowa, zarządzanie ICT, przestrzeń kosmiczna. Pułap kary wg dyrektywy: 10 mln EUR lub 2% przychodu rocznego.

Podmioty ważne: usługi pocztowe i kurierskie, gospodarka odpadami, produkcja chemikaliów, produkcja żywności, produkcja sprzętu medycznego, produkcja komputerów i elektroniki, produkcja pojazdów, dostawcy usług cyfrowych (np. hosting, chmura). Pułap kary wg dyrektywy: 7 mln EUR lub 1,4% przychodu rocznego.

Kryterium wielkości wg dyrektywy NIS2: Podmiot kluczowy – 250+ pracowników LUB przychód >50 mln EUR LUB bilans >43 mln EUR. Podmiot ważny – 50–249 pracowników LUB przychód 10–50 mln EUR. Spełnienie kryterium sektora i wielkości powoduje automatyczną kwalifikację. Termin i procedura rejestracji będą określone w polskiej ustawie implementującej. Śledź aktualności na stronach CERT Polska / CSIRT NASK.

Obszar 1 - Kwalifikacja i rejestracja (zadania 1-5)

Zadanie 1 - Ustal czy Twoja firma jest podmiotem kluczowym czy ważnym

Sprawdź załączniki do ustawy UKSC. Kryterium to sektor działalności oraz wielkość firmy. Narzędzie: samodzielna weryfikacja na podstawie kodów PKD + konsultacja prawna dla przypadków granicznych.

Zadanie 2 - Zidentyfikuj dostawców krytycznych i umów bezpieczeństwa

Art. 11 UKSC wymaga oceny zagrożeń w łańcuchu dostaw. Musisz mieć listę dostawców, którzy mają dostęp do systemów krytycznych lub przetwarzają Twoje dane. Dla każdego: weryfikacja certyfikatów bezpieczeństwa, umowy zawierające klauzule o incydentach bezpieczeństwa, zobowiązanie do powiadamiania Cię w ciągu 24 godzin. Checklist: kto ma dostęp administratora do systemów? Którzy dostawcy mogą zarządzać Twoimi backupami?

Zadanie 3 - Wyznacz rzecznika bezpieczeństwa informacji (SPOC)

Art. 18 ust. 2 UKSC wymaga wyznaczenia osoby odpowiedzialnej za System Zarządzania Bezpieczeństwem Informacji (SZBI). To nie musi być dedykowany CISO. Może to być IT manager z rozszerzonym zakresem obowiązków lub adwokat. Wymóg: formalna decyzja zarządu z datą i podpisem, umieszczenie w rejestrze, udostępnienie CSIRT NASK. Osoba ta będzie reprezentować firmę wobec organu nadzoru.

Zadanie 4 - Zarejestruj się w CSIRT NASK zgodnie z wymogami ustawy KSC (obowiązuje od 3 kwietnia 2026 r.)

Brak rejestracji grozi karą niezależnie od braku incydentu. Termin rejestracji zostanie określony w polskiej ustawie implementującej NIS2 (nowelizacja KSC). Sprawdź aktualny status na rcl.gov.pl i stronie CERT Polska. Procedura rejestracji: platforma S46 NASK (https://s46.csirt.gov.pl), zgłoszenie zawiera: NIP, główną siedzibę, sektor wg załącznika do ustawy, kody PKD, imię i nazwisko rzecznika bezpieczeństwa, email i telefon do SPOC. Potwierdzenie rejestracji otrzymasz mailowo.

Zadanie 5 - Uchwała zarządu o polityce bezpieczeństwa informacji

Art. 8 ust. 1 UKSC - wymóg obowiązkowy. Musisz mieć formalną politykę w formie uchwały zarządu, zawierającą minimum: cele i zakresy bezpieczeństwa, role i odpowiedzialności, procesy zarządzania zmianami, procedury raportowania incydentów. Nie musisz zaczynać od zera - jeśli masz ISO 27001, zaktualizuj dokumenty. Data uchwalenia, podpisy, archiwizacja w aktach zarządu - to będzie sprawdzane przy inspekcji.

Obszar 2 - Inwentaryzacja aktywów IT (zadania 6-11)

To jest fundament. Bez aktualnej i kompletnej listy systemów, sprzętu i oprogramowania nie możesz ocenić ryzyka ani zarządzać incydentami.

Zadanie 6 - Pełna inwentaryzacja sprzętu (hardware)

Wymóg art. 14 ust. 1 UKSC. Wymienić wszystkie: komputery stacjonarne i laptopy, serwery, urządzenia sieciowe (switche, routery, firewalle), drukarki i urządzenia mobilne z dostępem do sieci, skanery, systemy VoIP. Dla każdego: producent, model, numer seryjny, data nabycia, wersja oprogramowania systemowego. Narzędzia takie jak ManageEngine AssetExplorer skanują sieć automatycznie - rekomendujemy by każde urządzenie miało tag asset ID w inwentarzu.

Zadanie 7 - Inwentaryzacja oprogramowania i shadow IT

Art. 14 ust. 1 UKSC. Wymienić: wszystkie licencjonowane aplikacje z datami wygaśnięcia, komponenty systemowe i biblioteki (Windows Update, numer buildów, aktualizacje zabezpieczeń), wersje PHP/Java/SQL w użyciu, VPN i dostęp zdalny. Krytyka: shadow IT, czyli aplikacje zainstalowane bez IT. W większości firm przy pierwszej inwentaryzacji pojawia się 20-50 aplikacji, których dział IT nie znał. Aktualizacja inwentarza: co najmniej raz na kwartał.

Zadanie 8-9 - Klasyfikacja systemów i dostępy uprzywilejowane

Art. 15 UKSC wymaga mapy systemów krytycznych. Dla każdego: nazwa, cel biznesowy, właściciel, dział odpowiedzialny, RTO (Recovery Time Objective - w ile godzin system musi być odtworzony), RPO (Recovery Point Objective - ile danych możemy stracić). Dostępy uprzywilejowane: kto konkretnie ma dostęp root/admin do każdego systemu? Czy konta zawierają nazwisko osoby czy są wspólne? Czy są aktywne konta byłych pracowników? Ta sekcja będzie sprawdzana w pierwszej kolejności przy audycie.

Zadanie 10-11 - Urządzenia OT (produkcja, logistyka) i bieżące aktualizacje

Art. 14 ust. 1 UKSC obejmuje też urządzenia OT (Operational Technology). Dotyczy firm produkcyjnych, logistycznych, energetycznych: sterowniki PLC, systemy SCADA, roboty, czytniki RFID, systemy kontroli dostępu. Inwentaryzacja jednorazowa nie wystarczy. Wymóg NIS2 to aktualny rejestr. CMDB (Configuration Management Database) musi być aktualizowana przy każdej dodanej lub zmienionej maszynie. Audytor porówna inwentarz z rzeczywistością. Dodatkowe urządzenie poza rejestrem oznacza niezgodność.

Obszar 3 - Zarządzanie incydentami (zadania 12-17)

NIS2 wprowadza obowiązkowe terminy raportowania. To jest jeden z najtrudniejszych wymogów dla firm, które dotychczas nie miały formalnego procesu zarządzania incydentami.

Zadanie 12-13 - Katalog incydentów i terminy raportowania (24h/72h)

Art. 19 ust. 1-2 UKSC. Definicja incydentu: zdarzenie które faktycznie lub potencjalnie narusza dostępność, integralność lub poufność systemów. Katalog: atak ransomware = poważny, wyciek danych = poważny, niedostępność systemu >1h = poważny, awaria jednej drukarki = nie. Terminy są bezwzględne: powiadomienie wstępne CSIRT NASK (art. 19 ust. 2a) w ciągu 24 godzin od wykrycia. Raport szczegółowy (art. 19 ust. 2) w ciągu 72 godzin. Liczą się godziny zegarowe, nie robocze.

Procedura raportowania w ServiceDesk Plus: Skonfiguruj automatyczne powiadomienie email do rzecznika bezpieczeństwa (SPOC) przy otwieraniu ticketu "Incydent bezpieczeństwa" - szczególnie zawiera: godzinę i minutę otwarcia ticketu, datę limitu (24h od tego momentu), szablon emaila z informacją co trzeba raportu zawierać. System musi rejestrować czy raport trafił do CSIRT na czas.

Zadanie 14-17 - Rejestr, procedury reagowania i plan ciągłości biznesu

Art. 19 ust. 4 UKSC wymaga rejestru incydentów zawierającego: datę i godzinę wykrycia, opis zdarzenia, liczbę dotkniętych danych, podjęte działania, wynik. Procedury reagowania obejmują: role i odpowiedzialności (kto zarządza incydentem, kto informuje zarząd), eskalację i dokumentację. Testy: co najmniej jeden test reagowania na rok, scenariusz "ransomware o godz. 14", kto robi backup, kto powiadamia CSIRT, ile czasu do przywrócenia systemu. Plan BCP (Business Continuity Plan): RTO dla każdego systemu krytycznego, procedura przejścia na backup, testy przejścia minimum raz w roku.

Obszar 4-5 - Zarządzanie ryzykiem i bezpieczeństwo dostępu (zadania 18-27)

Zarządzanie ryzykiem (zadania 18-22)

Art. 16 UKSC wymaga oceny ryzyka. Metodologia: identyfikacja zagrożeń (ransomware, phishing, DDoS, awaria systemu, utrata danych, nieuprawniony dostęp, bezpieczeństwo łańcucha dostaw), ocena prawdopodobieństwa (wysoka/średnia/niska), ocena wpływu (finansowy, operacyjny, reputacyjny), wyznaczenie ryzyka jako prawdopodobieństwo x wpływ, plan mitygacji. Dokument: ocena ryzyka musi być zatwierdzona przez zarząd z datą. Dla systemów krytycznych: skan podatności co najmniej co 3 miesiące (art. 21 ust. 2), raport dla IT managera z priorytetami naprawczych.

Bezpieczeństwo dostępu (zadania 23-27)

Zadanie 23 - MFA (wieloskładnikowe uwierzytelnianie): Art. 22 ust. 1 UKSC wymaga MFA dla wszystkich dostępów zdalnych i systemów krytycznych. Praktyczny plan wdrożenia MFA, PAM i SIEM dla firm 200 pracowników znajdziesz w artykule Zero Trust dla firmy 200 pracowników. Minimum: hasło + kod z aplikacji (Google Authenticator, Microsoft Authenticator) lub SMS. Wyjątek: systemy bez możliwości MFA. W takim przypadku logowanie z wyznaczonego urządzenia ze stałego IP.

Zadanie 24 - Zasada minimalnych uprawnień (Principle of Least Privilege): Art. 22 ust. 2 UKSC. Każdy użytkownik otrzymuje tylko uprawnienia niezbędne do wykonywania swoich obowiązków. Administrator poczty nie powinien mieć dostępu do systemu controlingu. Przegląd uprawnień minimum raz na pół roku - dokumentowanie zmian w raporcie.

Zadanie 25 - PAM (Privileged Access Management): Art. 22 ust. 1 lit. c UKSC. Konta administratorów to główny cel ataków. Wymogi: automatyczna rotacja haseł admin co 90 dni, nagrywanie sesji admin (kto robi co na systemie), zatwierdzanie dostępu admin przez kierownika, logowanie każdej operacji admin do SIEM.

Zadanie 26-27 - Polityka haseł i offboarding: Art. 22 ust. 1 UKSC. Minimalna długość hasła: 12 znaków, zakaz powtórzenia haseł z ostatnich 5, wymiana haseł administratorów co 90 dni. Onboarding/offboarding: nowy pracownik, konto tworzone w ciągu 1 dnia roboczego. Odchodzący pracownik, dostęp dezaktywowany maksymalnie w ciągu jednego dnia roboczego. Procedura: wydruk listy wszystkich dostępów, potwierdzenie usunięcia, archiwizacja listy.

Obszar 6-8 - Monitoring, szkolenia i dokumentacja (zadania 28-40)

Monitoring i wykrywanie zagrożeń (zadania 28-31)

Art. 20 UKSC wymaga monitoringu zdarzeń bezpieczeństwa. Zbieranie logów ze wszystkich systemów (serwery, firewall, Active Directory, bazy danych, aplikacje biznesowe). Korelacja zdarzeń: 5 błędnych prób logowania z różnych IP w ciągu 10 minut generuje alert. Alerty na zdarzenia krytyczne: logowanie pracownika po 22:00, usunięcie dużej liczby plików, zmiana praw dostępu, nowa reguła w firewall. Retencja logów: art. 20 ust. 2 wymaga archiwizacji minimum 12 miesięcy dla systemów krytycznych. Logowanie musi być niemożliwe do modyfikacji retroaktywnej. Log server należy odseparować od systemów produkcyjnych.

Szkolenia i świadomość bezpieczeństwa (zadania 32-35)

Art. 24 UKSC wymaga szkolenia z cyberbezpieczeństwa dla wszystkich pracowników. Wymóg: minimum raz w roku, minimum 2 godziny. Dokumentacja: lista uczestników, daty szkolenia, tematy (phishing, hasła, incident response, RODO). Pracownicy IT powinni mieć szkolenie specjalistyczne raz w roku. Zarząd/kierownictwo: szkolenie z odpowiedzialności NIS2 (kto odpowiada za co, konsekwencje), 1 godzina. Symulacje phishingu co najmniej dwa razy w roku: wysłanie maila z podejrzanym linkiem, sprawdzenie ilu pracowników klika. Raport z wynikami dla kierownictwa.

Dokumentacja i zarządzanie zgodnością (zadania 36-40)

Art. 25 UKSC wymaga dokumentacji. Rejestr aktywów informacyjnych: klasyfikacja każdej bazy danych (krytyczne, ważne, standardowe), właściciel biznesowy, okres przechowywania, procedury tworzenia backupu. Procedury: procesy zarządzania zmianami, procedury testowania systemów, procedury bezpieczeństwa przy przyjęciu nowego pracownika. Umowy z dostawcami krytycznymi: klauzula bezpieczeństwa zawierająca art. 11 UKSC (obowiązki dostawcy), SLA z RTO/RPO, obowiązek powiadomienia o incydentach w ciągu 24h, prawo audytu. Audit wewnętrzny NIS2: przeprowadzić jak najszybciej (przed wejściem w życie krajowej ustawy KSC). Raport powinien zawierać: co jest zrobione, czego brakuje, plan naprawczy z datami. Audytor zewnętrzny: art. 26 UKSC. Organ nadzoru może wymagać audytu zewnętrznego.

ManageEngine a wymagania NIS2 - tabela narzędzi

Szczegółowe wymagania dotyczące patch managementu w NIS2 (Art. 21(2)(e)) omawiamy w osobnym artykule: NIS2 patch management — dokumentacja i plan wdrożenia. Przeczytaj go po zapoznaniu się z poniższą tabelą.

Wymaganie NIS2	Narzędzie ManageEngine	Konkretna funkcja
Inwentaryzacja aktywów (zadania 6-11)	AssetExplorer / SDP Asset Module	Automatyczny skan sieci, CMDB, zarządzanie cyklem życia
Raportowanie incydentów 24h/72h (zadania 12-14)	ServiceDesk Plus	Workflow incydentów bezpieczeństwa, automatyczne powiadomienia
Zarządzanie podatnościami (zadanie 19)	Vulnerability Manager Plus	Automatyczny skan, priorytetyzacja, raport dla managera
Dostęp uprzywilejowany - PAM (zadanie 25)	PAM360	Rotacja haseł, nagrywanie sesji, zatwierdzanie dostępu
Monitoring logów - SIEM (zadanie 28)	Log360	Korelacja zdarzeń, anomalie UEBA, retencja 12+ miesięcy
Monitoring sieci (zadanie 30)	OpManager	Alert przy niedostępności, anomalie ruchu sieciowego
Zarządzanie kontami - IAM (zadania 24, 27)	AD Manager Plus / AD360	Offboarding, przegląd uprawnień, polityka haseł

Najczęściej zadawane pytania - NIS2 Polska 2026

Czy mała firma (60 pracowników) podlega pod NIS2?

Zależy od sektora i wielkości. Art. 6-7 UKSC wyróżnia dwie kategorie: podmiot kluczowy – 250+ pracowników LUB przychód >50 mln EUR (sektory: energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa); podmiot ważny – 50–249 pracowników LUB przychód 10–50 mln EUR (sektory dodatkowe: poczta, odpady, produkcja, żywność, dostawcy cyfrowi). Firma 60-osobowa w sektorze objętym ustawą trafia więc do kategorii podmiot ważny. Firma usługowa B2B spoza wymienionych sektorów nie podlega. Sprawdzenie: kod PKD + liczba pracowników + przychód. Porównaj z załącznikami do UKSC.

Co się stanie jeśli nie spełnię wymagań NIS2 do terminu?

Podmioty kluczowe: kary do 10 mln EUR lub 2% rocznego obrotu (wyższa z kwot). Podmioty ważne: kary do 7 mln EUR lub 1,4% obrotu. Polska implementacja NIS2 (nowelizacja UKSC) może zawierać przepisy przejściowe odraczające stosowanie kar. Dokładne daty i warunki należy zweryfikować z aktualnym tekstem ustawy lub u radcy prawnego specjalizującego się w cyberbezpieczeństwie. Niezależnie od dat kar: rejestracja w CSIRT NASK i wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo mają określone terminy. Nie zwlekaj.

Od czego zacząć NIS2 gdy mam tylko 2 osoby w IT?

Priorytet 1 (jak najszybciej): Zadania 1-5 (kwalifikacja, przygotowanie do rejestracji w CSIRT, wyznaczenie rzecznika bezpieczeństwa). Priorytet 2 (zaraz po): Zadania 6-8 (lista sprzętu, lista aplikacji, systemy krytyczne). Z tym minimum możesz iść do zarządu i uzasadnić budżet na kolejne kroki (MFA, PAM, monitoring). Dokładne terminy rejestracji i harmonogram dopełnienia obowiązków określi polska ustawa implementująca NIS2. Sprawdź aktualny status na rcl.gov.pl i stronach CSIRT NASK.

Czy potrzebuję certyfikatu ISO 27001 dla NIS2?

Nie jest wymagany wprost - UKSC stawia swoje wymagania niezależnie od ISO 27001. Ale wdrożone ISO 27001 znacznie ułatwia: około 70% wymagań NIS2 pokrywa się z kontrolami ISO. Firma mająca certyfikat ma już większość dokumentacji (polityka bezpieczeństwa, zarządzanie ryzykiem, kontrola dostępu, monitorowanie), musi tylko uzupełnić wymagania specyficzne dla NIS2 (np. terminy raportowania 24h/72h, SZBI w uchwale zarządu, rejestracja w CSIRT NASK).

Czy można użyć Excel jako rejestru aktywów dla NIS2?

Technicznie tak. UKSC nie narzuca konkretnego narzędzia. Praktycznie: Excel jest problematyczny dla audytu (brak auto-skanowania, brak historii zmian, brak API do eksportu). Dla rzetelnego rejestru aktywów warto rozważyć dedykowane narzędzia CMDB (np. ManageEngine AssetExplorer, Endpoint Central, Lansweeper lub Snipe-IT). Automatyczne discovery i historia zmian ułatwiają późniejsze raportowanie do organu nadzorczego.

Źródła

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC): nowelizacja implementująca NIS2 w procesie legislacyjnym. Śledź aktualny status na rcl.gov.pl
Dyrektywa NIS2 (EU) 2022/2555 - tekst oficjalny
CSIRT NASK, Platforma S46 - rejestracja podmiotów - procedura rejestracji
ManageEngine, NIS2 Compliance Guide 2026
Zero Trust dla firmy 200 pracowników - jak zacząć
Wdrożenia ManageEngine - ServiceDesk Plus, OpManager, PAM360

Mateusz Roszkiewicz

Head of Sales · Rotech Group · Partner ManageEngine

Bezpłatna ocena gotowości NIS2

Ile z 40 zadań NIS2 masz już zrealizowanych?

W 60 minut ocenimy gotowość Twojej firmy - bez zobowiązań. Przeprowadziliśmy ponad 40 rozmów z IT managerami na temat NIS2. Wiemy co jest pilne, a co może poczekać.

Umów bezpłatną konsultację NIS2 →

← Poprzedni

ManageEngine vs Jira - obiektywne porównanie 2026

Następny →

Jak przekonać zarząd do zakupu systemu ITSM