Blog · NIS2 · Compliance

NIS2 a patch management
co musi mieć Twój system IT?

Dyrektywa NIS2 wymaga zarządzania podatnościami. Sprawdzamy co dokładnie musi robić Twoja firma.

← Wróć do Bloga
Compliance
Jakub Roszkiewicz Maj 2026 12 min czytania

Dyrektywa NIS2 (Network and Information Security 2) nakłada na firmy w UE realne obowiązki w zakresie bezpieczeństwa IT. Termin implementacji przez państwa członkowskie UE upłynął 17 października 2024. Polska wdrożyła NIS2 ustawą z dnia 3 kwietnia 2026 r. o krajowym systemie cyberbezpieczeństwa (ustawa KSC). Polska implementacja spóźniła się względem terminu UE. Jednym z kluczowych obszarów wymagań NIS2 jest zarządzanie podatnościami i aktualizacjami oprogramowania (patch management). Poniżej omawiamy co dokładnie wymaga dyrektywa i jak ManageEngine Endpoint Central spełnia te wymagania.

10M EUR
maksymalna kara za brak zgodności NIS2 (podmioty kluczowe)
Art. 21(2)(e)
wymóg zarządzania podatnościami w NIS2
48 h
maksymalny czas na patch CVE CVSS >9.0

Kogo dotyczy NIS2?

NIS2 nie dotyczy wszystkich firm - ale patrz uważnie czy Twoja jest na liście.

Sektory krytyczne (wymagania zaostrzane)

  • Energia i paliwa
  • Transport publiczny i drogowy
  • Bankowość, finansowe i ubezpieczeniowe
  • Infrastruktura cyfrowa (data center, DNS, hosting)
  • Opieka zdrowotna (szpitale, przychodnie)
  • Wodociągi i gospodarowanie odpadami

Sektory ważne (wymagania umiarkowane)

  • Usługi pocztowe
  • Produkcja (żywność, chemikalia, farmacja, elektronika)
  • Usługi cyfrowe i SaaS

Progi dotyczące Twojej firmy

Podmioty kluczowe (energetyka, transport, bankowość, infrastruktura cyfrowa itp.): 250+ pracowników LUB przychód >50 mln EUR LUB bilans >43 mln EUR. Kara do 10 mln EUR lub 2% przychodu.

Podmioty ważne (produkcja, usługi pocztowe, gospodarka odpadami itp.): 50–249 pracowników LUB przychód 10–50 mln EUR. Kara do 7 mln EUR lub 1,4% przychodu.

Polska implementacja: Polska wdrożyła NIS2 ustawą z dnia 3 kwietnia 2026 r. o krajowym systemie cyberbezpieczeństwa (ustawa KSC). Termin UE: 17 października 2024 — Polska implementacja spóźniona. Organy nadzoru: ABW, NASK i Prezes Urzędu Komunikacji Elektronicznej.

Ważne: Jeśli jesteś dostawcą usług cyfrowych dla firm publicznych (cloud, hosting, SaaS, integracje), podlegasz NIS2 niezależnie od wielkości. To dotyczy wielu software house'ów i agencji IT w Polsce.

Co NIS2 mówi o patch management?

NIS2 nie mówi "kupisz to narzędzie i będziesz zgodny". Mówi o wymaganiach funkcjonalnych. Artykuł 21(2) wymaga "Środków zarządzania ryzykiem cyberbezpieczeństwa":

Art. 21(2)(e): Zarządzanie podatnościami i ujawnianie podatności

Każdy podmiot musi mieć proces identyfikacji, rejestracji i zarządzania podatnościami w swoim środowisku IT. W praktyce oznacza to:

  • Udokumentowany proces patchowania: polityka w dokumencie, harmonogram, odpowiedzialności
  • Rejestr patchowanych/niespatchowanych systemów: gdzie przechowujesz informacje które patche, na którym systemie, kiedy
  • Skanowanie podatności (CVE): systematyczne szukanie znanych podatności w swoim środowisku
  • SLA na krytyczne patche: art. 21(2)(e) nie mówi dokładnie o czasach, ale inspektor czeka: CVE CVSS >9.0 w max 48 godzin, CVSS 7-9 w max 7 dni, pozostałe w harmonogramie regularnym
  • Dowody wykonania: logi patchowania, raporty (przechowywane min. 3 lata)
  • Procedura wyjątków: dla systemów których nie można patchować musisz mieć dokument z uzasadnieniem technicznym i datą ponownej oceny

Art. 21(2)(a): Polityki analizy ryzyka

Patch management wpisuje się w polityki bezpieczeństwa IT. Musi być częścią całościowej strategii zarządzania ryzykiem, a nie działaniem prowadzonym w oderwaniu.

Art. 21(2)(d): Bezpieczeństwo łańcucha dostaw

To dotyczy Ciebie jeśli pracujesz z dostawcami/partnerami. Ich brak aktualizacji to Twoje ryzyko. Musisz mieć umowy, które zobowiązują dostawcę do regularnego patchowania.

Konkrety których wymaga inspektor NIS2: Przychodzi z czeklistą. Chce zobaczyć politykę patchowania (dokument), rejestr aktywów (co masz w IT), raport podatności, logi patchowania (z datami), procedury dla wyjątków. Jeśli tego nie masz, to nie brak compliance - to naruszenie.

Jak ManageEngine Endpoint Central spełnia NIS2

ManageEngine Endpoint Central (EC) to narzędzie do zarządzania aktualizacjami i podatnościami na Windows, Linux i macOS. Poniżej jak EC konkretnie spełnia każde wymaganie NIS2. Jeśli zarządzasz środowiskiem Windows i korzystasz z WSUS, sprawdź też nasz przewodnik WSUS deprecated — alternatywy patch management.

Wymaganie NIS2Endpoint CentralJak to działa
Rejestr aktywów IT (CMDB)✓ CMDBAutomatyczna inwentaryzacja: agent EC zbiera dane o każdym endpoincie: OS, wersja, zainstalowane aplikacje, sieć
Skanowanie podatności (CVE)✓ Vulnerability ScannerWbudowany skaner porównuje zainstalowane oprogramowanie z bazą CVE. Raport: które podatności, jaki CVSS, które systemy dotknięte
Patch dla CVE CVSS >9.0 w 48h✓ Reguły automatyczneUstawiasz w EC: "Jeśli CVE CVSS >9.0, Deploy patch automatycznie w ciągu do 48h". EC wykonuje bez czekania.
Dowody patchowania (audit log)✓ Niemodyfikowalny audit logKażda akcja patchowania: data, godzina, system, wersja przed, wersja po, status, błędy. Eksport PDF/CSV do audytora.
Wyjątki udokumentowane✓ Waiver ManagementTworzyć wyjątek: "Ten system nie może być patchowany bo XYZ, ponowna ocena 2026-10-15". Log pozostaje w systemie.
Raport dla zarządu/audytora✓ Gotowe szablonyDashboard: ile systemów patchowanych, ile oczekujących, ile zagrożonych. Export raport kwartalny dla zarządu.
Multi-OS (Windows+Linux+macOS)✓ Wszystkie trzyEC obsługuje patche dla wszystkich trzech platform z jednego konsoli.
3rd-party software (np. Adobe, Java, 7-Zip)✓ 850+ aplikacjiEC nie tylko patche OS. Obejmuje 850+ aplikacji: Firefox, Chrome, Zoom, Office, etc.

Plan wdrożenia zgodności NIS2: patch management

Jak przejść od "nie mamy procesu" do "zgodni z NIS2" w praktyce. Plan na 6-8 tygodni:

Tydzień 1-2: Inwentaryzacja

  • Instalacja agenta ManageEngine EC na wszystkich systemach (lub poprzez GPO dla Windows)
  • Automatyczne odkrycie (autodiscovery): EC znajduje systemy w sieci które nie mają agenta
  • Raport: lista wszystkich endpointów, OS, wersje aplikacji
  • Twoja "teczka NIS2" punkt 1: Raport inwentaryzacji (z datą)

Tydzień 3: Baseline podatności

  • Uruchomienie Vulnerability Scanner w EC
  • Raport: ile systemów z podatnościami, rozkład CVSS (Critical/High/Medium/Low)
  • Identyfikacja "szybkich wygranych": podatności które można zalatać pierwsza weekend
  • Twoja "teczka NIS2" punkt 2: Raport podatności PRZED

Tydzień 4-5: Polityka i harmonogram

  • Stworzenie dokumentu "Polityka Patchowania [Nazwa firmy]": zawiera cele, role, harmonogram, SLA, procedury wyjątków
  • Zdefiniowanie grup patchowania w EC: "Serwery krytyczne" (patch w 48h), "Desktop stanowiska" (patch w 7 dni), "Pozostałe" (patch w 30 dni)
  • Ustawienie reguł automatycznych w EC: jeśli CVE CVSS >X.X, deploy do grupy Y w ciągu Z godzin
  • Test na 10% środowiska
  • Twoja "teczka NIS2" punkt 3: Dokument Polityki Patchowania (podpisany przez kierownika IT/CISO)

Tydzień 6-7: Patch krytyczny

  • Wdrożenie wszystkich CVE CVSS >7.0 na wszystkie systemy
  • Monitoring: EC pokazuje w real-time jaki % systemów jest patchowany, które systemy czekają, które błędy
  • Twoja "teczka NIS2" punkt 4: Logi patchowania (eksport z EC, PDF z datami)

Miesiąc 2: Utrzymanie

  • Uruchomienie harmonogramu regularnego: co wtorek patch wszystkie aplikacje, drugie wtorek miesiąca patch OS
  • Comiesięczny raport dla kierownika IT (gdzie zobaczy trendy)
  • Kwartalny raport dla zarządu (ile% systemów aktualne, ile podatności pozostaje)

Kwartał 2: Audyt wewnętrzny

  • Przejrzenie całej "teczki NIS2" pod kątem audytora
  • Symulacja kontroli: pokaż dokumenty, logi, raporty komuś z zewnątrz (audytor wewnętrzny, konsultant)
  • Poprawki

Koszt wdrożenia: ManageEngine Endpoint Central: koszty licencji zaczynają się od ~800 PLN/rok dla 50 systemów. Wdrożenie (konfiguracja, budowa polityki, szkolenie) zazwyczaj 8 000–15 000 PLN. Rotech wdraża EC dla firm w Polsce. Umówmy się na bezpłatną analizę.

Dokumentacja dla audytora NIS2

Kiedy przyjdzie inspektor ABW/NASK, chce zobaczyć tę "teczkę":

1. Polityka zarządzania aktualizacjami

Dokument PDF (min. 2-3 strony) zawierający:

  • Cel: utrzymanie bezpieczeństwa systemów poprzez regularny patch management
  • Zakres: które systemy są objęte (wszystkie endpointy, serwery, aplikacje biznesowe)
  • Role i odpowiedzialności: kto decyduje, kto implementuje, kto kontroluje
  • Harmonogram: "Patche krytyczne w ciągu 48h, wysokie w ciągu 7 dni, pozostałe w ramach okna serwisowego"
  • Procedura wyjątków: "Jeśli system nie może być patchowany ze względów technicznych, tworzy się wyjątek z uzasadnieniem i datą ponownej oceny"
  • Przechowywanie logów: "Logi patchowania przechowywane min. 3 lata"
  • Podpis i data CISO/kierownika IT, zatwierdzenie kierownika (lub zarządu dla dużych firm)

2. Raport inwentaryzacji aktywów

Eksport z ManageEngine EC (lub innego narzędzia): lista wszystkich systemów, OS, zainstalowane oprogramowanie. Może być CSV lub PDF. Ważne: data raportu.

3. Raport podatności PRZED i PO

Dwa raporty: "Stan podatności 2026-04-01" (przed wdrożeniem EC) i "Stan podatności 2026-05-01" (po 4 tygodniach). Pokazuje trend: było 50 vulnerabilities, teraz 12, ryzyk spadło.

4. Logi patchowania

Eksport z EC za ostatnie 3-6 miesięcy (najnowsza praktyka: przechowywać 3 lata). Format: data, system, patch, wersja przed/po, status (success/failed). EC generuje to za jednym klikiem.

5. Lista wyjątków

Dla systemów których nie patchujesz: "System A: serwer dedykowany do aplikacji X, nie może być patchowany bo aplikacja nie wspiera nową OS, ponowna ocena 2026-09-01".

6. Kontakt do CSIRT/odpowiadającego

Kto odpowiada za patch management w firmie, numer telefonu, email. NIS2 wymaga "Punktu Kontaktowego". Może to być ta sama osoba.

Wszystkie te dokumenty generuje lub wspiera ManageEngine EC. Ty piszesz politykę raz, potem co miesiąc klikasz "Eksportuj raport" w EC.

Kary za brak zgodności NIS2

Dyrektywa NIS2 (art. 34–36) określa maksymalne pułapy kar, które państwa członkowskie mają implementować. Kary w Polsce zaczną obowiązywać po wejściu w życie krajowej ustawy implementującej. Śledź aktualny status procesu legislacyjnego na stronach Rządowego Centrum Legislacji (rcl.gov.pl).

Ważne: Do czasu uchwalenia polskiej ustawy implementującej NIS2 bezpośrednie kary wynikające z dyrektywy nie obowiązują w Polsce. Obowiązuje nadal ustawa KSC z 2018 roku. Nie zwalnia to jednak z przygotowania do zgodności. Dokumentacja i procesy wymagają czasu.

Pułapy kar wynikające z dyrektywy NIS2

  • Podmioty kluczowe: grzywna do 10 000 000 EUR lub do 2% globalnego obrotu rocznego (wyższa z kwot)
  • Podmioty kluczowe: odpowiedzialność osobista członków zarządu. Nowość w NIS2: dyrektor IT albo CEO może być pociągnięty do odpowiedzialności
  • Podmioty ważne: grzywna do 7 000 000 EUR lub do 1,4% globalnego obrotu rocznego

Scenariusz szacunkowy

Zakład produkcyjny 200 pracowników, przychód 50M PLN rocznie (sektor produkcji = podmiot ważny). Gdyby kary NIS2 obowiązywały: inspektor ABW znajduje 30 systemów z podatnościami CVSS >9.0, niepatched od ponad 3 miesięcy, brak dokumentu polityki patchowania.

Szacunkowa kara przy pułapie 1,4%: 1,4% × 50M = 700 000 PLN. Plus potencjalna odpowiedzialność osobista kierownika IT.

Koszt wdrożenia EC + polityki: ~12 000 PLN. Niezależnie od dat kar, udokumentowany proces patchowania chroni przed realnym ryzykiem ataków.

Dodatkowe ryzyko: Jeśli brak patchowania prowadzi do ataku (np. ransomware exploita CVE), inspektor może Ciebie winić. Kara gorsza, ale też brak zabezpieczenia = "praktycznie zaprosili hakerów".

Checklista NIS2 patch management

Wydruk to, podpisz jako kierownik IT, przechowuj w teczce NIS2:

Wdrożony system inwentaryzacji aktywów IT — ManageEngine EC, CMDB, lub równoważny
Automatyczne skanowanie podatności (CVE) — uruchamiane minimum co miesiąc
Udokumentowana polityka patchowania — dokument PDF, zatwierdzona przez kierownika, przechowywana min. 3 lata
SLA na patche krytyczne — CVE CVSS >9: 48h, CVSS 7-9: 7 dni, pozostałe: harmonogram regularny (np. drugi wtorek miesiąca)
Logi patchowania przechowywane min. 3 lata — z datami, systemami, wersjami, statusami
Raport kwartalny dla zarządu — % systemów aktualnych, liczba vulnerabilities, trend
Procedura wyjątków dla systemów których nie można patchować — z uzasadnieniem technicznym i datą ponownej oceny
Punkt Kontaktowy CSIRT — kto odpowiada za patch management, numer/email
Umowy z dostawcami wymagające patch management — jeśli pracujesz z serwisantami lub cloud providers
Audyt wewnętrzny min. raz rocznie — przegląd compliance, raport, poprawki

Ta checklista to minimum. Dla firm sektora krytycznego (energia, finanse, infrastruktura) wymagania mogą być bardziej zaostrzane. Konsultuj się z CISO lub konsultantem compliance. Pełną listę 40 zadań dla IT managera znajdziesz w artykule NIS2 lista kontrolna IT managera.

Jakub Roszkiewicz
Jakub Roszkiewicz
CTO · Rotech Group · Implementer ManageEngine
Bezpłatna analiza

Czy Twoja firma jest zgodna z NIS2? Patch management

W 60 minut przeanalizujemy: czy podlegasz NIS2, co Ci brakuje, plan wdrożenia, szacunkowy koszt. Bez zobowiązań.

Zamów bezpłatną analizę NIS2 →
Powiązane artykuły
Compliance
NIS2: lista kontrolna IT Managera [Polska 2026]
Jakub Roszkiewicz · 11 min czytania
Cybersecurity
Zero Trust dla firmy 200 pracowników: praktycznie
Jakub Roszkiewicz · 13 min czytania
Usługa
Endpoint Central: zarządzanie aktualizacjami i podatnościami
Oferta Rotech Group →
← Poprzedni
NIS2: lista kontrolna IT Managera [Polska 2026]
Następny →
Zero Trust dla firmy 200 pracowników: praktycznie
Umów bezpłatną konsultację →