NIS2 a oprogramowanie firmowe — checklist gotowości na 2026 rok

NIS2 a oprogramowanie firmowe — checklist gotowości na 2026 rok

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS2 (UE 2022/2555), weszła w życie 3 kwietnia 2026 roku. Dla tysięcy polskich firm oznacza to koniec okresu, w którym cyberbezpieczeństwo było sprawą „do rozważenia" — od teraz to obowiązek prawny, rozliczany sankcjami sięgającymi 10 mln EUR. Jeśli prowadzisz firmę zatrudniającą powyżej 50 pracowników lub działającą w sektorze energetyki, transportu, zdrowia, infrastruktury cyfrowej czy gospodarki ściekowej — NIS2 dotyczy Cię bezpośrednio. Przy wyborze lub aktywacji systemu sprawdź także Microsoft Windows 11 Professional.

Poniższy artykuł to nie ogólny przegląd wymagań — szczegółowy opis samej dyrektywy znajdziesz w naszym przewodniku po NIS2 dla firm. Tutaj otrzymujesz wykonalną checklistę: 36 konkretnych punktów do odhaczenia, podzielonych na cztery obszary wdrożeniowe. Każdy punkt zawiera informację, jakie oprogramowanie lub narzędzie pomoże Ci go zrealizować oraz kto w firmie powinien być za niego odpowiedzialny. Wydrukuj, odhaczaj, działaj. Przy wyborze lub aktywacji systemu sprawdź także klucz Windows 11 Home 239,90 zł.

Kogo dotyczy NIS2 — krótkie przypomnienie

Dyrektywa NIS2 rozszerza zakres podmiotów objętych regulacją cyberbezpieczeństwa z kilkuset do kilkudziesięciu tysięcy organizacji w Polsce. Ustawodawca dzieli je na dwie kategorie: Przy wyborze lub aktywacji systemu sprawdź także Windows 11 Pro z Office 2024 Professional Plus.

• Podmioty kluczowe — duże firmy (250+ pracowników lub obrót roczny > 50 mln EUR) działające w sektorach: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa (dostawcy usług chmurowych, centra danych, dostawcy DNS), zarządzanie usługami ICT (B2B), administracja publiczna i przestrzeń kosmiczna. Bez względu na wielkość — również dostawcy sieci łączności elektronicznej, dostawcy usług zaufania oraz rejestry domen TLD.
• Podmioty ważne — średnie firmy (50–249 pracowników lub obrót roczny 10–50 mln EUR) z tych samych sektorów co podmioty kluczowe, a dodatkowo z sektora produkcji, przetwórstwa i dystrybucji chemikaliów, produkcji żywności, produkcji wyrobów elektrycznych i maszyn, pojazdów, usług pocztowych i kurierskich, gospodarki odpadami oraz badań naukowych.

Nie masz pewności, czy Twoja firma się załapuje? Jeśli zatrudniasz powyżej 50 osób i Twoja branża jest na powyższej liście — zakładaj, że podlegasz. Koszt przygotowania jest wielokrotnie niższy niż ryzyko kary. Przy wyborze lub aktywacji systemu sprawdź także zestaw Windows 11 Pro + Office 2024 Standard.

Sankcje — ile kosztuje brak zgodności

NIS2 wprowadza kary, które mają odstraszać, a nie symbolicznie straszyć. Dla podmiotów kluczowych maksymalna sankcja wynosi 10 mln EUR lub 2% rocznego obrotu (w zależności od tego, która wartość jest wyższa). Dla podmiotów ważnych — 7 mln EUR lub 1,4% rocznego obrotu. Do tego dochodzi odpowiedzialność osobista kadry zarządzającej: to kierownik jednostki (zarząd, prezes) jest zobowiązany do zapewnienia wdrożenia środków bezpieczeństwa i nadzoru nad nimi. Zaniedbanie to nie tylko kara administracyjna — to realne ryzyko odpowiedzialności cywilnej i odszkodowawczej wobec kontrahentów, jeśli incydent dotknie ich danych.

Dla kontekstu: firma o obrocie 50 mln PLN (ok. 12 mln EUR) jako podmiot ważny ryzykuje karą do 7 mln EUR — czyli ponad 30 mln PLN. To kwota, która może zakończyć działalność średniego przedsiębiorstwa. Dlatego checklista poniżej to nie ćwiczenie teoretyczne — to polisa ubezpieczeniowa.

Checklist NIS2 — 36 punktów do odhaczenia

Obszar A: Inwentaryzacja zasobów IT

Nie możesz chronić tego, czego nie zinwentaryzowałeś. Pierwszy obszar to pełna wiedza o zasobach — sprzętowych, programowych i ludzkich. Bez tego każdy kolejny krok będzie niekompletny.

1. Sporządź rejestr wszystkich urządzeń końcowych — komputery stacjonarne, laptopy, serwery, urządzenia sieciowe. Do każdego wpisu przypisz: typ, numer seryjny, system operacyjny, lokalizację, użytkownika. Narzędzie: arkusz kalkulacyjny na start, docelowo system MDM jak Microsoft Intune (w ramach Microsoft 365 Business Standard lub Business Premium). Odpowiedzialny: administrator IT.
2. Stwórz mapę całego oprogramowania — systemy operacyjne, aplikacje biznesowe, narzędzia programistyczne, wtyczki przeglądarek. Uwzględnij wersje, daty końca wsparcia producenta i źródła licencji. Narzędzie: dedykowane skanery inwentaryzacyjne lub funkcja Software Inventory w Microsoft Intune. Odpowiedzialny: administrator IT.
3. Zidentyfikuj „shadow IT" — oprogramowanie i usługi chmurowe używane przez pracowników bez wiedzy i zgody działu IT. To częste źródło wycieków. Narzędzie: Microsoft Defender for Cloud Apps (dawniej MCAS) z licencją Microsoft 365 Business Premium. Odpowiedzialny: kierownik IT.
4. Sklasyfikuj dane według wrażliwości — minimum trzy poziomy: publiczne, wewnętrzne, poufne (dane osobowe, tajemnica handlowa, dane finansowe). Dla każdego poziomu osobne zasady przechowywania, szyfrowania i dostępu. Narzędzie: Microsoft Purview Information Protection (Azure Information Protection). Odpowiedzialny: inspektor ochrony danych (IOD/DPO).
5. Stwórz mapę zależności między systemami — który system łączy się z którym, skąd pobiera dane, gdzie je wysyła. Pozwoli to ocenić promień rażenia ewentualnego incydentu. Narzędzie: diagram sieci + dokumentacja architektury, narzędzia typu ServiceNow CMDB. Odpowiedzialny: architekt IT.
6. Zinwentaryzuj urządzenia mobilne i BYOD — smartfony, tablety i komputery prywatne używane służbowo. Każde to potencjalny punkt wejścia dla atakującego. Narzędzie: Microsoft Intune z polityką MAM (Mobile Application Management). Odpowiedzialny: administrator IT.
7. Opracuj rejestr dostawców i podwykonawców IT — kto ma dostęp do Twoich systemów z zewnątrz, na jakich warunkach, z jakim poziomem uprzywilejowania. Narzędzie: arkusz + klauzule umowne o cyberbezpieczeństwie dostawcy. Odpowiedzialny: dział zakupów + kierownik IT.
8. Przeprowadź audyt kont użytkowników — lista wszystkich kont (lokalnych, domenowych, w chmurze), ich uprawnień i dat ostatniego logowania. Narzędzie: konsola Entra ID (Azure AD) lub PowerShell. Odpowiedzialny: administrator IT.
9. Udokumentuj daty wygaśnięcia licencji — oprogramowanie bez wsparcia producenta (EOL) to luka bezpieczeństwa, której NIS2 nie toleruje. Narzędzie: rejestr licencji, przypomnienia kalendarzowe. Odpowiedzialny: dział zakupów.

Obszar B: Bezpieczeństwo dostępu

Drugi obszar dotyczy kontroli, kto i w jaki sposób dostaje się do firmowych zasobów. Większość incydentów zaczyna się od przejęcia pojedynczego konta — ten obszar to Twoja pierwsza linia obrony.

10. Wdróż uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich kont — bez wyjątków. Hasło + aplikacja Authenticator lub klucz sprzętowy FIDO2 to absolutne minimum. Narzędzie: Microsoft Entra ID MFA (wbudowany w Microsoft 365), lub Microsoft Authenticator jako aplikacja. Odpowiedzialny: administrator IT, decyzja zarządu (obowiązkowość dla wszystkich).
11. Wprowadź politykę silnych haseł — minimum 12 znaków, blokada po 5 nieudanych próbach, zakaz reused password, rotacja co 90 dni tylko dla kont uprzywilejowanych. Narzędzie: Azure AD Password Protection, Windows Hello for Business (biometria zamiast haseł). Odpowiedzialny: administrator IT.
12. Zastosuj zasadę najmniejszych uprawnień (least privilege) — każdy użytkownik dostaje tylko te uprawnienia, które są mu niezbędne do pracy. Żadnych „adminów na wszelki wypadek". Narzędzie: Entra ID Privileged Identity Management (PIM) — nadawanie uprawnień tymczasowych, na żądanie, z automatycznym odbieraniem. Odpowiedzialny: administrator IT.
13. Wdróż kontrolę dostępu opartą na rolach (RBAC) — zdefiniuj role (księgowość, sprzedaż, administracja IT, zarząd) i przypisz do nich zestawy uprawnień. Nowy pracownik dostaje rolę — nie ręcznie konfigurowane uprawnienia. Narzędzie: grupy zabezpieczeń Entra ID + dynamiczne przypisania. Odpowiedzialny: kierownik IT.
14. Regularnie przeglądaj i odbieraj nieaktywne konta — były pracownik, który zachował dostęp, to klasyczny scenariusz naruszenia. Co miesiąc raport kont bez logowania >30 dni. Narzędzie: Access Reviews w Entra ID Governance. Odpowiedzialny: administrator IT + HR.
15. Oddziel konta administracyjne od zwykłych — każdy administrator ma osobne konto do codziennej pracy i osobne konto uprzywilejowane. To żelazna zasada, łamana notorycznie, a sprawdzana podczas audytu NIS2 w pierwszej kolejności. Narzędzie: dedykowane jednostki organizacyjne (OU) w Active Directory. Odpowiedzialny: administrator IT.
16. Zapewnij bezpieczny dostęp zdalny — koniec z RDP wystawionym bezpośrednio do internetu. Obowiązkowo: VPN z MFA lub architektura Zero Trust (Zscaler, Cloudflare Zero Trust). Narzędzie: Microsoft Entra Private Access (substytut VPN w modelu Zero Trust). Odpowiedzialny: administrator sieci.
17. Ogranicz dostęp fizyczny do serwerowni i infrastruktury krytycznej — kontrola dostępu (karty, kody PIN), monitoring CCTV, rejestr wejść. To nie tylko „kłódka na drzwiach" — NIS2 wymaga udokumentowanego systemu kontroli. Odpowiedzialny: kierownik administracyjny.
18. Wdróż logowanie i monitorowanie zdarzeń dostępowych — każde logowanie, zwłaszcza nieudane i na konta uprzywilejowane, musi być rejestrowane i analizowane. Narzędzie: Microsoft Sentinel lub inne SIEM z agregacją logów z Entra ID. Odpowiedzialny: analityk SOC / administrator IT.

Obszar C: Ochrona danych i kopie zapasowe

Trzeci obszar to ochrona danych przed utratą, kradzieżą i zaszyfrowaniem przez ransomware. NIS2 wymaga nie tylko robienia backupów, ale też ich regularnego testowania — backup, z którego nie można odtworzyć danych, jest bezwartościowy.

19. Wdróż regularny backup w modelu 3-2-1 — trzy kopie danych, na dwóch różnych nośnikach, jedna poza siedzibą firmy (off-site). Minimalna częstotliwość: codziennie dla danych krytycznych. Narzędzie: Veeam Backup & Replication, Azure Backup, lub urządzenia NAS z replikacją do chmury. Odpowiedzialny: administrator IT.
20. Szyfruj dane w spoczynku — dyski twarde wszystkich komputerów służbowych, serwery, bazy danych. BitLocker na Windows (wbudowany, darmowy) to absolutne minimum. Narzędzie: BitLocker (Windows), FileVault (macOS), LUKS (Linux), klucze szyfrujące przechowywane w Entra ID lub Active Directory. Odpowiedzialny: administrator IT.
21. Szyfruj dane w transmisji — cały ruch wewnętrzny i zewnętrzny. HTTPS na wszystkich serwisach webowych, TLS 1.2+ dla poczty i komunikacji, VPN szyfrowany. Narzędzie: certyfikaty SSL/TLS, polityki wymuszania HTTPS przez Microsoft Intune. Odpowiedzialny: administrator sieci.
22. Wprowadź politykę klasyfikacji i etykietowania dokumentów — każdy dokument firmowy powinien mieć oznaczenie poziomu wrażliwości (np. „Poufne", „Wewnętrzne", „Publiczne"). Na tej podstawie systemy automatycznie stosują reguły szyfrowania i ograniczenia udostępniania. Narzędzie: Microsoft Purview Information Protection — etykiety wrażliwości w Office 2024 i Microsoft 365. Odpowiedzialny: DPO + administrator IT.
23. Zdefiniuj politykę retencji danych — jak długo przechowujesz jakie dane i kiedy je bezpiecznie usuwasz. Przetrzymywanie niepotrzebnych danych zwiększa powierzchnię ataku i ryzyko przy kontroli RODO. Narzędzie: Microsoft Purview Data Lifecycle Management (retencja + automatyczne usuwanie). Odpowiedzialny: DPO.
24. Wdróż ochronę przed wyciekiem danych (DLP) — system wykrywający i blokujący próby wysłania poufnych danych poza organizację (mail, pendrive, wysyłanie na prywatną chmurę). Narzędzie: Microsoft Purview DLP (wbudowany w Microsoft 365 Business Premium i wyższe). Odpowiedzialny: administrator IT.
25. Stwórz i testuj procedury odzyskiwania po awarii (Disaster Recovery) — scenariusz: siedziba firmy niedostępna, serwery zaszyfrowane, jak wrócić do działania? Ustal Recovery Time Objective (RTO — ile czasu na powrót) i Recovery Point Objective (RPO — ile danych możesz stracić). Narzędzie: dokument DR planu, Azure Site Recovery. Odpowiedzialny: kierownik IT.
26. Testuj przywracanie backupów co najmniej raz na kwartał — nie ma nic gorszego niż odkrycie, że backup jest uszkodzony w momencie, gdy jest potrzebny. Dokumentuj każdy test: data, zakres, wynik, czas przywracania. Narzędzie: procedura testowa + harmonogram. Odpowiedzialny: administrator IT.
27. Segmentuj sieć — oddziel sieć biurową od serwerowej, gościnne Wi-Fi od firmowego, środowisko testowe od produkcyjnego. Minimalizuje to ruch poprzeczny atakującego po przełamaniu pierwszego punktu. Narzędzie: VLAN, firewalle wewnętrzne, segmentacja przez Azure Virtual Network. Odpowiedzialny: administrator sieci.

Obszar D: Reagowanie na incydenty

Czwarty obszar to gotowość na najgorsze. NIS2 zakłada, że incydent się wydarzy — pytanie nie brzmi „czy", ale „kiedy". Musisz mieć przetestowany plan działania, zespół, procedury i narzędzia do wykrywania ataków.

28. Wyznacz formalny zespół reagowania na incydenty (CSIRT wewnętrzny) — konkretne osoby z imienia i nazwiska, z przypisanymi rolami i zastępcami. Zespół musi mieć dostęp do decydentów 24/7. Narzędzie: dokument + lista kontaktowa + kanał komunikacji awaryjnej (np. Signal, osobny numer). Odpowiedzialny: kierownik IT, akceptacja zarządu.
29. Opracuj procedurę zgłaszania incydentów do CSIRT NASK — NIS2 wymaga zgłoszenia poważnego incydentu w ciągu 24 godzin od wykrycia (wczesne ostrzeżenie), a pełnego raportu w ciągu 72 godzin. Przygotuj szablon zgłoszenia zawczasu — nie będziesz nad nim myśleć w środku ataku. Narzędzie: formularz na stronie CSIRT NASK + szablon wewnętrzny. Odpowiedzialny: CSIRT wewnętrzny.
30. Stwórz Plan Ciągłości Działania (BCP) — jak firma działa, gdy kluczowe systemy są niedostępne przez 24h, 48h, tydzień. Którzy klienci są obsługiwani priorytetowo, jakie procesy przełączasz na tryb ręczny, kto podejmuje decyzje. Narzędzie: dokument BCP, aktualizowany co najmniej raz w roku. Odpowiedzialny: kierownik IT + zarząd.
31. Wdróż system monitorowania i wykrywania zagrożeń (SIEM + EDR) — potrzebujesz narzędzia, które w czasie rzeczywistym zbiera logi ze wszystkich systemów, koreluje je i alarmuje o anomaliach. Sam antywirus to za mało — NIS2 oczekuje rozwiązań klasy Endpoint Detection and Response (EDR). Narzędzie: Bitdefender GravityZone Business Security (EDR + ochrona antywirusowa w jednym), Microsoft Defender for Endpoint (wbudowany w Microsoft 365 Business Premium). Odpowiedzialny: analityk bezpieczeństwa / administrator IT.
32. Przeprowadzaj regularne testy penetracyjne — minimum raz w roku dla systemów krytycznych, wykonywane przez zewnętrzny podmiot. Audyt bezpieczeństwa nie może być wewnętrzny — potrzebujesz niezależnej oceny. Narzędzie: współpraca z firmą audytorską. Odpowiedzialny: kierownik IT + dział zakupów.
33. Przygotuj procedurę postępowania po ataku ransomware — krok po kroku: odizolowanie zainfekowanych systemów od sieci (fizyczne odłączenie), powiadomienie CSIRT, decyzja o płaceniu/niepłaceniu okupu (stanowisko polskiego rządu: nie płacić), odtworzenie z backupu, analiza przyczyn i zabezpieczenie dowodów cyfrowych. Narzędzie: dokument procedury + regularne ćwiczenia (tabletop exercise). Odpowiedzialny: CSIRT wewnętrzny.
34. Ustal kanał komunikacji kryzysowej — co mówisz pracownikom, klientom, mediom i regulatorowi w trakcie incydentu. Chaos informacyjny potęguje szkody. Wyznacz jednego rzecznika. Narzędzie: szablony komunikatów, lista kontaktów kryzysowych. Odpowiedzialny: dział komunikacji / PR + zarząd.
35. Prowadź rejestr incydentów i wyciągniętych wniosków — każdy incydent (również ten udaremniony) musi być udokumentowany: data, typ, wektor ataku, skala, podjęte działania, wnioski na przyszłość. NIS2 tego wymaga i będzie to sprawdzane podczas kontroli. Narzędzie: system ticketowy (Jira Service Management, ServiceNow) lub dedykowany rejestr. Odpowiedzialny: CSIRT wewnętrzny.
36. Szkol pracowników z cyberbezpieczeństwa co najmniej raz na pół roku — phishing, inżynieria społeczna, bezpieczne hasła, zgłaszanie podejrzanych maili. Twój najdroższy EDR nie pomoże, jeśli pracownik sam odda hasło przez telefon. Narzędzie: platformy szkoleniowe (KnowBe4, HoxHunt) lub programy symulacji phishingowych zintegrowane z Microsoft 365. Odpowiedzialny: dział HR + administrator IT.

Kto za co odpowiada — macierz odpowiedzialności

Wdrożenie NIS2 to projekt międzywydziałowy. Poniższa tabela podsumowuje podział ról — nie zostawiaj tego wyłącznie działowi IT.

Jakie oprogramowanie realnie potrzebujesz pod NIS2

Minimalny stos technologiczny dla firmy 50–250 pracowników wygląda następująco:

• Tożsamość i dostęp (IAM) — Microsoft Entra ID (dawniej Azure AD) z wymuszeniem MFA. W praktyce: Microsoft 365 Business Standard jako warstwa podstawowa, Business Premium jeśli potrzebujesz Intune, DLP i EDR w jednej subskrypcji. Dla firm bez chmury Microsoft: lokalny Active Directory + serwer federacyjny ADFS z MFA.
• Endpoint Protection (EPP + EDR) — Bitdefender GravityZone (pełny pakiet: antywirus, firewall, EDR, ochrona przed ransomware) dla firm ceniących osobne, dedykowane rozwiązanie bezpieczeństwa. Alternatywnie: Microsoft Defender for Endpoint (Plan 2) dla organizacji już zainwestowanych w ekosystem Microsoft 365.
• Backup i Disaster Recovery — Veeam Backup & Replication (on-premises) + Azure Backup (chmura) lub dedykowane urządzenie backupowe (NAS) z replikacją do drugiej lokalizacji.
• SIEM / monitoring — Microsoft Sentinel (natywna integracja z Entra ID i Microsoft 365) dla firm w chmurze Microsoft. Dla hybrydowych: Splunk, Graylog (open source) lub Wazuh.
• Zarządzanie urządzeniami (MDM/MAM) — Microsoft Intune (część Business Premium lub licencja standalone) do wymuszania polityk bezpieczeństwa na wszystkich urządzeniach — firmowych i prywatnych.

Jeśli kupujesz nowe licencje specjalnie pod NIS2, upewnij się, że sprzedawca wystawia fakturę VAT — licencje na oprogramowanie to koszt uzyskania przychodu, a przy większych zamówieniach amortyzowany jako wartość niematerialna i prawna. Dla firm objętych NIS2 szczególnie istotna jest też legalność licencji — korzystanie z nielegalnego oprogramowania przy jednoczesnym deklarowaniu zgodności z NIS2 to samobójczy paradoks podczas kontroli.

Często zadawane pytania (FAQ)

Czy moja firma na pewno podlega pod NIS2?

Jeśli zatrudniasz 50 lub więcej pracowników (lub masz roczny obrót powyżej 10 mln EUR) i działasz w jednym z sektorów wymienionych w ustawie — podlega Twoja firma jako podmiot ważny. Jeśli zatrudniasz 250+ pracowników (lub obrót > 50 mln EUR) — jesteś podmiotem kluczowym. Sektory objęte NIS2 to m.in. energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, produkcja chemikaliów, produkcja żywności, gospodarka odpadami, usługi pocztowe. Nawet jeśli nie spełniasz progów wielkości, ale jesteś jedynym dostawcą usługi kluczowej w danym regionie — możesz zostać uznany za podmiot kluczowy ze względu na znaczenie społeczne. W razie wątpliwości złóż wniosek interpretacyjny do Ministerstwa Cyfryzacji.

Czy muszę płacić dodatkowe licencje, żeby spełnić wymagania NIS2?

To zależy od Twojego punktu startowego. Jeśli Twoja firma już korzysta z Microsoft 365 Business Premium, większość narzędzi wymaganych przez NIS2 masz w subskrypcji: Intune (MDM), Entra ID P1 (MFA, Conditional Access), Defender for Endpoint (EDR), Purview DLP. Jeśli używasz gołego Office'a bez chmury i zarządzania — tak, czeka Cię inwestycja. Orientacyjnie: dla firmy 100-osobowej roczny koszt licencji Microsoft 365 Business Premium to ok. 2 400–2 800 PLN netto na osobę (2026 r.). Dla porównania: kara za niezgodność z NIS2 może wynieść do 7 mln EUR. Proporcje mówią same za siebie.

Kiedy zaczyna się egzekucja NIS2 w Polsce?

Ustawa weszła w życie 3 kwietnia 2026 roku, ale organy nadzoru (m.in. CSIRT NASK, CSIRT MON, sektorowe zespoły cyberbezpieczeństwa) dają firmom okres przejściowy na dostosowanie — orientacyjnie 6–12 miesięcy od wejścia ustawy. Nie oznacza to, że możesz czekać do ostatniego dnia: kontrole mogą rozpocząć się już jesienią 2026 roku, a w przypadku poważnego incydentu w nieprzygotowanej firmie organy nałożą sankcje niezależnie od „okresu przejściowego". Praktyczna rada: zacznij wdrażanie już teraz, nawet jeśli formalny deadline jest odległy.

Jak udokumentować zgodność z NIS2?

Dokumentacja to połowa sukcesu podczas kontroli. Potrzebujesz: (1) polityki bezpieczeństwa informacji zatwierdzonej przez zarząd, (2) rejestru zasobów IT i ich klasyfikacji, (3) rejestru incydentów, (4) wyników testów penetracyjnych i audytów, (5) logów z backupów i testów przywracania, (6) potwierdzeń szkoleń pracowników, (7) umów z dostawcami zawierających klauzule cyberbezpieczeństwa. Całość powinna być utrzymywana w formie umożliwiającej szybkie przedstawienie podczas kontroli — najlepiej wersja elektroniczna z indeksem dokumentów i kontrolą wersji.

Czy MFA z Microsoft Authenticator wystarczy?

Tak, Microsoft Authenticator z weryfikacją przez powiadomienie + kod numeryczny (tzw. number matching) spełnia wymagania NIS2 jako drugi składnik uwierzytelniania. To rozwiązanie jest odporne na ataki MFA fatigue (użytkownik musi przepisać dwucyfrowy kod z ekranu logowania do aplikacji — nie może po prostu kliknąć „Zatwierdź"). Unikaj MFA opartego na SMS — jest podatne na ataki SIM-swap i NIS2 tego nie uznaje za wystarczający poziom bezpieczeństwa. Klucze sprzętowe FIDO2 (np. YubiKey) to najwyższy standard, ale dla większości firm średniej wielkości Authenticator z number matching jest pragmatycznym minimum.

Co się stanie, jeśli nie zdążę wdrożyć NIS2 przed kontrolą?

Konsekwencje zależą od skali zaniedbania. Organ nadzoru może najpierw wydać zalecenia pokontrolne z terminem ich wykonania (np. 30–90 dni). Jeśli firma zignoruje zalecenia lub naruszenia są rażące — nakładana jest administracyjna kara pieniężna. Dodatkowo, w przypadku incydentu, który wyrządził szkodę osobom trzecim, firma naraża się na pozwy cywilne od kontrahentów i klientów. W skrajnym przypadku — dla podmiotów kluczowych — organ może zawiesić lub cofnąć zezwolenie na prowadzenie działalności regulowanej. Nie ryzykuj: lepiej mieć wdrożone 70% checklisty i udokumentowany plan na pozostałe 30%, niż zero i tłumaczyć się „nie wiedzieliśmy".

Podsumowanie — od czego zacząć już jutro

NIS2 to nie kolejny papierowy wymóg — to realna zmiana w zarządzaniu cyberbezpieczeństwem, która dotknie dziesiątki tysięcy polskich firm. Nie próbuj wdrożyć wszystkiego naraz. Zacznij od trzech rzeczy, które możesz zrobić jutro:

• Firma 10–49 osób (sprawdź, czy podlegasz) → złóż wniosek o interpretację do Ministerstwa Cyfryzacji. Równolegle wdróż MFA dla wszystkich kont i aktywuj BitLocker na komputerach.
• Firma 50–249 osób (podmiot ważny) → zacznij od inwentaryzacji (Obszar A) i MFA (Obszar B, punkt 1). Równolegle zamów licencje Microsoft 365 Business Premium lub osobne narzędzia EDR — Bitdefender GravityZone dla firm to dobre rozwiązanie, jeśli nie chcesz wiązać się z ekosystemem Microsoft. Backup 3-2-1 i test odtwarzania masz zrobić w tym kwartale.
• Firma 250+ osób (podmiot kluczowy) → pełny audyt zewnętrzny w ciągu 30 dni. Równolegle: MFA, EDR, SIEM, backup, BCP — checklista w całości. Potrzebujesz dedykowanego analityka bezpieczeństwa lub outsourcingu SOC. Zarząd musi formalnie zatwierdzić politykę bezpieczeństwa i budżet wdrożeniowy.
• Wszyscy → przeczytaj nasz pełny przegląd wymagań NIS2 dla oprogramowania firmowego, żeby zrozumieć szerszy kontekst. A potem wróć do tej checklisty i zacznij odhaczać — od punktu 1.

To nie jest sprint. To maraton, który zaczyna się jutro. Powodzenia.