NIS2 w Polsce — jakie oprogramowanie musi mieć Twoja firma w 2026?

Od 3 kwietnia 2026 roku w Polsce obowiązuje znowelizowana ustawa o krajowym systemie cyberbezpieczeństwa, która wdraża unijną dyrektywę NIS2. Jeśli Twoja firma zatrudnia powyżej 50 pracowników lub generuje obrót przekraczający 10 mln EUR — ten artykuł dotyczy bezpośrednio Ciebie. Kary za nieprzestrzeganie nowych przepisów sięgają 10 milionów euro. Poniżej znajdziesz kompletny przewodnik po wymaganym oprogramowaniu, checklistę zgodności i plan działania krok po kroku.

Co to jest dyrektywa NIS2 i dlaczego dotyczy Twojej firmy?

NIS2 (Network and Information Security Directive 2) to unijna dyrektywa dotycząca cyberbezpieczeństwa, która zastąpiła poprzednią dyrektywę NIS1 z 2016 roku. Została przyjęta przez Parlament Europejski i Radę UE jako Dyrektywa (UE) 2022/2555 z dnia 14 grudnia 2022 r.

W Polsce NIS2 została wdrożona poprzez nowelizację ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560 z późn. zm.). Znowelizowana ustawa weszła w życie 3 kwietnia 2026 roku, po długim procesie legislacyjnym obejmującym konsultacje publiczne i prace komisji sejmowych.

Dlaczego NIS2 jest ważna dla biznesu?

NIS1 obejmowała stosunkowo wąski krąg podmiotów — głównie operatorów usług kluczowych z sektorów takich jak energia czy transport. NIS2 radykalnie rozszerza zakres podmiotowy i przedmiotowy:

• 18 sektorów gospodarki zamiast dotychczasowych 7
• Kryterium wielkościowe zamiast wyznaczania podmiotów przez państwa członkowskie — każda firma spełniająca kryteria automatycznie podlega dyrektywie
• Odpowiedzialność zarządu — kadra kierownicza ponosi osobistą odpowiedzialność za wdrożenie środków cyberbezpieczeństwa (art. 20 dyrektywy)
• Ujednolicony reżim kar — zbliżony do RODO pod względem surowości
• Obowiązek raportowania incydentów w ściśle określonych ramach czasowych (24h/72h)

Kluczowy jest art. 21 dyrektywy NIS2, który nakłada na podmioty obowiązek wdrożenia „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem". W praktyce oznacza to konkretne wymagania dotyczące oprogramowania — od antywirusa, przez szyfrowanie, po systemy monitoringu i backupu.

Kogo dotyczy NIS2? — lista sektorów

NIS2 dzieli podmioty na dwie kategorie: podmioty kluczowe (essential entities) i podmioty ważne (important entities). Różnią się one poziomem nadzoru i wysokością kar, ale obowiązki w zakresie cyberbezpieczeństwa są analogiczne.

Kryterium wielkościowe (art. 2 dyrektywy): firma podlega NIS2, jeśli:

• Zatrudnia 50 lub więcej pracowników, LUB
• Osiąga roczny obrót lub sumę bilansową powyżej 10 mln EUR

Jakie są kary za nieprzestrzeganie NIS2?

NIS2 wprowadza system kar administracyjnych wzorowany na RODO. Kary różnią się w zależności od kategorii podmiotu:

Osobista odpowiedzialność zarządu

Art. 20 dyrektywy NIS2 nakłada na organy zarządzające (zarząd, radę nadzorczą) bezpośrednią odpowiedzialność za:

• Zatwierdzanie środków zarządzania ryzykiem w cyberbezpieczeństwie
• Nadzorowanie ich wdrażania
• Uczestnictwo w szkoleniach z zakresu cyberbezpieczeństwa

Oznacza to, że w przypadku naruszenia prezes, członkowie zarządu lub dyrektor IT mogą ponieść osobistą odpowiedzialność — łącznie z czasowym zawieszeniem w pełnieniu funkcji kierowniczych. To bezprecedensowe rozwiązanie, które czyni cyberbezpieczeństwo kwestią z poziomu C-suite, a nie tylko działu IT.

Checklist oprogramowania wymaganego przez NIS2

Art. 21 dyrektywy NIS2 wymienia 10 obszarów, w których podmioty muszą wdrożyć środki zarządzania ryzykiem. Poniżej przekładamy te wymogi prawne na konkretne oprogramowanie, które Twoja firma powinna posiadać.

1. Ochrona endpoints — antywirus klasy enterprise

Wymóg NIS2: Art. 21 ust. 2 lit. c — „obsługa incydentów" oraz lit. e — „bezpieczeństwo w procesie nabywania, rozwoju i utrzymywania sieci i systemów informatycznych, w tym obsługa podatności i ich ujawnianie".

W praktyce oznacza to, że każda stacja robocza i serwer w firmie muszą mieć ochronę antywirusową — ale nie byle jaką. NIS2 wymaga centralnego zarządzania bezpieczeństwem, co wyklucza rozwiązania konsumenckie bez konsoli administracyjnej.

Minimalne wymagania:

• Antywirus z centralną konsolą zarządzania (deployment, aktualizacje, polityki)
• Ochrona w czasie rzeczywistym (real-time protection)
• Ochrona przed ransomware i phishingiem
• Raportowanie incydentów (logi bezpieczeństwa do audytu)
• Możliwość wymuszenia polityk na wszystkich urządzeniach

Rekomendowane rozwiązania:

• ESET PROTECT (dawniej ESET Endpoint Security) — polska obsługa, konsola w chmurze lub on-premise, doskonała wykrywalność (nagrody AV-Comparatives). Od 67 zł/rok za urządzenie →
• Norton Small Business — prostsze zarządzanie, idealny dla firm 5-50 stanowisk
• Bitdefender GravityZone — zaawansowana ochrona z EDR (Endpoint Detection and Response)

2. Szyfrowanie danych — BitLocker (Windows Pro/Enterprise)

Wymóg NIS2: Art. 21 ust. 2 lit. h — „polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania".

To jeden z najczęściej pomijanych wymogów, a jednocześnie jeden z najłatwiejszych do spełnienia. Szyfrowanie dysków chroni dane w przypadku kradzieży lub zgubienia laptopa — bez szyfrowania każdy, kto uzyska fizyczny dostęp do dysku, może odczytać wszystkie pliki.

BitLocker to wbudowane narzędzie do szyfrowania dysków w systemie Windows, ale jest dostępne wyłącznie w edycjach Pro i Enterprise. Windows Home nie zawiera BitLockera.

Dlaczego Windows Pro, a nie Home?

Wniosek: Firma podlegająca NIS2 nie może używać Windows Home na żadnym stanowisku roboczym. Brak BitLockera oznacza niespełnienie wymogu szyfrowania, a brak Group Policy uniemożliwia centralne wymuszanie polityk bezpieczeństwa.

★ Windows 11 Professional — 239 zł w KluczeSoft →

3. Backup i odzyskiwanie po incydentach

Wymóg NIS2: Art. 21 ust. 2 lit. c — „ciągłość działania, taka jak zarządzanie kopiami zapasowymi i odzyskiwanie po awarii".

NIS2 nie tylko wymaga posiadania kopii zapasowych — wymaga przetestowanego planu odzyskiwania (disaster recovery). Oznacza to, że musisz nie tylko robić backup, ale regularnie testować, czy jesteś w stanie z niego odtworzyć dane i systemy.

Zasada 3-2-1 (standard branżowy):

• 3 kopie danych (1 oryginał + 2 kopie zapasowe)
• 2 różne nośniki (np. dysk lokalny + chmura)
• 1 kopia offsite (poza siedzibą firmy — np. w chmurze)

Narzędzia:

• Windows Server Backup — wbudowany w Windows Server, bezpłatny, backup na poziomie systemu i plików
• OneDrive for Business (w ramach Microsoft 365) — 1 TB chmury na użytkownika, automatyczna synchronizacja, wersjonowanie plików
• Azure Backup — backup klasy enterprise dla serwerów, maszyn wirtualnych i baz danych
• Veeam Backup — popularne rozwiązanie dla środowisk wirtualnych (VMware, Hyper-V)

★ Microsoft 365 z 1 TB OneDrive — od 199 zł/rok w KluczeSoft →

4. Zarządzanie tożsamością i dostępem (IAM)

Wymóg NIS2: Art. 21 ust. 2 lit. i — „polityki kontroli dostępu i zarządzania zasobami" oraz lit. j — „stosowanie uwierzytelniania wieloskładnikowego lub rozwiązań ciągłego uwierzytelniania".

NIS2 jednoznacznie wymaga wdrożenia MFA (Multi-Factor Authentication) — uwierzytelniania wieloskładnikowego. To pierwszy raz, gdy unijna dyrektywa tak wprost nakazuje stosowanie MFA w sektorze prywatnym.

Kluczowe elementy IAM dla NIS2:

• Active Directory (Windows Server) — centralne zarządzanie kontami użytkowników, grupami, uprawnieniami
• Microsoft Entra ID (dawniej Azure AD) — chmurowe zarządzanie tożsamością, SSO (Single Sign-On)
• MFA — Microsoft Authenticator (bezpłatny z Entra ID), klucze FIDO2, tokeny sprzętowe
• Zasada najmniejszych uprawnień (Principle of Least Privilege) — użytkownicy mają dostęp tylko do zasobów niezbędnych do pracy
• Przeglądy dostępu — regularna weryfikacja, kto ma dostęp do czego (co najmniej raz na kwartał)

Active Directory wymaga Windows Server — jest to de facto standard zarządzania tożsamością w środowiskach Microsoft.

️ Windows Server 2022 Standard — 899 zł w KluczeSoft →

5. Monitoring i raportowanie incydentów

Wymóg NIS2: Art. 23 — obowiązek zgłaszania incydentów w ściśle określonych ramach czasowych:

Aby spełnić te wymogi, musisz mieć system monitoringu, który zbiera, koreluje i alarmuje o zdarzeniach bezpieczeństwa w czasie rzeczywistym.

Narzędzia monitoringu:

• Windows Event Log + przekazywanie zdarzeń — wbudowane w Windows, bezpłatne, ale wymaga centralnego kolektora
• Microsoft Sentinel — chmurowy SIEM (Security Information and Event Management) zintegrowany z ekosystemem Microsoft
• Wazuh — opensource SIEM/XDR, bezpłatny, doskonała alternatywa dla mniejszych firm
• ELK Stack (Elasticsearch, Logstash, Kibana) — opensource, wymaga więcej konfiguracji

Centralny punkt zbierania logów wymaga Windows Server — zarówno dla Windows Event Forwarding, jak i dla WSUS czy Active Directory.

6. Aktualizacje i zarządzanie podatnościami

Wymóg NIS2: Art. 21 ust. 2 lit. e — „bezpieczeństwo w procesie nabywania, rozwoju i utrzymywania sieci i systemów informatycznych, w tym obsługa podatności i ich ujawnianie".

Niezaktualizowane oprogramowanie to najczęstsza przyczyna udanych cyberataków. Według raportu Verizon DBIR 2025, ponad 60% naruszeń wynikało z wykorzystania znanych, ale niezałatanych podatności.

Narzędzia do zarządzania aktualizacjami:

• WSUS (Windows Server Update Services) — wbudowany w Windows Server, bezpłatny, centralne zarządzanie aktualizacjami Windows i produktów Microsoft
• Microsoft Intune — chmurowe zarządzanie urządzeniami (MDM/MAM), automatyczny deployment aktualizacji
• SCCM/MECM (Microsoft Endpoint Configuration Manager) — enterprise, zarządzanie aktualizacjami, oprogramowaniem i compliance

Polityka aktualizacji zgodna z NIS2:

1. Aktualizacje krytyczne: wdrożenie w ciągu 72 godzin od publikacji
2. Aktualizacje ważne: wdrożenie w ciągu 14 dni
3. Regularne skanowanie podatności: co najmniej raz w miesiącu
4. Dokumentowanie procesu aktualizacji (dla audytu)

Microsoft 365 automatycznie aktualizuje aplikacje Office (Word, Excel, Outlook, Teams), co zmniejsza powierzchnię ataku dla jednej z najczęściej używanych kategorii oprogramowania w firmie.

7. Bezpieczna komunikacja — VPN i szyfrowane kanały

Wymóg NIS2: Art. 21 ust. 2 lit. h — „polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania" oraz lit. e — bezpieczeństwo sieci.

Komunikacja firmowa musi być szyfrowana — dotyczy to zarówno e-maili, jak i komunikatorów, wideokonferencji i zdalnego dostępu do zasobów firmowych.

Narzędzia bezpiecznej komunikacji:

• Microsoft Teams (w ramach Microsoft 365) — szyfrowana komunikacja (tekst, głos, wideo), E2EE dla połączeń 1:1
• Outlook z S/MIME lub OME (Office Message Encryption) — szyfrowanie e-maili, podpisy cyfrowe
• VPN — wbudowany klient VPN w Windows 11 Pro (obsługuje IKEv2, L2TP/IPsec, SSTP), serwer VPN w Windows Server (RRAS)
• Always On VPN — automatyczne szyfrowane połączenie z siecią firmową, bez konieczności ręcznego łączenia

8. Szkolenia z cyberhigieny

Wymóg NIS2: Art. 21 ust. 2 lit. g — „podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa" oraz Art. 20 ust. 2 — obowiązek szkolenia kadry zarządzającej.

NIS2 wymaga, aby wszyscy pracownicy przechodzili regularne szkolenia z cyberbezpieczeństwa, a kadra zarządzająca musi uczestniczyć w dedykowanych szkoleniach umożliwiających identyfikację ryzyk i ocenę praktyk zarządzania ryzykiem.

Tematy obowiązkowych szkoleń:

• Rozpoznawanie phishingu i inżynierii społecznej
• Bezpieczne hasła i MFA
• Zasady korzystania z urządzeń mobilnych i pracy zdalnej
• Procedura zgłaszania incydentów
• Bezpieczne korzystanie z poczty elektronicznej i internetu
• Ochrona danych osobowych (powiązanie z RODO)

9. Bezpieczeństwo łańcucha dostaw

Wymóg NIS2: Art. 21 ust. 2 lit. d — „bezpieczeństwo łańcucha dostaw, w tym aspekty dotyczące bezpieczeństwa relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami".

To nowość w stosunku do NIS1. Musisz:

• Oceniać poziom cyberbezpieczeństwa swoich dostawców
• Włączać wymagania bezpieczeństwa do umów z dostawcami
• Monitorować ryzyka związane z łańcuchem dostaw
• Mieć plan reagowania na incydenty u dostawcy

W kontekście oprogramowania oznacza to, że powinieneś kupować licencje od autoryzowanych dystrybutorów, którzy mogą potwierdzić autentyczność i pochodzenie oprogramowania.

10. Dokumentacja i polityki bezpieczeństwa

Wymóg NIS2: Art. 21 ust. 2 lit. a — „polityki analizy ryzyka i bezpieczeństwa systemów informatycznych".

NIS2 wymaga formalnej dokumentacji — nie wystarczy „wiedzieć, co robić". Musisz mieć spisane i zatwierdzone przez zarząd:

• Politykę bezpieczeństwa informacji — nadrzędny dokument
• Procedurę reagowania na incydenty — kto, co, kiedy robi w przypadku naruszenia
• Plan ciągłości działania (BCP) i plan odzyskiwania po awarii (DRP)
• Politykę zarządzania aktywami — inwentaryzacja sprzętu i oprogramowania
• Politykę kontroli dostępu — kto ma dostęp do czego i dlaczego
• Politykę kryptografii — jakie szyfrowanie, gdzie, jak zarządzać kluczami
• Politykę zarządzania podatnościami — jak i kiedy aktualizować
• Regulamin szkoleniowy — częstotliwość, zakres, ewidencja szkoleń

Minimalny zestaw oprogramowania NIS2 dla małej firmy (50–250 osób)

Poniżej znajdziesz praktyczne zestawienie oprogramowania, które spełnia minimalne wymogi NIS2. Ceny dotyczą licencji dostępnych w KluczeSoft.pl — autoryzowanym dystrybutorze oprogramowania Microsoft i ESET.

Jak przygotować firmę do NIS2 — plan działania krok po kroku

Poniższy plan zakłada, że Twoja firma jeszcze nie rozpoczęła przygotowań do NIS2. Realny czas wdrożenia: 3–6 miesięcy w zależności od wielkości organizacji i istniejącej infrastruktury.

Krok 1: Sprawdź, czy Twoja firma podlega NIS2

Zweryfikuj dwa kryteria:

• Sektorowe: Czy Twoja firma działa w jednym z 18 sektorów (tabela powyżej)?
• Wielkościowe: Czy zatrudniasz 50+ pracowników LUB osiągasz obrót/sumę bilansową powyżej 10 mln EUR?

Jeśli oba kryteria są spełnione — podlegasz NIS2. Jeśli jesteś dostawcą podmiotu kluczowego — NIS2 może Cię dotyczyć pośrednio.

Krok 2: Przeprowadź audyt cyberbezpieczeństwa

Zidentyfikuj luki w obecnym stanie zabezpieczeń:

• Inwentaryzacja sprzętu i oprogramowania (co masz, co jest nieaktualne)
• Ocena obecnych środków ochrony (antywirus, firewall, szyfrowanie)
• Przegląd polityk bezpieczeństwa (czy w ogóle istnieją?)
• Test odporności na phishing (symulowana kampania)
• Ocena procedur backupu (czy są testowane?)

Krok 3: Wdróż brakujące oprogramowanie

Na podstawie audytu — zakup i wdróż brakujące elementy:

1. Antywirus z centralnym zarządzaniem na wszystkich stacjach i serwerach
2. Windows Pro (zamiast Home) na wszystkich stanowiskach + włącz BitLocker
3. Windows Server z Active Directory i WSUS
4. Microsoft 365 z OneDrive, Teams i MFA
5. System monitoringu (choćby Wazuh — opensource)

Krok 4: Opracuj wymagane polityki i procedury

Przygotuj dokumentację (art. 21 NIS2):

• Polityka bezpieczeństwa informacji
• Procedura reagowania na incydenty (z wzorami zgłoszeń do CSIRT)
• Plan ciągłości działania (BCP) i odzyskiwania po awarii (DRP)
• Polityka kontroli dostępu
• Polityka kryptografii i szyfrowania
• Polityka zarządzania podatnościami i aktualizacjami

Krok 5: Przeszkol pracowników

NIS2 wymaga „podstawowych praktyk cyberhigieny i szkoleń" (art. 21 ust. 2 lit. g):

• Szkolenie wstępne dla wszystkich pracowników (min. 2h)
• Szkolenie rozszerzone dla kadry zarządzającej (art. 20 ust. 2)
• Regularne szkolenia odświeżające (co 6–12 miesięcy)
• Symulacje phishingowe (test praktyczny)
• Dokumentowanie uczestnictwa (dla audytu)

Krok 6: Wyznacz osobę odpowiedzialną

Wyznacz osobę lub zespół odpowiedzialny za cyberbezpieczeństwo:

• CISO (Chief Information Security Officer) — w większych firmach
• Pełnomocnik ds. cyberbezpieczeństwa — w mniejszych firmach
• Alternatywnie: outsourcing do firmy specjalizującej się w cyberbezpieczeństwie (SOC as a Service)

Krok 7: Zarejestruj się u właściwego organu nadzoru

W Polsce funkcjonują trzy CSIRT-y (Computer Security Incident Response Team):

• CSIRT NASK — dla podmiotów cywilnych (większość firm)
• CSIRT MON — dla podmiotów podlegających Ministrowi Obrony Narodowej
• CSIRT GOV — dla podmiotów administracji rządowej

Rejestracja odbywa się przez system S46 prowadzony przez NASK (Naukowa i Akademicka Sieć Komputerowa).

Krok 8: Testuj i aktualizuj regularnie

NIS2 to nie jednorazowy projekt — to ciągły proces:

• Regularne testy planu DR (odtwarzanie z backupu — co najmniej raz na kwartał)
• Testy penetracyjne (raz w roku)
• Przegląd i aktualizacja polityk (raz w roku lub po każdym incydencie)
• Aktualizacja inwentaryzacji aktywów (po każdej zmianie infrastruktury)
• Ćwiczenia z reagowania na incydenty (tabletop exercises — raz na pół roku)

Najczęściej zadawane pytania o NIS2