Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Wdrożenie NIS2 — poradnik praktyczny 2026

Dyrektywa NIS2 (Network and Information Security Directive 2) to największa zmiana w europejskim prawodawstwie dotyczącym cyberbezpieczeństwa od czasu wprowadze

12 min czytania·Zaktualizowano dzisiaj

Dyrektywa NIS2 (Network and Information Security Directive 2) to największa zmiana w europejskim prawodawstwie dotyczącym cyberbezpieczeństwa od czasu wprowadzenia RODO. Od 18 października 2024 roku państwa członkowskie Unii Europejskiej były zobowiązane do transpozycji przepisów do prawa krajowego, a od 2026 roku trwa faza intensywnych kontroli i egzekwowania zgodności. Polska ustawa o Krajowym Systemie Cyberbezpieczeństwa w znowelizowanej formie obowiązuje od połowy 2025 roku, a pierwsze audyty w podmiotach kluczowych i ważnych już trwają. Jeśli Twoja organizacja nadal nie wdrożyła wymogów NIS2 — ten poradnik przeprowadzi Cię przez proces krok po kroku.

Kogo dotyczy NIS2 — nowy katalog podmiotów

NIS2 radykalnie rozszerza zakres podmiotów objętych regulacją. Podczas gdy pierwotna dyrektywa NIS obejmowała głównie operatorów usług kluczowych i dostawców usług cyfrowych, nowe przepisy wprowadzają dwie główne kategorie: podmioty kluczowe oraz podmioty ważne, łącznie obejmując osiemnaście sektorów gospodarki.

Do podmiotów kluczowych należą przedsiębiorstwa z sektorów: energetyka, transport, bankowość, infrastruktura rynków finansowych, ochrona zdrowia, woda pitna, ścieki, infrastruktura cyfrowa (w tym dostawcy usług chmurowych i centra danych), zarządzanie usługami ICT (B2B), administracja publiczna oraz sektor kosmiczny. Podmioty ważne to m.in. poczta i usługi kurierskie, produkcja i dystrybucja chemikaliów, produkcja żywności, produkcja wyrobów medycznych, produkcja sprzętu elektrycznego i komputerowego, produkcja maszyn, pojazdów samochodowych oraz dostawcy usług cyfrowych — wyszukiwarki, platformy handlowe i sieci społecznościowe.

Reguła wielkości stanowi podstawowe kryterium kwalifikacji: podmioty kluczowe to średnie i duże przedsiębiorstwa (powyżej 50 pracowników i 10 mln EUR obrotu), natomiast podmioty ważne to średnie przedsiębiorstwa w określonych sektorach. Istnieją jednak wyjątki — niektóre podmioty podlegają NIS2 niezależnie od wielkości, np. dostawcy publicznych sieci łączności elektronicznej czy kwalifikowani dostawcy usług zaufania. W polskiej implementacji szacuje się, że obowiązkiem objętych zostanie kilkanaście tysięcy podmiotów, w porównaniu do około dwustu objętych pierwotną ustawą o KSC.

Obowiązki podmiotów — co konkretnie musisz zrobić

NIS2 nakłada na organizacje szereg konkretnych obowiązków w zakresie zarządzania cyberbezpieczeństwem, które znacząco wykraczają poza dotychczasowe wymogi KSC. Oto najważniejsze z nich:

Zarządzanie ryzykiem cyberbezpieczeństwa — musisz wdrożyć podejście oparte na analizie ryzyka, obejmujące polityki bezpieczeństwa, zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw, kontrolę dostępu i kryptografię. To nie są ogólne zalecenia — to skonkretyzowane wymogi, które audytorzy będą weryfikować.

Zgłaszanie incydentów w 24 godziny — podmioty zobowiązane są do wczesnego ostrzegania właściwego CSIRT w ciągu 24 godzin od wykrycia poważnego incydentu. Pełne zgłoszenie musi nastąpić w ciągu 72 godzin, a raport końcowy w ciągu miesiąca. Dla porównania, poprzednia dyrektywa nie precyzowała tak krótkich terminów wczesnego ostrzegania.

Odpowiedzialność zarządu — członkowie organów zarządzających ponoszą osobistą odpowiedzialność za zgodność z NIS2. Muszą przejść specjalistyczne szkolenia z cyberbezpieczeństwa i są zobowiązani do nadzorowania wdrożenia środków bezpieczeństwa. To fundamentalna zmiana — cyberbezpieczeństwo przestaje być wyłącznie domeną działu IT i staje się kwestią zarządczą.

Bezpieczeństwo łańcucha dostaw — NIS2 wymaga, aby podmioty oceniały ryzyko związane z dostawcami i podwykonawcami. Oznacza to konieczność audytowania partnerów biznesowych i wprowadzenia odpowiednich klauzul umownych dotyczących cyberbezpieczeństwa.

Polityka ujawniania podatności — organizacje muszą posiadać procedury przyjmowania i obsługi zgłoszeń o podatnościach. W Polsce rolę koordynatora ujawniania podatności pełni CSIRT NASK.

Kary finansowe — realne ryzyko biznesowe

Sankcje w NIS2 zostały zaprojektowane tak, aby naprawdę bolały. Dla podmiotów kluczowych kara administracyjna może wynieść do 10 milionów EUR lub 2% rocznego przychodu (w zależności od tego, która wartość jest wyższa). Dla podmiotów ważnych górny pułap to 7 milionów EUR lub 1,4% rocznego przychodu. Polska ustawa przewiduje kary nakładane w drodze decyzji administracyjnej przez właściwe organy sektorowe — w tym Prezesa Urzędu Komunikacji Elektronicznej, ministra właściwego do spraw informatyzacji czy ministra obrony narodowej.

W 2026 roku obserwujemy już pierwsze przypadki egzekwowania kar w krajach, które wcześniej zaimplementowały NIS2. Należy podkreślić, że kary nakładane są nie tylko za brak wdrożenia środków bezpieczeństwa, ale również za niezgłoszenie incydentu w wymaganym terminie, brak współpracy z organami nadzoru czy niedopełnienie obowiązku szkoleniowego przez zarząd. Sankcje mogą być również powiązane z odpowiedzialnością karną członków zarządu na podstawie odrębnych przepisów.

Kluczowe ryzyko biznesowe nie ogranicza się jednak do kar administracyjnych — chodzi również o odpowiedzialność cywilną wobec kontrahentów, utratę zaufania klientów i wykluczenie z łańcuchów dostaw dużych przedsiębiorstw, które same muszą spełniać wymogi NIS2.

Harmonogram wdrożenia — etapy, które musisz zaplanować

Rok 2026 to moment, w którym NIS2 jest już w pełni egzekwowane. Organizacje, które dopiero rozpoczynają proces wdrożenia, muszą działać szybko, ale metodycznie. Oto rekomendowany harmonogram:

Etap 1: Analiza luk (2–4 tygodnie). Przeprowadź szczegółowy audyt stanu obecnego w odniesieniu do wymogów NIS2. Skorzystaj z list kontrolnych udostępnionych przez właściwy organ nadzoru sektorowego. Zidentyfikuj dokładnie, które obszary wymagają poprawy — od polityk bezpieczeństwa po techniczne środki ochrony. Rekomendujemy skorzystanie z zewnętrznego audytora, który zapewni obiektywną ocenę.

Etap 2: Opracowanie planu naprawczego i powołanie zespołu (2–4 tygodnie). Na podstawie wyników audytu przygotuj szczegółowy plan działania z priorytetami i terminami. Wyznacz osobę odpowiedzialną za cyberbezpieczeństwo (rola wymagana przez NIS2) i ustanów komitet sterujący pod przewodnictwem członka zarządu.

Etap 3: Wdrożenie środków technicznych i organizacyjnych (8–16 tygodni). To najdłuższy i najbardziej zasobochłonny etap. Obejmuje wdrożenie systemów wykrywania i reagowania na incydenty (EDR, SIEM), hardening infrastruktury, wdrożenie uwierzytelniania wieloskładnikowego (MFA), szyfrowanie danych, segmentację sieci i kontrolę dostępu. Równolegle trzeba opracować i wdrożyć polityki bezpieczeństwa, procedury zgłaszania incydentów, plany ciągłości działania i procedury zarządzania ryzykiem dostawców.

Etap 4: Szkolenia i podnoszenie świadomości (ciągłe). Przeszkol zarząd i kluczowych pracowników. Przeprowadź ćwiczenia symulacyjne reagowania na incydenty. Zaplanuj regularne kampanie zwiększające świadomość cyberbezpieczeństwa w całej organizacji.

Etap 5: Ciągły monitoring i doskonalenie (ciągłe po wdrożeniu). NIS2 nie jest jednorazowym projektem, lecz wymogiem ciągłym. Regularnie testuj skuteczność środków bezpieczeństwa, przeprowadzaj audyty wewnętrzne i aktualizuj dokumentację.

Wyzwania techniczne: EDR, SIEM, MFA i hardening

Wdrożenie NIS2 to w dużej mierze transformacja techniczna. Analizujemy cztery kluczowe obszary techniczne, które stanowią fundament zgodności:

EDR (Endpoint Detection and Response) — systemy wykrywania i reagowania na zagrożenia na punktach końcowych to absolutne minimum w 2026 roku. Tradycyjny antywirus już nie wystarcza. Rozwiązania EDR takie jak Microsoft Defender for Endpoint, CrowdStrike Falcon czy SentinelOne oferują wykrywanie behawioralne, analizę w czasie rzeczywistym i możliwość automatycznej izolacji zainfekowanego endpointu. NIS2 wprost wymaga zdolności wykrywania incydentów — bez EDR spełnienie tego wymogu jest praktycznie niemożliwe.

SIEM (Security Information and Event Management) — centralne zbieranie, korelowanie i analizowanie logów z całej infrastruktury to kolejny filar techniczny. Rozwiązania takie jak Microsoft Sentinel (natywnie chmurowy SIEM w Azure) czy Splunk umożliwiają agregację zdarzeń bezpieczeństwa, wykrywanie anomalii i automatyzację reakcji (SOAR — Security Orchestration, Automation and Response). Ważne: NIS2 wymaga nie tylko posiadania SIEM, ale również odpowiednich kompetencji do jego obsługi — zespół SOC (Security Operations Center) wewnętrzny lub outsourcingowy.

MFA (Multi-Factor Authentication) — uwierzytelnianie wieloskładnikowe to najprostsze i najskuteczniejsze zabezpieczenie przed przejęciem kont. NIS2 wymaga silnego uwierzytelniania dla dostępu do systemów krytycznych i zdalnego dostępu. W 2026 roku standardem są rozwiązania MFA wykorzystujące aplikacje mobilne (Microsoft Authenticator, Google Authenticator), klucze sprzętowe FIDO2 oraz biometrię.

Hardening infrastruktury — utwardzanie konfiguracji serwerów, stacji roboczych, urządzeń sieciowych i usług chmurowych zgodnie z uznanymi standardami (CIS Benchmarks, STIG) to kolejny wymóg NIS2. Obejmuje to m.in. wyłączanie zbędnych usług, egzekwowanie polityk haseł, zarządzanie poprawkami bezpieczeństwa oraz segmentację sieci ograniczającą lateral movement atakującego.

Dokumentacja i polityki — fundament audytu

Jeśli nie jest udokumentowane — nie istnieje. Ta zasada wielokrotnie potwierdziła się podczas audytów ISO 27001 i dokładnie tak samo będzie z NIS2. Dokumentacja jest nieodłącznym elementem zgodności i musi obejmować co najmniej następujące obszary:

  • Polityka bezpieczeństwa informacji — dokument nadrzędny określający cele, zakres i zobowiązania organizacji w obszarze cyberbezpieczeństwa.
  • Procedura zarządzania incydentami — szczegółowa instrukcja postępowania od momentu wykrycia incydentu do jego zamknięcia, z uwzględnieniem terminów raportowania do CSIRT.
  • Plan ciągłości działania i odtwarzania po awarii (BCP/DRP) — opisujący, jak organizacja utrzyma krytyczne funkcje podczas incydentu i jak odtworzy normalne działanie.
  • Procedura zarządzania ryzykiem dostawców — kryteria oceny dostawców, klauzule umowne i harmonogramy audytów.
  • Polityka kontroli dostępu — zasady przyznawania, przeglądania i odbierania uprawnień, w tym zasada najmniejszych uprawnień (least privilege).
  • Procedura zarządzania podatnościami — proces przyjmowania zgłoszeń, priorytetyzacji i łatanek podatności.
  • Rejestr aktywów i klasyfikacja danych — dokładna inwentaryzacja systemów i danych wraz z poziomami krytyczności.
  • Raporty z testów bezpieczeństwa — wyniki testów penetracyjnych, skanów podatności i ćwiczeń reagowania na incydenty.

Wszystkie te dokumenty muszą być regularnie przeglądane i aktualizowane. Organy nadzoru w 2026 roku oczekują, że dokumentacja jest żywym elementem systemu zarządzania, a nie jednorazowym produktem projektu wdrożeniowego.

Rejestracja w NIS2 i współpraca z organami nadzoru

Proces rejestracji w systemie NIS2 jest jednym z pierwszych i najbardziej konkretnych obowiązków administracyjnych. W Polsce za rejestrację i nadzór odpowiadają sektorowe zespoły CSIRT oraz właściwi ministrowie. Oto kluczowe kroki:

Identyfikacja organu właściwego — w zależności od sektora, Twoim organem nadzoru może być minister właściwy do spraw informatyzacji (dla dostawców usług cyfrowych i administracji), Prezes UKE (dla infrastruktury cyfrowej i telekomunikacji), minister właściwy do spraw energii, minister zdrowia lub inny minister sektorowy. Zaktualizowany wykaz organów właściwych wraz z danymi kontaktowymi publikowany jest na stronie Gov.pl w zakładce cyberbezpieczeństwa.

Zgłoszenie do rejestru — podmioty zobowiązane muszą złożyć wniosek rejestracyjny zawierający m.in. dane identyfikacyjne, opis kluczowych usług, informację o osobie odpowiedzialnej za cyberbezpieczeństwo oraz szacunkową ocenę ryzyka. Wzory wniosków dostępne są w systemie teleinformatycznym obsługiwanym przez właściwy organ.

Współpraca bieżąca — po rejestracji podmiot jest zobowiązany do bieżącej współpracy, w tym do przyjmowania kontroli i audytów. Organ nadzoru może przeprowadzać kontrole planowe (co najmniej raz na trzy lata dla podmiotów kluczowych) oraz kontrole doraźne w przypadku podejrzenia naruszeń.

Częste pytania

Czy mała firma (poniżej 50 pracowników) musi wdrażać NIS2?

Co do zasady nie — chyba że działa w sektorze, gdzie wielkość nie ma znaczenia (np. dostawcy publicznych sieci łączności, podmioty świadczące usługi zaufania, dostawcy DNS). Jednak małe firmy będące podwykonawcami podmiotów kluczowych i ważnych będą musiały spełniać wymogi NIS2 w zakresie wynikającym z umów i ocen ryzyka dostawców.

Ile czasu zajmuje pełne wdrożenie NIS2?

Przeciętnie od 4 do 8 miesięcy, w zależności od wielkości organizacji, dojrzałości cyberbezpieczeństwa i dostępnych zasobów. Organizacje z już wdrożonym ISO 27001 mogą skrócić ten proces nawet do 2–3 miesięcy.

Czy NIS2 zastępuje RODO?

Nie. NIS2 i RODO funkcjonują równolegle i są komplementarne. RODO dotyczy ochrony danych osobowych, a NIS2 — cyberbezpieczeństwa systemów i usług. Wiele środków technicznych i organizacyjnych będzie wspólnych dla obu regulacji, ale każda z nich ma odrębny reżim sankcji i odrębne organy nadzoru.

Czy muszę zatrudnić dedykowanego CISO (Chief Information Security Officer)?

NIS2 nie wymaga literalnie stanowiska CISO, ale wymaga wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo. W małych i średnich podmiotach ważnych rolę tę może pełnić obecny kierownik IT po odpowiednim przeszkoleniu. W większych podmiotach kluczowych rekomendowane jest jednak powołanie dedykowanego specjalisty.

Jakie rozwiązania techniczne są absolutnie konieczne do spełnienia NIS2?

Absolutne minimum to: system EDR na wszystkich endpointach, MFA dla dostępu zdalnego i do systemów krytycznych, scentralizowane zarządzanie logami (przynajmniej podstawowa funkcjonalność SIEM), szyfrowanie danych wrażliwych, regularne backupowanie z testowaniem przywracania, zarządzanie poprawkami oraz segmentacja sieci ograniczająca ruch poziomy.

Co grozi za brak zgodności z NIS2?

Finansowo: do 10 mln EUR lub 2% rocznego przychodu dla podmiotów kluczowych; do 7 mln EUR lub 1,4% dla podmiotów ważnych. Operacyjnie: nakaz wstrzymania działalności do czasu usunięcia naruszeń, odpowiedzialność cywilna wobec kontrahentów, osobista odpowiedzialność członków zarządu, a potencjalnie również odpowiedzialność karna.

Czy korzystanie z chmury publicznej (Azure, AWS, Google Cloud) zwalnia z odpowiedzialności za NIS2?

Nie. Model odpowiedzialności współdzielonej (shared responsibility model) oznacza, że dostawca chmurowy odpowiada za bezpieczeństwo infrastruktury chmury, ale to Ty odpowiadasz za bezpieczeństwo w chmurze — konfigurację usług, zarządzanie tożsamościami, kontrolę dostępu, szyfrowanie danych i monitorowanie. Co więcej, dostawcy chmurowi sami podlegają NIS2 jako podmioty kluczowe w sektorze infrastruktury cyfrowej.

Czy polska ustawa o KSC w nowej wersji różni się od unijnej dyrektywy?

Polska ustawa implementuje dyrektywę NIS2, ale zawiera pewne uszczegółowienia — m.in. precyzyjniej określa właściwość organów nadzoru i procedury kontrolne. Jest w pełni spójna z dyrektywą unijną w zakresie głównych wymogów merytorycznych i sankcji. Szczegółowe rozporządzenia wykonawcze do ustawy były systematycznie publikowane w 2025 roku.

Jak NIS2 wpływa na obsługę incydentów typu ransomware?

NIS2 wymusza bardzo szybką reakcję. W przypadku ataku ransomware masz 24 godziny na wczesne ostrzeżenie CSIRT i 72 godziny na szczegółowe zgłoszenie. Musisz również posiadać wcześniej przygotowany plan reagowania na ransomware, w tym decyzję zarządczą dotyczącą płacenia okupu (rekomendowaną praktyką jest niepłacenie i zgłoszenie do organów ścigania).

Czy certyfikacja ISO 27001 jest uznawana na potrzeby NIS2?

Posiadanie certyfikatu ISO 27001 znacząco ułatwia wykazanie zgodności z NIS2, ponieważ wiele wymogów się pokrywa (zarządzanie ryzykiem, polityki, ciągłość działania). Nie oznacza to jednak automatycznej zgodności — NIS2 ma dodatkowe specyficzne wymogi dotyczące np. terminów raportowania incydentów, odpowiedzialności zarządu i bezpieczeństwa łańcucha dostaw, które wykraczają poza ISO 27001. Organy nadzoru traktują ISO 27001 jako mocną przesłankę dobrej wiary, ale nie jako zwolnienie z kontroli.

NIS2 jako przewaga konkurencyjna

Wdrożenie NIS2 to nie tylko obowiązek prawny i koszt — to również realna szansa biznesowa. Organizacje, które szybko i rzetelnie wdrożą wymogi, zyskują istotną przewagę konkurencyjną na kilku poziomach. Po pierwsze, zgodność z NIS2 staje się warunkiem uczestnictwa w przetargach publicznych i kontraktach z dużymi korporacjami, które same podlegają regulacji. Po drugie, klienci końcowi coraz częściej weryfikują poziom cyberbezpieczeństwa swoich dostawców — certyfikacja i zgodność z NIS2 to silny sygnał wiarygodności. Po trzecie, organizacje z dojrzałym systemem cyberbezpieczeństwa realnie zmniejszają ryzyko kosztownych incydentów — średni koszt naruszenia danych w Europie w 2025 roku przekroczył 4,5 miliona EUR, a NIS2-podmioty z wdrożonymi mechanizmami EDR, SIEM i planami reagowania ograniczają czas przestoju średnio o 40%.

Polskie przedsiębiorstwa, które w 2026 roku podejdą do NIS2 strategicznie — nie jako do kolejnego obowiązku administracyjnego, ale jako do fundamentu nowoczesnego zarządzania ryzykiem — nie tylko unikną dotkliwych sankcji, ale zbudują trwałą przewagę rynkową. Cyberbezpieczeństwo w erze NIS2 przestaje być centrum kosztowym IT i staje się elementem przewagi konkurencyjnej organizacji.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Co do zasady nie — chyba że działa w sektorze, gdzie wielkość nie ma znaczenia (np. dostawcy publicznych sieci łączności, podmioty świadczące usługi zaufania, dostawcy DNS). Jednak małe firmy będące podwykonawcami podmiotów kluczowych i ważnych będą musiały spełniać wymogi NIS2 w zakresie wynikającym z umów i ocen ryzyka dostawców.
Przeciętnie od 4 do 8 miesięcy, w zależności od wielkości organizacji, dojrzałości cyberbezpieczeństwa i dostępnych zasobów. Organizacje z już wdrożonym ISO 27001 mogą skrócić ten proces nawet do 2–3 miesięcy.
Nie. NIS2 i RODO funkcjonują równolegle i są komplementarne. RODO dotyczy ochrony danych osobowych, a NIS2 — cyberbezpieczeństwa systemów i usług. Wiele środków technicznych i organizacyjnych będzie wspólnych dla obu regulacji, ale każda z nich ma odrębny reżim sankcji i odrębne organy nadzoru.
NIS2 nie wymaga literalnie stanowiska CISO, ale wymaga wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo. W małych i średnich podmiotach ważnych rolę tę może pełnić obecny kierownik IT po odpowiednim przeszkoleniu. W większych podmiotach kluczowych rekomendowane jest jednak powołanie dedykowanego specjalisty.
Absolutne minimum to: system EDR na wszystkich endpointach, MFA dla dostępu zdalnego i do systemów krytycznych, scentralizowane zarządzanie logami (przynajmniej podstawowa funkcjonalność SIEM), szyfrowanie danych wrażliwych, regularne backupowanie z testowaniem przywracania, zarządzanie poprawkami oraz segmentacja sieci ograniczająca ruch poziomy.
Finansowo: do 10 mln EUR lub 2% rocznego przychodu dla podmiotów kluczowych; do 7 mln EUR lub 1,4% dla podmiotów ważnych. Operacyjnie: nakaz wstrzymania działalności do czasu usunięcia naruszeń, odpowiedzialność cywilna wobec kontrahentów, osobista odpowiedzialność członków zarządu, a potencjalnie również odpowiedzialność karna.
Nie. Model odpowiedzialności współdzielonej (shared responsibility model) oznacza, że dostawca chmurowy odpowiada za bezpieczeństwo infrastruktury chmury, ale to Ty odpowiadasz za bezpieczeństwo w chmurze — konfigurację usług, zarządzanie tożsamościami, kontrolę dostępu, szyfrowanie danych i monitorowanie. Co więcej, dostawcy chmurowi sami podlegają NIS2 jako podmioty kluczowe w sektorze infrastruktury cyfrowej.
Polska ustawa implementuje dyrektywę NIS2, ale zawiera pewne uszczegółowienia — m.in. precyzyjniej określa właściwość organów nadzoru i procedury kontrolne. Jest w pełni spójna z dyrektywą unijną w zakresie głównych wymogów merytorycznych i sankcji. Szczegółowe rozporządzenia wykonawcze do ustawy były systematycznie publikowane w 2025 roku.
NIS2 wymusza bardzo szybką reakcję. W przypadku ataku ransomware masz 24 godziny na wczesne ostrzeżenie CSIRT i 72 godziny na szczegółowe zgłoszenie. Musisz również posiadać wcześniej przygotowany plan reagowania na ransomware, w tym decyzję zarządczą dotyczącą płacenia okupu (rekomendowaną praktyką jest niepłacenie i zgłoszenie do organów ścigania).
Posiadanie certyfikatu ISO 27001 znacząco ułatwia wykazanie zgodności z NIS2, ponieważ wiele wymogów się pokrywa (zarządzanie ryzykiem, polityki, ciągłość działania). Nie oznacza to jednak automatycznej zgodności — NIS2 ma dodatkowe specyficzne wymogi dotyczące np. terminów raportowania incydentów, odpowiedzialności zarządu i bezpieczeństwa łańcucha dostaw, które wykraczają poza ISO 27001. Organy nadzoru traktują ISO 27001 jako mocną przesłankę dobrej wiary, ale nie jako zwolnienie z kontroli.

Czy ten artykuł był pomocny?