Krajobraz cyberbezpieczeństwa wEuropie zmienił się radykalnie. Dyrektywa NIS2 (UE 2022/2555) zostaławdrożona do polskiego porządku prawnego nowelizacją ustawy o krajowym systemiecyberbezpieczeństwa (KSC). Organizacje stoją przed nową erą wymagańregulacyjnych — taką, która dotyczy nie tylko zespołów bezpieczeństwa, lecz samychfundamentów infrastruktury IT. Niezależnie od tego, czy działasz wenergetyce, ochronie zdrowia, produkcji czy usługach cyfrowych, pytanie niebrzmi już czy NIS2 Cię dotyczy, lecz jak głęboko zmieni sposób, wjaki budujesz, monitorujesz i zarządzasz swoimi systemami.

W Altimi współpracujemy zorganizacjami w regionie DACH, Skandynawii i Europie Zachodniej,pomagając im modernizować stosy technologiczne, wzmacniać bezpieczeństwo chmuryi wprowadzać dyscyplinę inżynierską do operacji infrastrukturalnych. Na własneoczy widzieliśmy, jak zmiana regulacyjna może stać się katalizatorem realnychusprawnień — jeśli podejdzie się do niej we właściwy sposób.

Ten artykuł wyjaśnia, czegowymaga NIS2, dlaczego ma znaczenie właśnie dla infrastruktury IT oraz jak Twojaorganizacja może przejść od samej świadomości do faktycznej gotowości.

Czym jest dyrektywa NIS2?

NIS2 to zaktualizowane ramyprawne Unii Europejskiej służące osiągnięciu wysokiego wspólnego poziomucyberbezpieczeństwa we wszystkich państwach członkowskich. Zastępujepierwotną dyrektywę NIS z 2016 roku i radykalnie rozszerza zarówno liczbęobjętych sektorów, jak i liczbę podmiotów zobowiązanych do jej przestrzegania.

Dyrektywa została przyjęta wgrudniu 2022 roku, a państwa członkowskie miały obowiązek wdrożyć ją do prawakrajowego do 17 października 2024 roku. Polska należała do ostatnichpaństw UE, które dokonały transpozycji — nowelizacja ustawy o KSC weszła wżycie dopiero w 2026 roku (więcej w sekcji o wdrożeniu krajowym). Tym samymwymagania materialne są tożsame z NIS2, a polska ustawa dodaje krajową warstwęadministracyjną.

Kluczowe cele NIS2 sąjednoznaczne: podmioty świadczące usługi krytyczne mają utrzymywać solidnepraktyki cyberbezpieczeństwa, niezwłocznie zgłaszać incydenty oraz ponosićodpowiedzialność za swój stan bezpieczeństwa — wyraźnie także na poziomiekierownictwa.

Kogo dotyczy NIS2?

NIS2 obejmuje łącznie 18sektorów, podzielonych na dwie kategorie. W polskiej ustawie organizacjesklasyfikowane jako „podmioty kluczowe” działają w sektorach o wysokiejkrytyczności — energetyka, transport, bankowość, ochrona zdrowia,infrastruktura cyfrowa, woda pitna, ścieki, administracja publiczna, przestrzeńkosmiczna i zarządzanie usługami ICT. „Podmioty ważne” obejmują kolejnesektory krytyczne, takie jak produkcja, produkcja żywności, chemia, usługipocztowe, gospodarka odpadami, dostawcy usług cyfrowych i badania naukowe.

Istotny jest również prógwielkości: regulacja obejmuje zwykle podmioty zatrudniające co najmniej 50osób lub o rocznym obrocie przekraczającym 10 mln euro. Ważny wyjątek wpolskiej ustawie: dostawcy zarządzanych usług bezpieczeństwa (MSSP)podlegają jej już od progu małego przedsiębiorcy (ok. 10 osób i 2 mln euroobrotu) — to znacznie niższy próg niż ogólna zasada NIS2. Ponadto nawet podmiotponiżej progów może trafić w zakres regulacji jako element łańcucha dostawpodmiotu objętego ustawą.

Liczby mówią same za siebie.Komisja Europejska szacuje, że NIS2 obejmuje w całej UE około 160 000podmiotów — dziesięciokrotnie więcej niż około 15 000 objętych pierwotnądyrektywą. Wiele z tych organizacji dopiero teraz uświadamia sobie, że podlegaregulacji.

NIS2 w Polsce: wdrożenie krajowe (nowelizacjaustawy o KSC)

Ponieważ NIS2 jest dyrektywą,wiążącą moc uzyskuje dopiero po transpozycji do prawa krajowego. Dla polskichorganizacji decydująca jest zatem znowelizowana ustawa o krajowym systemiecyberbezpieczeństwa (KSC).

Ustawa z dnia 23 stycznia 2026r. o zmianie ustawy o KSC (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia2026 roku, kończąc wieloletni proces legislacyjny wdrażający NIS2 w Polsce.Organem właściwym w zakresie ogólnego nadzoru jest Ministerstwo Cyfryzacji,a reagowaniem na incydenty zajmują się krajowe zespoły CSIRT (CSIRTNASK, CSIRT GOV, CSIRT MON).

Kluczowym elementem zmian jestobowiązek samoidentyfikacji oraz wpisu do Wykazu podmiotów kluczowych iważnych (Wykaz KSC), realizowany w pełni elektronicznie. Harmonogram, którywarto znać:

Rejestracja w Wykazie KSC —do 3 października 2026 r. (6 miesięcy od spełnienia przesłanek). Aplikacjado samodzielnego wpisu została uruchomiona 7 maja 2026 r.

Wdrożenie systemuzarządzania bezpieczeństwem informacji (SZBI) — do 3 kwietnia 2027 r. (12miesięcy), obejmujące pełny zakres obowiązków wynikających z ustawy.

Pierwszy audytbezpieczeństwa — do 3 kwietnia 2028 r. (dla podmiotów kluczowych, którewcześniej nie były operatorami usług kluczowych).

Polska ustawa nie jest kopiądyrektywy — ustawodawca skorzystał z marginesu swobody i dodał rozwiązaniakrajowe (organy właściwe, procedury, sektory specyficzne, kary). Warto teżpamiętać o współistnieniu z innymi reżimami: dla sektora finansowegobezpośrednio obowiązuje rozporządzenie DORA, a warstwa ochrony danych osobowych(RODO) musi być spójna z SZBI.

Pięć kluczowych wymagań i ich wpływ nainfrastrukturę

NIS2 nakłada dziesięćpodstawowych środków zarządzania ryzykiem (art. 21 dyrektywy). Dla zespołówIT i osób odpowiedzialnych za infrastrukturę szczególnej uwagi wymaga pięćobszarów.

1. Analiza ryzyka i polityki bezpieczeństwa systemów informacyjnych

NIS2 wymaga od organizacjiwdrożenia polityk dotyczących analizy ryzyka i bezpieczeństwa systemówinformacyjnych. To nie ćwiczenie „dla pozoru” — oznacza udokumentowane,regularnie aktualizowane rozumienie krajobrazu zagrożeń Twojej infrastruktury.Czy wiesz, które systemy są wystawione do internetu? Które usługi zależą odktórych komponentów chmury? Gdzie leżą Twoje pojedyncze punkty awarii?

Dla wielu organizacji zaczynasię to od audytu infrastruktury. W Altimi nasze zespoły DevOps i CloudSecurity regularnie przeprowadzają kompleksowe oceny bieżącej infrastruktury— analizując architekturę pod kątem skalowalności, bezpieczeństwa i długutechnicznego — jako pierwszy krok do modernizacji. Bez tej podstawy analizaryzyka jest zgadywaniem.

2. Obsługa, zgłaszanie i reagowanie na incydenty

Jednym z najbardziejwymagających operacyjnie aspektów NIS2 są terminy zgłaszania incydentów.Organizacje muszą przekazać wczesne ostrzeżenie w ciągu 24 godzin odpowzięcia wiadomości o istotnym incydencie, następnie szczegółowe zgłoszenie wciągu 72 godzin, a raport końcowy z analizą przyczyn źródłowych w ciągumiesiąca.

Dotrzymanie tych terminówwymaga więcej niż planu komunikacji kryzysowej. Wymaga infrastrukturyobserwowalności (observability), która wykrywa anomalie niemal w czasierzeczywistym, zautomatyzowanych procedur alarmowania i eskalacji orazprzećwiczonych scenariuszy reagowania na incydenty. Nasze usługi IncidentResponse i SRE są zbudowane dokładnie wokół tego: dyżury 24/7, zdefiniowanemetryki SLI/SLO/SLA, analizy post-mortem i procesy ciągłego doskonalenia, którezamieniają incydenty w okazje do nauki, a nie w powtarzające się awarie.

3. Ciągłość działania, zarządzanie kopiami zapasowymi i odtwarzanie poawarii

NIS2 wyraźnie wymaga środkówzapewniających ciągłość działania, w tym zarządzania kopiami zapasowymi,odtwarzania po awarii i zarządzania kryzysowego. Oznacza to, że Twojainfrastruktura musi być zaprojektowana nie tylko po to, by działać, lecz by odtwarzaćsię szybko i przewidywalnie.

W praktyce przekłada się to na praktykiInfrastructure-as-Code (z użyciem narzędzi takich jak Terraform,CloudFormation czy Pulumi), automatyczną weryfikację kopii zapasowych,udokumentowane plany wycofania zmian i regularne testy odtwarzania po awarii.Nasze usługi Infrastructure Transformation dostarczają dokładnie tegorodzaju inżynierii odporności: projektowanie architektury docelowej, realizacjęmigracji ze szczegółowymi strategiami wycofania oraz wsparcie hyper-care pomigracji, aby potwierdzić, że mechanizmy odtwarzania faktycznie działają podpresją.

4. Bezpieczeństwo łańcucha dostaw

NIS2 wprowadza wymaganie, którewiele organizacji uznaje za trudne: odpowiadasz nie tylko za własnebezpieczeństwo, ale musisz także oceniać i zarządzać bezpieczeństwem swoichdostawców i usługodawców. Dotyczy to dostawców oprogramowania, dostawcówchmury, partnerów świadczących usługi zarządzane oraz każdej zależności odpodmiotów trzecich w Twoim stosie technologicznym.

Dla organizacji korzystającychz outsourcingu rozwoju lub usług zarządzanych oznacza to wybór partnerów,którzy potrafią wykazać dojrzałość w zakresie zgodności. Altimi posiada certyfikatISO 27001 i działa z terytorium UE (zgodnie z RODO), stosując ugruntowanepraktyki bezpieczeństwa obejmujące skanowanie podatności, zarządzanie sekretami(Vault, AWS Secrets Manager), bezpieczeństwo kontenerów (Aqua Security, Snyk) ianalizę jakości kodu (SonarQube). Gdy organ nadzoru zapyta o Twój łańcuchdostaw, Twoi partnerzy technologiczni powinni ułatwić Ci odpowiedź.

5. Polityki i procedury oceny środków cyberbezpieczeństwa

NIS2 wymaga, aby organizacjeposiadały polityki i procedury służące ocenie skuteczności swoich środkówzarządzania ryzykiem. Oznacza to ciągłe monitorowanie zgodności, anie coroczne audyty „odhaczane” dla formalności.

Nasz Program Gotowości doAudytu i Zgodności odpowiada na to bezpośrednio: poprzez analizę lukwzględem wymaganych standardów (ISO 27001, SOC 2, PCI-DSS, RODO), automatyczneraportowanie zgodności i gromadzenie dowodów, audyty próbne i planowaniedziałań naprawczych oraz ciągłe monitorowanie z automatycznym alarmowaniem.Celem jest sprawienie, by zgodność była produktem ubocznym dobrej praktykiinżynierskiej, a nie osobnym strumieniem prac.

Gdzie najczęściej brakuje organizacjom

Z naszego doświadczenia wewspółpracy z europejskimi przedsiębiorstwami najczęstsze luki leżą nie wdokumentach polityk — lecz w infrastrukturze.

Organizacjom często brakuje scentralizowanegologowania i monitorowania, które w ogóle pozwoliłoby wykryć incydent w24-godzinnym oknie zgłoszeniowym. Infrastruktura wdrażana ręcznie, a nieprzez kod, sprawia, że odtwarzanie po awarii jest nieprzewidywalne ipowolne. Kontrole dostępu są niespójne między środowiskami, apoświadczenia produkcyjne bywają udostępniane nieformalnie lub sekretyprzechowywane w niebezpieczny sposób. Brakuje systematycznego podejścia do zarządzaniapodatnościami — łatanie traktuje się jak okazjonalny projekt, a nie ciągłyproces. A środowiska chmurowe rosły organicznie, bez bazowych standardówbezpieczeństwa, pozostawiając źle skonfigurowane zasobniki danych,nadmiernie uprawnione role IAM i nieszyfrowane przepływy danych.

To problemy inżynierskie — iwymagają rozwiązań inżynierskich.

Praktyczna mapa drogowa do gotowości na NIS2

Przygotowanie do NIS2 to niejednorazowy projekt — to ciągłe zobowiązanie do dojrzałościinfrastrukturalnej i operacyjnej. Na podstawie naszej pracy z klientami wregulowanych branżach rekomendujemy podejście etapowe.

Etap 1: Ocena (tygodnie 1–4)

Zacznij od kompleksowejoceny technicznej i organizacyjnej. Zmapuj swoją infrastrukturę,zidentyfikuj krytyczne zasoby i zależności, oceń obecny stan bezpieczeństwawzględem wymagań NIS2 i ustal, czy Twoja organizacja kwalifikuje się jakopodmiot kluczowy czy ważny. Ocena powinna obejmować przegląd architektury,ocenę podatności, aktualność stosu technologicznego i analizę luk zgodności.

Etap 2: Projektowanie i naprawa (tygodnie 5–16)

Na podstawie oceny zaprojektuj architekturędocelową, która zaadresuje zidentyfikowane luki. Zwykle obejmuje towdrożenie lub usprawnienie monitorowania i obserwowalności (Prometheus,Grafana, Kibana), wzmocnienie potoków CI/CD o skanowanie bezpieczeństwa,wdrożenie Infrastructure-as-Code z poprawnym zarządzaniem stanem,ustanowienie polityk zarządzania sekretami i kontroli dostępu,skonfigurowanie automatycznej weryfikacji kopii zapasowych i procedurodtwarzania po awarii oraz udokumentowanie procesów reagowania naincydenty z jasnymi ścieżkami eskalacji.

Etap 3: Eksploatacja i doskonalenie (ciągle)

Zgodność nie jest celem, któryosiąga się raz. NIS2 wymaga ciągłej oceny i doskonalenia. Ten etapobejmuje bieżące usługi zarządzane z określonymi SLA, kwartalne przeglądyinfrastruktury i optymalizację, ciągłe monitorowanie zgodności iautomatyczne raportowanie, regularny chaos engineering i testy odtwarzaniapo awarii oraz okresowe oceny bezpieczeństwa i testy penetracyjne.

Jak Altimi wspiera Twój proces dostosowania doNIS2

Dzięki ponad 20 latomdoświadczenia w dostarczaniu usług DevOps, inżynierii produktowej i usługzarządzanych dla klientów w Europie, Altimi łączy głęboką wiedzę techniczną zpraktycznym rozumieniem unijnych wymagań regulacyjnych.

Nasze portfolio usług jestbezpośrednio dopasowane do potrzeb zgodności z NIS2:

DevOps i bezpieczeństwochmury — modernizacja infrastruktury, wzmacnianie potoków CI/CD,bezpieczeństwo kontenerów i wdrażanie Infrastructure-as-Code w AWS, Azure iGCP.

Site Reliability Engineering(SRE) — reagowanie na incydenty 24/7, zarządzanie SLI/SLO, chaosengineering i automatyczne alarmowanie — operacyjny kręgosłup, którego wymagaNIS2.

Program Gotowości do Audytui Zgodności — analiza luk, wdrażanie kontroli bezpieczeństwa, automatycznegromadzenie dowodów i ciągłe monitorowanie dla ISO 27001, SOC 2, PCI-DSS iRODO.

Usługi audytu aplikacji— kompleksowe audyty techniczne, w tym jakość kodu, przegląd architektury,ocena podatności i ewaluacja OWASP Top 10.

Zgodność i nadzór nad AI— adresowanie styku NIS2, RODO i unijnego AI Act dla organizacji wdrażającychsystemy sztucznej inteligencji.

Team Augmentation(wzmocnienie zespołu) — doświadczeni inżynierowie DevOps, architekcichmury, specjaliści SRE i inżynierowie bezpieczeństwa, którzy integrują siębezpośrednio z Twoimi zespołami.

Jesteśmy niezależnitechnologicznie — pracujemy ze wszystkimi głównymi dostawcami chmury iwspieramy strategie hybrydowe oraz multi-cloud — ponieważ zgodność z NIS2powinna być napędzana Twoimi potrzebami, a nie uzależnieniem od dostawcy.

NIS2 - podsumowanie

NIS2 to nie kolejny wymógzgodności do odhaczenia. To fundamentalna zmiana w tym, jak europejskieorganizacje powinny myśleć o cyberbezpieczeństwie i odporności infrastruktury.Kary za nieprzestrzeganie są znaczące — do 10 mln euro lub 2% rocznegoświatowego obrotu dla podmiotów kluczowych — ale rzeczywisty kosztbezczynności jest operacyjny: niewykryte naruszenia, powolne odtwarzanie,nadszarpnięte zaufanie klientów i osobista odpowiedzialność kierownictwa.

Dobra wiadomość jest taka, że każdyśrodek wymagany przez NIS2 to po prostu dobra praktyka inżynierska.Inwestycja w solidne monitorowanie, odporną architekturę, zautomatyzowanekontrole bezpieczeństwa i zdyscyplinowane reagowanie na incydenty nie tylkozadowala organy nadzoru — czyni Twoje systemy lepszymi, Twoje zespołysprawniejszymi, a Twoją firmę bardziej odporną.

Jeśli nie masz pewności, gdzieznajduje się Twoja organizacja: najlepszy moment, by zacząć, jest teraz.Altimi oferuje bezpłatną 30-minutową rozmowę wstępną, aby zrozumiećTwoje potrzeby i zarekomendować właściwą ścieżkę działania.

‍