NIS2 już obowiązuje. Co to oznacza dla firm w praktyce?

NIS2 już obowiązuje. Największe wyzwania zaczynają się dopiero teraz

Ustawa wdrażająca dyrektywę NIS2 została podpisana i wchodzi w życie.
Dla wielu organizacji to moment, w którym pojawia się naturalne pytanie:

czy jesteśmy zgodni?

Ale z perspektywy praktyki to nie jest właściwe pytanie na start.

Znacznie ważniejsze brzmi:
czy organizacja poradziłaby sobie dziś z realnym atakiem cybernetycznym?

Bo NIS2 nie zmienia rzeczywistości.
Ona ją tylko formalizuje.

Webinar z 10 marca: co tak naprawdę wynika z rozmów z rynkiem?

Podczas webinaru, który odbył się 10 marca, skupiliśmy się nie na przepisach, ale na tym, jak wygląda cyberbezpieczeństwo w praktyce.

Najważniejszy wniosek?

Większość organizacji nie przegrywa z atakiem przez brak technologii.
Przegrywa przez:

  • brak decyzji,

  • brak jasnej odpowiedzialności,

  • brak gotowości operacyjnej.

To dokładnie te obszary, które dziś akcentuje NIS2.

NIS2 nie jest projektem regulacyjnym. Jest testem organizacji

Jedna z największych zmian, jakie wprowadza NIS2, to przesunięcie ciężaru:

z technologii → na zarządzanie ryzykiem
z IT → na poziom zarządu
z dokumentacji → na zdolność działania

Regulator nie pyta już tylko:
„czy macie politykę?”

Zaczyna pytać:

  • kto podejmuje decyzję w incydencie,

  • czy organizacja wie, co jest krytyczne,

  • czy potrafi działać pod presją czasu.

Najczęstsze pytanie: czy cyberbezpieczeństwo to koszt?

To temat, który bardzo wyraźnie wybrzmiał w trakcie Q&A.

W wielu organizacjach cyberbezpieczeństwo nadal traktowane jest jako koszt infrastruktury IT.

Problem polega na tym, że:
atak nie traktuje tego jako kosztu, a jako punkt wejścia.

Dla zarządu dużo bardziej zrozumiałe są konsekwencje:

  • przestój produkcji,

  • brak dostępności systemów,

  • utrata przychodów,

  • odpowiedzialność regulacyjna.

I to jest właściwy język rozmowy.

Nie „kupujemy rozwiązanie X”, tylko: redukujemy konkretne ryzyko biznesowe.

Proporcjonalność w praktyce: gdzie kończy się teoria, a zaczyna rzeczywistość

Jednym z najbardziej praktycznych wątków była dyskusja o proporcjonalności.

NIS2 jasno wskazuje:
organizacje mają zarządzać ryzykiem adekwatnie do swojej skali i działalności.

Brzmi dobrze — ale w praktyce pojawia się pytanie: co to znaczy „adekwatnie”?

Przykład: freelancer z dostępem do OT

Czy jednoosobowa działalność musi spełniać pełne wymagania bezpieczeństwa jak duża organizacja?
Nie.

Ale musi spełniać minimum, które realnie ogranicza ryzyko:

  • dostęp tylko do konkretnego zakresu,

  • MFA,

  • kontrolowany kanał dostępu (np. VPN),

  • jasno określone wymagania bezpieczeństwa w umowie,

  • możliwość weryfikacji (audytu).

Kluczowe jest nie „czy wszystko jest wdrożone”, tylko: czy ryzyko jest świadomie kontrolowane.

B2B i JDG – największy realny problem NIS2

To był jeden z najczęściej poruszanych tematów w trakcie webinaru.

Z jednej strony:
organizacje chcą wymagać od współpracowników B2B dokładnie tego samego poziomu zabezpieczeń, co wewnętrznie.

Z drugiej:
jednoosobowa działalność nie ma możliwości wdrożenia pełnego systemu bezpieczeństwa.

Efekt?
Próba narzucenia wymagań, które są:

  • kosztowo nieuzasadnione,

  • operacyjnie niewykonalne,

  • często ignorowane w praktyce.

Rozsądne podejście wygląda inaczej:

  • zdefiniowanie minimalnych wymagań bezpieczeństwa,

  • dopasowanie ich do poziomu dostępu,

  • okresowa weryfikacja,

  • w krytycznych przypadkach - dostarczenie sprzętu przez organizację.

To jest dokładnie to, co oznacza proporcjonalność w praktyce.

Technologia to nie bezpieczeństwo

W trakcie Q&A pojawił się też temat narzędzi - np. wdrożenia systemów typu SIEM (jak Wazuh).

To bardzo dobry przykład myślenia, które NIS2 próbuje zmienić.

Zbieranie logów nie rozwiązuje problemu, jeżeli:

  • nikt ich nie analizuje,

  • nie ma procesu reakcji,

  • nie ma odpowiedzialności.

Jeden z przykładów z praktyki: atakujący był obecny w środowisku, ale nie podejmował działań do momentu zakończenia pracy SOC.

Dlaczego?
Bo wiedział, że nikt nie zareaguje.

To pokazuje bardzo wyraźnie:
bezpieczeństwo to nie narzędzia — to zdolność organizacji do działania.

NIS2 jako konsekwencja rzeczywistości, nie „projekt UE”

Jeżeli spojrzymy na NIS2 z dystansu, widać jedną rzecz: ta regulacja nie wprowadza niczego „sztucznego”.

Ona opisuje:

  • jak działa atak,

  • gdzie organizacje mają największe luki,

  • i co powinno działać, żeby temu przeciwdziałać.

Dlatego: organizacje, które skupią się wyłącznie na dokumentacji, zbudują zgodność.

Ale nie odporność.

Co dalej?

Największym błędem, jaki można dziś popełnić, jest próba zrobienia wszystkiego naraz.

Znacznie lepsze podejście to:

  1. ocena aktualnej gotowości,

  2. identyfikacja największych ryzyk,

  3. uporządkowanie odpowiedzialności i procesów,

  4. dopiero potem — dokumentacja.

Chcą Państwo sprawdzić, gdzie są dziś?

Podczas webinaru z 10 marca pokazaliśmy, jak podejść do tego w praktyce — bez straszenia i bez „compliance dla compliance”.

Jeżeli po lekturze tego artykułu pojawia się pytanie:
„jak to wygląda u nas?”

najlepszym pierwszym krokiem nie jest narzędzie ani audyt formalny.

Jest nim spokojna rozmowa i ocena gotowości.

Zapraszamy do kontaktu - zaczynamy od zrozumienia sytuacji, nie od oferty.

‹ Kiedy logika formularza staje się wektorem RCE

Pierwsze 6–12 miesięcy po wejściu NIS2 – co zrobić krok po kroku ›