• O firmie
    O firmie Lizard
    Napędzamy IT od ponad 26 lat
    Kontakt
    O nas

    Specjalizujemy się w serwisowej opiece informatycznej dla firm. Nasi Klienci bez obaw powierzają nam swoje systemy informatyczne, ponieważ wiedzą, że pozostawiają je Specjalistom w swojej dziedzinie.

    O firmie
    Dla partnerów

    Szukamy firm, które widzą perspektywę swojego rozwoju we współpracy z nami na rynku Polskim i w Europie. Współpracujemy z partnerami technologicznymi i biznesowymi, oferując wsparcie, know-how oraz wspólne projekty oparte na zaufaniu i wzajemnych korzyściach.

    Dołącz do sieci Lizard i rozwijaj swoją ofertę z solidnym zapleczem IT.

    Zobacz więcej
    Kariera w Lizard

    Dołącz do zespołu Lizard! Szukamy pasjonatów IT, którzy chcą rozwijać się w dynamicznym środowisku, pracować z nowoczesnymi technologiami i tworzyć rozwiązania, które realnie wspierają biznes klientów.

    Aplikuj do nas
    • Kontakt

    Dyrektywa NIS2 w praktyce – jak krok po kroku dostosować systemy IT w MŚP

    Paweł Jaszczura27 października, 2025

    Nowa rzeczywistość cyberbezpieczeństwa w Unii Europejskiej

    Dyrektywa NIS2 to kluczowy filar europejskiej strategii cyberbezpieczeństwa, który znacząco podnosi poprzeczkę dla przedsiębiorstw w zakresie ochrony danych i infrastruktury IT. W przeciwieństwie do poprzedniej wersji z 2016 roku, NIS2 obejmuje nie tylko duże korporacje i operatorów usług kluczowych, ale także wiele małych i średnich firm działających w strategicznych sektorach gospodarki – od usług cyfrowych, przez logistykę, po produkcję przemysłową.

    Dla MŚP oznacza to konieczność wprowadzenia realnych zmian organizacyjnych i technologicznych. Nowe przepisy wprowadzają obowiązek wdrożenia dziesięciu środków zarządzania ryzykiem, opracowania planów ciągłości działania i raportowania incydentów w ciągu 24 godzin. To nie kolejny wymóg formalny, lecz szansa na trwałe wzmocnienie odporności organizacji na cyberzagrożenia.

    Kogo obejmuje dyrektywa NIS2?

    NIS2 wprowadza dwa główne pojęcia – Podmioty Kluczowe (Essential Entities) i Podmioty Ważne (Important Entities). Dla większości MŚP zastosowanie ma ta druga kategoria, obejmująca firmy zatrudniające powyżej 50 pracowników lub osiągające obrót przekraczający 10 milionów euro rocznie.

    Co istotne, nawet jeśli dana firma nie spełnia progów formalnych, może zostać objęta regulacją pośrednio – na przykład jako dostawca usług dla większego podmiotu, który musi zarządzać ryzykiem w całym łańcuchu dostaw. W praktyce oznacza to, że organizacje współpracujące z bankami, instytucjami publicznymi czy koncernami przemysłowymi będą zobowiązane do przestrzegania standardów NIS2 w ramach kontraktów B2B.

    Dziesięć obowiązkowych środków zarządzania ryzykiem

    Trzon dyrektywy NIS2 stanowi artykuł 21, który wprowadza dziesięć filarów cyberbezpieczeństwa. Każda organizacja musi je wdrożyć w sposób proporcjonalny do skali działalności. Obejmują one m.in. zarządzanie incydentami, opracowanie planów ciągłości działania, kontrolę dostępu do systemów, szyfrowanie danych oraz szkolenia z cyberhigieny.

    W praktyce NIS2 wymaga od firm przejścia od podejścia reaktywnego do proaktywnego. Ochrona nie może opierać się wyłącznie na firewallu i kopii zapasowej. Konieczne jest systematyczne analizowanie ryzyka, testowanie zabezpieczeń i monitorowanie infrastruktury w czasie rzeczywistym.

    Jak rozpocząć proces dostosowania – krok po kroku

    Pierwszym krokiem w kierunku zgodności z NIS2 jest audyt systemów IT i analiza luk. W praktyce oznacza to zidentyfikowanie krytycznych usług, stworzenie mapy zasobów oraz ocenę ryzyka w odniesieniu do wymagań artykułu 21. Na tej podstawie powstaje plan wdrożenia środków bezpieczeństwa, który powinien być formalnie zatwierdzony przez zarząd.

    Kolejnym etapem jest opracowanie polityki bezpieczeństwa informacji oraz procedur reagowania na incydenty. W MŚP, które nie mają własnego działu bezpieczeństwa, warto rozważyć powierzenie tej roli zewnętrznemu ekspertowi pełniącemu funkcję CISO-as-a-Service.

    Następnie należy wdrożyć fundamenty techniczne – uwierzytelnianie wieloskładnikowe (MFA), zasadę najmniejszych uprawnień oraz segmentację sieci zgodną z modelem Zero Trust. Te rozwiązania ograniczają ryzyko przejęcia kont i rozprzestrzeniania się ataku wewnątrz organizacji.

    Szkolenia i procedury reagowania – obowiązek, nie wybór

    NIS2 wymaga, aby szkoleniom z cyberbezpieczeństwa poddawani byli nie tylko pracownicy, ale również kadra zarządzająca. To właśnie zarząd ponosi formalną odpowiedzialność za nadzór nad środkami bezpieczeństwa. W praktyce każde przedsiębiorstwo powinno mieć udokumentowane szkolenia dla kierownictwa oraz cykliczne ćwiczenia reagowania na incydenty – symulujące np. atak ransomware lub awarię infrastruktury.

    Takie działania nie tylko zwiększają gotowość zespołu, ale stanowią także dowód zgodności podczas ewentualnej kontroli CSIRT NASK.

    Monitorowanie, SOC i raportowanie incydentów

    Jednym z najtrudniejszych wymogów NIS2 jest konieczność zgłoszenia istotnego incydentu do krajowego CSIRT w ciągu 24 godzin. Aby spełnić ten obowiązek, firma musi dysponować systemami monitoringu, które pozwalają szybko wykrywać i klasyfikować zagrożenia.

    Dla MŚP optymalnym rozwiązaniem jest współpraca z dostawcą usług SOC-as-a-Service, który zapewnia całodobowy nadzór, analizę logów (SIEM), automatyczne reakcje (SOAR) oraz wsparcie w raportowaniu. To kosztowo efektywna alternatywa wobec utrzymywania własnego centrum bezpieczeństwa.

    Bezpieczeństwo łańcucha dostaw i relacji z partnerami

    Dyrektywa kładzie duży nacisk na bezpieczeństwo dostawców i podwykonawców. Oznacza to konieczność oceny ryzyka w łańcuchu dostaw, wprowadzenia klauzul bezpieczeństwa do umów SLA oraz regularnych audytów partnerów technologicznych.

    W praktyce duże organizacje będą wymagać od swoich kontrahentów – w tym MŚP – spełnienia określonych standardów w zakresie zarządzania ryzykiem, szyfrowania danych, stosowania MFA czy przeprowadzania testów penetracyjnych.

    Rola zarządu i odpowiedzialność prawna

    Jedną z największych zmian, jakie wprowadza NIS2, jest przeniesienie odpowiedzialności za cyberbezpieczeństwo na najwyższy szczebel zarządzania. Zarząd nie może już delegować tego obowiązku wyłącznie na dział IT – ma on obowiązek aktywnie nadzorować politykę bezpieczeństwa, zapewniać środki finansowe i brać udział w szkoleniach.

    Brak wdrożenia dyrektywy może skutkować nie tylko karami finansowymi (do 7 milionów euro lub 1,4% obrotu rocznego), ale także odpowiedzialnością osobistą członków zarządu.

    Jakie technologie pomagają osiągnąć zgodność z NIS2

    Dla większości MŚP kluczowe znaczenie ma wdrożenie kilku rozwiązań, które wspierają spełnienie wymogów technicznych:
    Microsoft Entra ID (Azure AD) – do zarządzania tożsamością i dostępem;
    – Microsoft Defender XDR – do wykrywania i reagowania na zagrożenia;
    – Microsoft Sentinel – jako platforma SIEM/SOAR;
    – Microsoft Purview – do klasyfikacji danych i kontroli DLP;
    Backup w chmurze Azure – do realizacji wymogu odtwarzania po awarii (BCP/DRP).

    Te narzędzia tworzą spójny ekosystem bezpieczeństwa, zgodny z filozofią Zero Trust i mapujący się bezpośrednio na wymogi artykułu 21.

    Podsumowanie – od obowiązku do przewagi konkurencyjnej

    Dostosowanie się do NIS2 to nie tylko konieczność prawna, ale także okazja do zbudowania solidnych fundamentów cyberodporności. Firmy, które już dziś rozpoczną audyt i wdrażanie środków bezpieczeństwa, zyskają nie tylko spokój i zgodność z przepisami, ale także większe zaufanie klientów i partnerów biznesowych.

    Dla MŚP, które chcą utrzymać konkurencyjność i uczestniczyć w łańcuchach dostaw dużych organizacji, wdrożenie NIS2 stanie się standardem rynkowym. Warto więc potraktować te regulacje nie jako obciążenie, lecz jako inwestycję w stabilność, reputację i przyszłość firmy.

    Paweł Jaszczura

    CEO Lizard

    Wszystkie posty autora

    Aplikuj do naszego zespołu

    max rozmiar 10mb, dozwolone pliki: pdf, jpg, png, docs, docx

    Google reCaptcha: Nieprawidłowy klucz witryny.