Gotowość na NIS2 dla małych firm — przystępny przewodnik (2026) | Scanthra

Scanthra · 8 min czytania · Zaktualizowano Maj 2026

Czym jest NIS2 i gdzie obowiązuje?

NIS2 to unijna Dyrektywa w sprawie bezpieczeństwa sieci i systemów informatycznych (Dyrektywa (UE) 2022/2555). Zastępuje oryginalną NIS1 z 2016 roku, znacząco rozszerza zakres, podnosi minimalny poziom wymaganych środków bezpieczeństwa i wprowadza osobistą odpowiedzialność organów zarządzających.

Każde państwo członkowskie UE musiało wdrożyć NIS2 do prawa krajowego do 17 października 2024 roku. W praktyce ustawy krajowe wchodziły falami przez lata 2024–2026. Kilka przykładów lokalnych nazw, z którymi możesz się spotkać:

• Polska — nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa, obowiązująca od 3 kwietnia 2026 roku.
• Niemcy — NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• Francja — wdrożona przez Loi de transposition NIS2 nadzorowaną przez ANSSI.
• Włochy — Decreto Legislativo implementujący dyrektywę, nadzorowany przez ACN.
• Hiszpania, Holandia, Belgia, kraje nordyckie… — każdy ma własną ustawę z tą samą minimalną treścią.

Poza UE pojawiają się podobne regulacje — brytyjski Cyber Security and Resilience Bill, szwajcarska Ustawa o bezpieczeństwie informacji i wiele krajów spoza UE dopasowuje język kwestionariuszy do NIS2, nawet gdy nie obowiązuje prawnie. Jeśli sprzedajesz do UE z jakiegokolwiek miejsca na świecie, twoi klienci w końcu zapytają o środki z Artykułu 21.

Czy jestem w zakresie?

Bezpośrednio: tylko jeśli jesteś podmiotem kluczowym lub ważnym. Dotyczy to głównie średnich i dużych firm (≥50 pracowników lub obrót ≥10 mln EUR) w sektorach takich jak energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa, administracja publiczna, poczta, gospodarka odpadami, produkcja produktów krytycznych, żywność, chemia, badania naukowe i dostawcy cyfrowi (chmura, platformy handlowe, wyszukiwarki).

Pośrednio: każdy dostawca lub podwykonawca podmiotu objętego zakresem. Artykuł 21(2)(d) NIS2 wymaga od podmiotów objętych zakresem zajmowania się bezpieczeństwem łańcucha dostaw. W praktyce oznacza to, że twoi klienci korporacyjni wyślą ci kwestionariusz bezpieczeństwa i aneks do umowy, prosząc o wykazanie tych samych środków — aktualizacji, nagłówków, MFA, reagowania na incydenty — nawet jeśli twoja firma ma 5 pracowników i jest zlokalizowana poza UE.

7 środków z Artykułu 21 istotnych dla strony internetowej

Spośród 10 minimalnych środków z Artykułu 21(2) NIS2, siedem można zaobserwować i poprawić na stronie internetowej:

1. Kryptografia i szyfrowanie — nowoczesny TLS / SSL (szyfrowanie połączenia), HSTS (wymuszanie HTTPS), brak SSLv3/TLS 1.0/1.1.
2. Obsługa podatności i ujawnianie — trzymaj CMS (system zarządzania treścią) i komponenty w obsługiwanych, zaktualizowanych wersjach; opublikuj kontakt bezpieczeństwa lub security.txt.
3. Kontrola dostępu — adresy URL panelu admina nie są publicznie indeksowane, brak ujawnionych plików .git / .env / kopii zapasowych.
4. Bezpieczna komunikacja — tylko HTTPS, bezpieczne ciasteczka (cookie), rozsądny CSP i Permissions-Policy.
5. Ochrona danych — wyłączone strony debugowania, bez wycieków stack trace, bez wewnętrznych adresów IP w nagłówkach.
6. Bezpieczeństwo łańcucha dostaw — znane zależności i wersje, brak ujawnionych danych klientów przez subdomeny.
7. Uwierzytelnianie e-mail — SPF / DKIM / DMARC (zabezpieczenia e-mail), żeby incydenty nie rozprzestrzeniały się przez sfałszowane wiadomości.

Tani pakiet startowy NIS2 (poniżej 4 godzin pracy)

Te pięć działań pokrywa większość wykryć z kategorii „oczekiwaliśmy więcej" w typowym kwestionariuszu NIS2 dla małych dostawców — niezależnie od kraju:

1. Włącz automatyczne aktualizacje CMS, motywów i wtyczek.
2. Dodaj nagłówki HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy i Permissions-Policy. Zobacz nasz przewodnik CSP.
3. Skonfiguruj SPF, DKIM i DMARC na swojej domenie. Zobacz nasz przewodnik po uwierzytelnianiu e-mail.
4. Usuń lub zablokuj .env, .git/, /backup.sql, /wp-config.php.bak i inne „przypadkowo ujawnione" pliki.
5. Opublikuj /.well-known/security.txt z adresem e-mail kontaktu i polityką ujawniania podatności.

Plan reagowania na incydenty w 24/72 godziny na jednej stronie

Nawet poza zakresem, posiadanie tego dokumentu staje się przewagą konkurencyjną, gdy klient korporacyjny o niego prosi. Okna 24/72 godzin poniżej pochodzą wprost z Artykułu 23 NIS2:

• Godzina 0: Zidentyfikuj incydent. Zrób zrzut stanu.
• Godziny 1–4: Zawieranie — zmień dane logowania, izoluj zainfekowaną usługę.
• Godziny 4–24: Powiadomienie (właściciele wewnętrzni, dostawca hostingu, Organ Ochrony Danych jeśli dane osobowe są zagrożone, klienci jeśli ich dane są zagrożone). NIS2 nazywa to „wczesnym ostrzeżeniem".
• Godziny 24–72: Złóż formalne zgłoszenie do krajowego CSIRT, jeśli jesteś w zakresie.
• Dzień 7+: Analiza przyczyn źródłowych, post-mortem, aktualizacja planu działania. NIS2 wymaga finalnego raportu nie później niż miesiąc po powiadomieniu.

Każde państwo członkowskie prowadzi własny portal zgłoszeń — CSIRT NASK w Polsce, BSI w Niemczech, ANSSI/CERT-FR we Francji, CSIRT Italia, NCSC-NL w Holandii itd. ENISA prowadzi centralny katalog. Nawet jeśli nie jesteś w zakresie, znajomość adresu URL i posiadanie konta pozwala uniknąć panicznego googlowania w najgorszym dniu roku.

Czym NIS2 nie jest

Kilka powszechnych mitów:

• Nie jest to jednorazowa certyfikacja. Nie ma „pieczątki NIS2" — wykazujesz ciągłe praktyki.
• Nie zastępuje RODO. Oba reżimy współistnieją; incydenty dotyczące danych osobowych mogą uruchomić oba.
• Nie wymaga kupowania konkretnego oprogramowania. Artykuł 21 jest technologicznie neutralny.
• Nie jest „tylko unijny" w skutkach. Dostawcy spoza UE sprzedający do UE regularnie otrzymują kwestionariusze zgodne z NIS2 od swoich unijnych klientów.

Jak pomaga Scanthra

Każdy raport PDF ze Scanthra zawiera teraz sekcję gotowości na NIS2, która mapuje wyniki skanu na siedem wymienionych wyżej kategorii Artykułu 21 istotnych dla strony — z statusem dla każdej kategorii (OK, uwaga, luka) i ogólnym wynikiem. Mapowanie odnosi się do samej dyrektywy UE, więc jest przydatne niezależnie od tego, której krajowej transpozycji podlegasz — i niezależnie od tego, czy jesteś w UE. To nie jest opinia prawna ani substytut audytu, ale przydatna techniczna informacja, którą możesz dołączyć do odpowiedzi na kwestionariusz lub przekazać swojemu konsultantowi bezpieczeństwa.

Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W sprawie wiążącej interpretacji NIS2 w twojej jurysdykcji skonsultuj się z kwalifikowanym prawnikiem lub krajowym organem ds. cyberbezpieczeństwa.