Dyrektywa NIS2 obowiązuje w Polsce od października 2024 roku i nakłada obowiązki cyberbezpieczeństwa na ponad 38 000 podmiotów — 6 razy więcej niż poprzednia NIS1. Wdrożenie ISO 27001 pokrywa około 70–80% wymagań NIS2, co czyni tę normę najskuteczniejszą ścieżką do zgodności z dyrektywą.
Kogo obowiązuje NIS2 — pełna lista sektorów
NIS2 dzieli podmioty na kluczowe i ważne. Kluczowe to m.in.: energetyka, transport, bankowość, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i sektor kosmiczny. Ważne to: usługi pocztowe, gospodarka odpadami, produkcja chemikaliów, żywności, urządzeń medycznych, elektroniki oraz usługi ICT.
Kryterium wielkości: NIS2 dotyczy firm zatrudniających powyżej 50 pracowników lub o obrotach powyżej 10 mln EUR. Uwaga — w sektorach krytycznych (DNS, rejestry domen, dostawcy usług zaufania) obowiązek dotyczy wszystkich podmiotów niezależnie od wielkości.
Kary za nieprzestrzeganie NIS2 sięgają 10 mln EUR lub 2% rocznego obrotu dla podmiotów kluczowych. Zarząd odpowiada personalnie za zaniedbania w cyberbezpieczeństwie.
Jak ISO 27001 spełnia wymagania NIS2?
Norma ISO 27001 pokrywa większość wymagań NIS2, ale nie wszystkie. Oto mapowanie:
| Wymaganie NIS2 | ISO 27001 | Luka |
|---|---|---|
| Analiza ryzyka i polityki bezpieczeństwa | Tak — Pełne pokrycie (kl. 6.1, Załącznik A) | — |
| Obsługa incydentów | Tak — A.5.24–A.5.28 | Dodać zgłoszenie do CSIRT w 24h |
| Ciągłość działania | Tak — A.5.29–A.5.30 | — |
| Bezpieczeństwo łańcucha dostaw | Tak — A.5.19–A.5.23 | Rozszerzyć o ocenę dostawców ICT |
| Raportowanie do organu nadzoru | Nie — Brak | Wdrożyć procedurę zgłoszeń NIS2 |
| Szkolenia zarządu | Częściowe | Dodać szkolenie z odpowiedzialności NIS2 |
Praktyczna ścieżka: wdróż ISO 27001 jako fundament, a następnie uzupełnij o 3–4 procedury specyficzne dla NIS2 (zgłaszanie incydentów do CSIRT, raportowanie do organu nadzoru, szkolenia zarządu z NIS2).
Praktyczny plan wdrożenia — 6 miesięcy do zgodności
- Miesiąc 1–2: Analiza ryzyka i ocena luk (gap analysis) względem NIS2
- Miesiąc 2–3: Wdrożenie SZBI według ISO 27001 — polityki, procedury, zabezpieczenia
- Miesiąc 3–4: Uzupełnienie o wymagania NIS2 — procedura zgłaszania incydentów, rejestr dostawców ICT
- Miesiąc 4–5: Szkolenia personelu i zarządu, testy planów ciągłości działania
- Miesiąc 5–6: Audyt wewnętrzny, przegląd zarządzania, audyt certyfikujący ISO 27001
TQM Consulting prowadzi wdrożenia ISO 27001 z rozszerzeniem o wymagania NIS2 — jeden projekt, jeden konsultant, pełna zgodność.
Najczęstsze pytania
Czy samo wdrożenie ISO 27001 wystarczy do spełnienia NIS2?
Nie w 100%, ale pokrywa 70–80% wymagań. Brakujące elementy to głównie: obowiązek zgłoszenia incydentu do CSIRT w ciągu 24h, raportowanie do organu nadzoru oraz szkolenia zarządu z odpowiedzialności wynikającej z NIS2.
Od kiedy NIS2 obowiązuje w Polsce?
Dyrektywa NIS2 weszła w życie na poziomie UE w styczniu 2023, a państwa członkowskie miały czas na transpozycję do października 2024. Polska ustawa o krajowym systemie cyberbezpieczeństwa (nowelizacja) wdrażająca NIS2 obowiązuje od Q4 2024.
Co jeśli moja firma nie podlega NIS2 — czy ISO 27001 ma sens?
Tak. ISO 27001 chroni firmę przed cyberatakami niezależnie od regulacji. Dodatkowo coraz więcej dużych klientów i zamawiających publicznych wymaga od dostawców certyfikatu ISO 27001 jako warunku współpracy.
Ostatnia aktualizacja: kwiecień 2026
Potrzebujesz wdrożenia? Zadzwoń 508 354 590 — bezpłatna wycena w 24h.