UKSC wszedł w życie 3 kwietnia 2026. Masz 6 miesięcy na samoidentyfikację (do października 2026), 12 miesięcy na wdrożenie SZBI (do kwietnia 2027), 24 miesiące do nakładania kar (do kwietnia 2028). To wygląda jak dużo czasu, ale w praktyce większość firm zwleka aż do ostatnich tygodni. 90 dni to optymalne okno: dość czasu żeby zrobić rzeczy dobrze, dość krótko żeby zachować dyscyplinę projektową.
Ten plan działań jest dla typowej średniej firmy — 50-500 pracowników, średnio dojrzała infrastruktura IT, prawdopodobnie bez dedykowanego CISO. Jeśli jesteś podmiotem kluczowym z dziesiątkami tysięcy pracowników i regulacjami sektorowymi (banki, energetyka), 90 dni to za mało — potrzebujesz 6-9 miesięcy. Jeśli jesteś mikrofirmą — prawdopodobnie nie podlegasz pod NIS2.
Wszystko zaczyna się od audytu zgodności (gap analysis). Jeśli nie wiesz, gdzie jesteś dziś, nie wiesz też ile pracy przed Tobą. Bez tego planowanie 90 dni jest improwizacją.
Dni 1-14: Audyt zgodności i samoidentyfikacja
Tydzień 1: Audyt zgodności (gap analysis)
To najważniejszy etap całego projektu. Sprawdzasz stan faktyczny względem wymogów UKSC. Możesz zrobić go sam (jeśli masz zespół security) lub zlecić firmie zewnętrznej.
Co audyt obejmuje:
- Dokumentacja — polityki bezpieczeństwa, regulaminy, instrukcje. Czy istnieją? Czy są aktualne? Kiedy ostatnio ktoś je czytał poza audytami?
- Procesy organizacyjne — zarządzanie ryzykiem, incydentami, dostawcami, zmianami. Kto odpowiada za co? Jak są dokumentowane decyzje?
- Środki techniczne — kontrola dostępu (MFA, polityki haseł, AD), monitoring (SIEM, EDR), backup z testami, segmentacja sieci, ochrona endpointów
- Zgodność z innymi normami — jeśli masz ISO 27001, RODO, PCI DSS, KNF — większość pracy już zrobiona
Wynik audytu: raport z listą braków uporządkowaną według priorytetu i szacowanym kosztem. Bez tego nie ma sensownego planowania dalszych działań.
Tydzień 2: Samoidentyfikacja
UKSC zmienia podejście — to nie urząd Cię klasyfikuje, tylko Ty sam musisz ocenić, czy podlegasz przepisom. Brak samoidentyfikacji nie chroni przed karą — wręcz przeciwnie, to jeden z pierwszych rzeczy które będą sprawdzane.
Pytania do oceny:
- Czy działasz w sektorze z załącznika nr 1 (kluczowe) lub nr 2 (ważne) do ustawy?
- Ile masz pracowników? Jaki jest roczny obrót? (Progi: 50 osób + 10M EUR dla ważnych, 250 + 50M dla kluczowych — choć są wyjątki)
- Czy świadczysz usługi dla podmiotów kluczowych (łańcuch dostaw)?
Masz 6 miesięcy od spełnienia kryteriów na zgłoszenie do wykazu w systemie S46. Wniosek nie jest skomplikowany — znacznie trudniejsze jest poprawne zaklasyfikowanie firmy.
Dni 15-30: Analiza ryzyka i fundament SZBI
Tydzień 3-4: Analiza ryzyka
NIS2 nie narzuca konkretnych narzędzi — wymaga "odpowiednich środków proporcjonalnych do ryzyka". Bez analizy ryzyka nie wiesz, co dla Ciebie znaczy "odpowiednie". Najczęstszy błąd: pominięcie tego etapu i kupowanie narzędzi bez podstaw.
Praktyczne podejście:
- Zinwentaryzuj aktywa krytyczne — systemy, dane, procesy biznesowe których utrata zatrzymałaby firmę. Nie wszystko jest krytyczne — wybierz top 10-20.
- Zidentyfikuj zagrożenia dla każdego aktywa — ransomware, phishing, błąd ludzki, awaria sprzętu, atak DDoS, wyciek danych przez dostawcę
- Oceń prawdopodobieństwo i skutki — w skali np. 1-5. Macierz ryzyka (heatmap) ułatwia priorytetyzację.
- Określ akceptowalny poziom ryzyka — to decyzja zarządu, nie IT. Zarząd musi to zaakceptować formalnie.
Tydzień 5-6: Klasyfikacja danych i procesów
Część SZBI która często jest pomijana — a nie powinna być. Większość firm nie wie, gdzie naprawdę są ich krytyczne dane. Bez klasyfikacji wszystkie środki ochronne lecą na wszystko równo, co jest drogie i mało skuteczne.
Trzy kategorie wystarczą: publiczne / wewnętrzne / poufne. Dla każdej kategorii określ wymagania (gdzie można przechowywać, kto ma dostęp, czy szyfrowanie jest wymagane, jak długo retencja).
Dni 31-50: Dokumentacja SZBI
Tydzień 7-8: Polityki bezpieczeństwa
Tu zaczyna się praca papierowa. Ale "papierowa" nie znaczy "bezsensowna" — dobre polityki to fundament procesów. Złe polityki to dokumenty które nikt nie czytał.
Kluczowe polityki dla NIS2:
- Polityka bezpieczeństwa informacji — dokument nadrzędny, ramy całego SZBI
- Polityka zarządzania ryzykiem — metodyka, role, częstotliwość przeglądów
- Polityka kontroli dostępu — zasady przyznawania, przeglądu, odbierania uprawnień
- Polityka zarządzania incydentami — klasyfikacja, ścieżki eskalacji, procedury raportowania (24h/72h do CSIRT)
- Polityka zarządzania dostawcami — wymagania bezpieczeństwa w umowach, kwestionariusze, weryfikacja
- Polityka ciągłości działania — RTO/RPO, plany awaryjne, testy
- Polityka backup'u — strategie, lokalizacje, testy odtworzeniowe, retencja
Jeśli masz ISO 27001, większość tych polityk już istnieje — wystarczy dopisać NIS2-specific elementy (raportowanie do CSIRT, samoidentyfikacja, S46).
Tydzień 9-10: Procedury operacyjne
Polityki mówią "co" — procedury mówią "jak". Bez procedur polityki to puste hasła.
Krytyczne procedury do napisania:
- Procedura zgłaszania incydentu (kto-do kogo-w jakim czasie-jakim kanałem)
- Procedura odzyskiwania po awarii (krok po kroku, z odpowiedzialnymi)
- Procedura zarządzania zmianą (kto zatwierdza, kto testuje, kto rolluje)
- Procedura przeglądu uprawnień (kwartalna, akceptacja przez menedżerów)
- Procedura onboardingu/offboardingu (uprawnienia, sprzęt, szkolenie security)
Dni 51-75: Wdrożenie środków technicznych
Tu wracamy do analizy ryzyka — wdrażasz tylko to, co z niej wynika. Najczęstszy zestaw dla firmy średniej:
Tydzień 11-12: MFA i kontrola dostępu
- MFA dla wszystkich kont z dostępem zdalnym, kont administracyjnych, zarządu
- Polityki haseł (długość, złożoność, rotacja przez password manager)
- Przegląd uprawnień AD/M365 — usunięcie kont nieużywanych, redukcja Domain Admins
- Conditional Access (jeśli M365) — blokada logowania z nietypowych lokalizacji
Tydzień 13: Ochrona endpointów
- EDR/XDR na wszystkich laptopach i serwerach (Microsoft Defender E5, CrowdStrike, SentinelOne)
- MDM dla telefonów służbowych i BYOD (Techstep Essentials, Microsoft Intune)
- Patching — automatyczne aktualizacje systemów, tracking podatności krytycznych
Tydzień 14: Backup i odtwarzanie
- Strategia 3-2-1 (3 kopie, 2 media, 1 offsite) — minimalne wymaganie
- Test odtworzeniowy raz na kwartał (nie tylko "kopie się robią")
- Immutable backup dla ochrony przed ransomware (S3 Object Lock, Veeam Hardened Repo)
Tydzień 15: Monitoring i logi
- SIEM dla podmiotów kluczowych z dużą infrastrukturą — Splunk, Wazuh, Elastic, Microsoft Sentinel
- Centralny syslog dla mniejszych — minimum gromadzenie logów z firewalli, AD, krytycznych aplikacji
- Retencja logów — minimum 12 miesięcy
Dni 76-90: Procedury incydentów, testy, finalizacja
Tydzień 16: Procedury raportowania do CSIRT
To jeden z najbardziej "papierowych" wymogów NIS2 — i jednocześnie najbardziej praktycznych. W realnym incydencie nie ma czasu na zastanawianie się "do kogo zgłosić".
- Identyfikuj swój CSIRT sektorowy (CSIRT NASK, CSIRT GOV, CSIRT MON, sektorowe)
- Przygotuj szablon zgłoszenia wstępnego (24h od wykrycia incydentu)
- Przygotuj szablon raportu szczegółowego (72h)
- Lista kontaktów: koordynator IR, prawnik, PR, CSIRT — gotowa do uruchomienia
Tydzień 17-18: Testy i szkolenia
- Test odtworzenia z backup'u — na żywej maszynie, nie tylko sprawdzenie sumy kontrolnej
- Tabletop exercise — symulacja incydentu (np. ransomware) z całym zespołem reagowania. 2-3 godziny, ujawnia więcej luk niż 10 audytów dokumentacyjnych
- Szkolenie security awareness dla wszystkich pracowników
- Szkolenie kierownictwa — obowiązkowe według UKSC, musi być udokumentowane
Pułapki — czego unikać
- Kupowanie narzędzi przed analizą ryzyka — drogo i często niecelnie
- Kopiowanie szablonów polityk bez dostosowania do organizacji — żywe dokumenty kontra martwa biblioteka PDF-ów
- Pomijanie testów — "kopie się robią" to nie znaczy że odtworzenie zadziała
- Brak komunikacji z zarządem — kierownictwo ma osobistą odpowiedzialność, ale często nie wie co ma akceptować
- Ignorowanie łańcucha dostaw — Twój dostawca może być Twoim największym ryzykiem
- Robić wszystko od zera — masz już ISO/RODO/wewnętrzne polityki? Rozszerz, nie wyrzucaj
Co po 90 dniach
Po tych 90 dniach masz solidny fundament. Co dalej:
- Cykl życia SZBI — kwartalny przegląd ryzyka, roczny przegląd polityk, ciągły monitoring
- Audyt zewnętrzny — dla podmiotów kluczowych obowiązkowy do kwietnia 2028, ale pierwszy audyt warto zrobić wcześniej żeby wiedzieć gdzie się stoi
- Doskonalenie procesów — incydenty są nauczycielami, każdy raport post-incident → aktualizacja procedur
- Łańcuch dostaw — coraz większy nacisk regulatora, kwestionariusze dla dostawców, kontrolne zapytania klientów
Czy musisz to robić sam
Nie musisz. Możesz robić wszystko wewnętrznie, możesz zlecić zewnętrznie cały projekt, możesz wziąć tylko wybrane elementy. Najczęstsze modele:
- Audyt + analiza ryzyka + dokumentacja od konsultanta, wdrożenie techniczne wewnętrzne — gdy masz silny zespół IT, brak GRC
- Wszystko od konsultanta z asystą Twojego zespołu — gdy zespół IT jest mały lub bardzo zajęty operacjami
- Wewnętrznie wszystko, audyt końcowy zewnętrzny — gdy masz zasoby, ale chcesz niezależnej weryfikacji
- vCISO — zewnętrzny CISO na ułamku etatu, prowadzi cały proces strategicznie
Każdy z tych modeli jest sensowny. Wybór zależy od dojrzałości zespołu, budżetu i skali projektu. Każda nasza oferta zaczyna się od audytu — bez niego nie da się zaplanować ani wycenić niczego rzetelnie.
