NIS2, samoocena i wpis do Wykazu KSC – jak przygotować firmę?

Dla wielu organizacji NIS2 nie zaczyna się od zakupu nowego systemu IT ani od pisania polityki cyberbezpieczeństwa. Pierwszym krokiem powinna być rzetelna samoocena: czy firma podlega nowym obowiązkom, czy mieści się w sektorach objętych ustawą o Krajowym Systemie Cyberbezpieczeństwa, czy spełnia kryteria podmiotu kluczowego albo ważnego i czy musi dokonać wpisu do Wykazu KSC. Bez tego łatwo wdrożyć działania przypadkowe, kosztowne i oderwane od rzeczywistego statusu organizacji.

Dlaczego samoocena jest pierwszym krokiem?

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa znacząco rozszerzyła katalog organizacji objętych obowiązkami cyberbezpieczeństwa. Zastąpiła wcześniejszy podział na operatorów usług kluczowych i dostawców usług cyfrowych nową klasyfikacją: podmioty kluczowe oraz podmioty ważne. Ministerstwo Cyfryzacji wskazuje, że przepisy mogą objąć około 38 tysięcy podmiotów, w tym wiele organizacji, które wcześniej nie funkcjonowały w systemie KSC.

W praktyce oznacza to, że NIS2 dotyczy nie tylko największych firm technologicznych. Obowiązki mogą objąć między innymi podmioty z sektorów energii, transportu, ochrony zdrowia, infrastruktury cyfrowej, zarządzania usługami ICT, gospodarki odpadami, produkcji, dystrybucji żywności, chemikaliów, maszyn, urządzeń elektrycznych czy elektronicznych. Dlatego samoocena nie może ograniczać się do pytania: „czy jesteśmy firmą IT?”. Znacznie ważniejsze jest ustalenie, jaki faktycznie charakter ma działalność organizacji.

Samoocena powinna objąć profil działalności, kod PKD, wielkość przedsiębiorstwa, powiązania kapitałowe oraz rzeczywisty zakres świadczonych usług. Ministerstwo Cyfryzacji podkreśla, że PKD może pomagać w analizie, ale decydujący pozostaje faktyczny zakres działalności, a nie wyłącznie formalny wpis w rejestrze.

Co trzeba sprawdzić przed wpisem do Wykazu KSC?

Wpis do Wykazu KSC powinien wynikać z uporządkowanej analizy. Najpierw trzeba sprawdzić, czy działalność mieści się w sektorach i podsektorach wskazanych w przepisach. Następnie należy ocenić wielkość organizacji, ponieważ status mikro, małego, średniego lub dużego przedsiębiorcy może wpływać na kwalifikację. W kolejnym kroku trzeba przeanalizować szczególne przypadki, w których podmiot może zostać uznany za kluczowy albo ważny niezależnie od standardowych progów.

NIS2 wymaga więc połączenia perspektywy prawnej, organizacyjnej i technicznej. Firma musi odpowiedzieć nie tylko na pytanie, czy podlega regulacji, lecz także jakie obowiązki będzie musiała wdrożyć po potwierdzeniu statusu. Chodzi między innymi o zarządzanie ryzykiem, środki techniczne i organizacyjne, reagowanie na incydenty, nadzór nad dostawcami, odpowiedzialność kierownictwa oraz utrzymanie dokumentacji potwierdzającej zgodność.

Szczególnie istotne jest to, że samoocena nie powinna kończyć się prostym stwierdzeniem „podlegamy” albo „nie podlegamy”. Dobra analiza powinna wskazać podstawę kwalifikacji, przyjęte założenia, ryzyka interpretacyjne, zakres obowiązków i plan dalszego działania. Dzięki temu zarząd otrzymuje konkretną informację, a nie ogólną opinię bez praktycznych konsekwencji.

Terminy mają znaczenie, ale nie zastępują wdrożenia

Z informacji rządowych wynika, że możliwość samorejestracji w Wykazie KSC dla podmiotów niewpisywanych z urzędu została uruchomiona 7 maja 2026 r., a podmioty mogą dokonać samorejestracji w terminie od 7 maja do 3 października 2026 r. To ważny etap formalny, ale sam wpis nie oznacza jeszcze, że organizacja spełnia wszystkie wymagania.

NIS2 należy traktować jako proces dostosowania firmy, a nie jednorazową czynność administracyjną. Wpis do Wykazu KSC potwierdza status podmiotu, ale po nim trzeba uporządkować system zarządzania bezpieczeństwem informacji, odpowiedzialności, procedury, ocenę ryzyka, obsługę incydentów, zarządzanie dostawcami oraz świadomość kadry kierowniczej i pracowników.

Oficjalne materiały wskazują również, że organizacje spełniające kryteria podmiotu kluczowego lub ważnego 3 kwietnia 2026 r. mają 12 miesięcy na wdrożenie obowiązków z zakresu systemu zarządzania bezpieczeństwem informacji. Podmioty kluczowe powinny też uwzględnić perspektywę pierwszego audytu, dla którego wskazano termin 24 miesięcy od dnia spełnienia przesłanek uznania za podmiot kluczowy.

Jak uniknąć błędów przy samoocenie?

Najczęstszy błąd polega na zbyt wąskim spojrzeniu na przepisy. Firma analizuje wyłącznie główny kod PKD, pomija działalność poboczną, nie uwzględnia powiązań z innymi podmiotami albo zakłada, że skoro nie obsługuje infrastruktury krytycznej, temat jej nie dotyczy. Takie uproszczenie może prowadzić do błędnej kwalifikacji.

Drugi błąd to odwrotna reakcja: organizacja od razu rozpoczyna duży projekt wdrożeniowy, zanim ustali własny status. Wtedy powstają dokumenty, procedury i zakupy techniczne, które nie zawsze odpowiadają realnym obowiązkom. NIS2 wymaga proporcjonalności, dlatego najpierw warto zrozumieć wymagania, a dopiero później dobierać środki organizacyjne i techniczne.

Trzeci problem to brak śladu decyzyjnego. Jeżeli firma uzna, że podlega regulacji albo że jej nie podlega, powinna umieć pokazać, na jakiej podstawie podjęła taką decyzję. Sama deklaracja nie wystarczy. Potrzebna jest uporządkowana analiza, która opisuje źródła danych, kryteria kwalifikacji, wątpliwości i ostateczne wnioski.

Co powinien zawierać dobry plan dostosowania?

Po zakończeniu samooceny organizacja powinna przejść do planu dostosowania. Taki plan powinien obejmować nie tylko cyberbezpieczeństwo rozumiane technicznie, lecz także odpowiedzialność zarządu, strukturę zarządzania ryzykiem, przegląd dostawców, zasady zgłaszania incydentów, klasyfikację aktywów, nadzór nad dostępami, ciągłość działania oraz szkolenia.

NIS2 silnie przesuwa temat cyberbezpieczeństwa z poziomu działu IT na poziom zarządzania organizacją. To oznacza, że zarząd powinien wiedzieć, jakie obowiązki wynikają z kwalifikacji, jakie ryzyka wymagają natychmiastowego działania, jakie zasoby trzeba zabezpieczyć i jakie dowody zgodności należy utrzymywać.

Dobrze przygotowany plan pozwala uniknąć chaosu. Zamiast wdrażać wszystko naraz, firma może podzielić działania na etapy: samoocena i kwalifikacja, wpis do Wykazu KSC, analiza luk, wdrożenie najważniejszych zabezpieczeń, uporządkowanie dokumentacji, szkolenia, testy procedur i przygotowanie do ewentualnej kontroli lub audytu.

Dlaczego warto potraktować NIS2 jako projekt zarządczy?

Cyberbezpieczeństwo przestało być wyłącznie tematem technicznym. Incydent może zatrzymać produkcję, przerwać dostawy, naruszyć ciągłość usług, spowodować utratę danych, uruchomić obowiązki zgłoszeniowe i obciążyć osoby zarządzające. Dlatego NIS2 wymaga podejścia, które łączy prawo, procesy, technologię i odpowiedzialność kierownictwa.

Dla wielu firm najważniejszy nie będzie sam wpis do Wykazu KSC, lecz uporządkowanie sposobu działania. Rzetelna samoocena pozwala uniknąć przypadkowych decyzji, a dobrze przygotowany plan dostosowania pokazuje, które obszary wymagają pilnej poprawy. Dopiero wtedy organizacja może wdrażać środki bezpieczeństwa w sposób proporcjonalny, udokumentowany i możliwy do obrony przed klientem, audytorem albo organem nadzorczym.

NIS2 warto więc potraktować jako okazję do sprawdzenia odporności firmy. Nie chodzi tylko o spełnienie wymogu formalnego. Chodzi o to, aby organizacja wiedziała, od czego zależy jej ciągłość działania, kto odpowiada za bezpieczeństwo informacji, jak reaguje na incydent i czy potrafi udowodnić, że realnie zarządza ryzykiem.