NIS2 bez dramatu: Trzy dokumenty, które decydują o wyniku

Q: "Jakie trzy dokumenty są wymagane przez NIS2 w praktyce?"

"Zgodność z NIS2 wymaga istnienia trzech dokumentów operacyjnych przed wystąpieniem incydentu: zatwierdzonego przez dział prawny rejestru dostawców z poziomami krytyczności dla każdego dostawcy, procedury SOP raportowania incydentów z wyznaczonym zatwierdzającym i gotowymi szablonami oraz macierzy kontroli przypisującej każde zobowiązanie do właściciela, rodzaju dowodu i terminu realizacji. To właśnie te dokumenty organ nadzoru żąda przedstawić podczas inspekcji - sama technologia ich nie zastąpi."

Q: "Jakie są terminy raportowania incydentów wynikające z Art. 23 NIS2?"

"Art. 23 wymaga trzech etapów: wczesnego ostrzeżenia do właściwego organu w ciągu 24 godzin od powzięcia wiedzy o istotnym incydencie, formalnego zgłoszenia w ciągu 72 godzin oraz raportu końcowego w ciągu 30 dni. Liczniki uruchamiają się od momentu uzyskania wiedzy - nie od momentu rozwiązania incydentu ani od potwierdzenia jego szczegółów. Dla polskich podmiotów nowelizacja ustawy KSC ma uczynić te obowiązki wykonalnymi w 2026 roku."

Q: "Jak organizacje powinny testować gotowość na incydenty w ramach NIS2?"

"45-minutowe ćwiczenie tabletop, podczas którego mierzy się czas czterech kluczowych decyzji: stwierdzenie istotności incydentu w ciągu 2 godzin od symulowanego powzięcia wiedzy, przygotowanie szkicu wczesnego ostrzeżenia w ciągu 18 godzin, potwierdzenie właściciela zgłoszenia 72-godzinnego oraz otwarcie ścieżki raportu końcowego przed wysłaniem tego zgłoszenia. Jeśli któryś z tych terminów nie jest dotrzymywany podczas ćwiczeń, nie zostanie dotrzymany pod realną presją. Ćwiczenie ujawnia braki w odpowiedzialności i brakujące szablony szybciej niż jakikolwiek przegląd dokumentacji."

16 March 2026 • 3 min read • NIS2GRCReagowanie na incydentyCEE

Polska złożyła nowelizację ustawy KSC w Sejmie w listopadzie 2025 roku. Egzekucja przepisów spodziewana jest w 2026 roku. Większość organizacji czeka na ostateczny tekst ustawy przed podjęciem działań. To błąd.

Okno między uchwaleniem prawa a jego egzekucją będzie krótkie — a organizacje, które napotkają problemy, to nie te z lukami technologicznymi. To te, którym brakuje trzech dokumentów umożliwiających działanie.

Problem z dokumentami

Opóźnienia w gotowości do NIS2 rzadko wynikają z braków technologicznych. W praktyce wynikają z trzech brakujących dokumentów:

Rejestr dostawców z zatwierdzoną klasyfikacją. Nie arkusz kalkulacyjny prowadzony nieformalnie — lecz rejestr z poziomami krytyczności (Krytyczny / Wysoki / Standardowy) zatwierdzony przez Dział Prawny, z określonymi wymaganiami dowodowymi dla każdego poziomu. Bez tego zarządzanie ryzykiem stron trzecich zgodnie z Art. 21(2)(d) pozostaje w sferze aspiracji, nie operacji.

SOP raportowania incydentów z wyznaczonym zatwierdzającym. Art. 23 wymaga wczesnego ostrzeżenia w ciągu 24 godzin, powiadomienia w ciągu 72 godzin i raportu końcowego w ciągu 30 dni. Zegary te startują od momentu uświadomienia sobie incydentu, nie od momentu pewności. Bez procedury określającej kto podejmuje decyzję o istotności, kto jest właścicielem draftu na 24 godziny i kto zatwierdza zgłoszenie — czas wygra.

Matryca kontrolna zsynchronizowana z cyklem budżetowym. Dokument w stylu deklaracji stosowalności mapujący kontrole na właścicieli, dowody i terminy. Bez tego gotowość audytowa to kwartalne chaos zamiast ciągłego stanu.

Gdy te trzy dokumenty istnieją i są zatwierdzone, wdrożenie przyspiesza. Gdy ich brakuje — mnożą się spotkania.

Próba generalna zamiast raportów

Najbardziej wiarygodnym sygnałem gotowości na NIS2 nie jest dokumentacja — lecz to, jak organizacja radzi sobie podczas symulacji istotnego incydentu. 45-minutowe ćwiczenie powinno pozwolić zmierzyć czas czterech decyzji:

Decyzja o istotności podjęta w ciągu 2 godzin od symulowanego uświadomienia
Draft wczesnego ostrzeżenia gotowy w ciągu 18 godzin (z buforem na weryfikację przez Dział Prawny)
Właściciel powiadomienia 72-godzinnego zidentyfikowany, z wypełnionymi wstępnie sekcjami
Ścieżka raportu 30-dniowego otwarta przed wysłaniem powiadomienia 72-godzinnego

Jeśli którykolwiek z tych zegarów wypadnie w próbie generalnej, wypadnie też pod realną presją. W większości przypadków rozwiązaniem nie są narzędzia — lecz jasność odpowiedzialności i wstępnie zatwierdzone szablony.

Domyślna postawa w warunkach niepewności

Polska transpozycja przewiduje kary do 10 mln euro lub 2% globalnego obrotu dla podmiotów kluczowych. Ryzyko zaniżonego raportowania jest zatem asymetryczne.

Zalecana postawa domyślna: gdy wpływ na ciągłość usług, integralność danych lub bezpieczeństwo jest nietrywialny — traktuj incydent jako podlegający zgłoszeniu i przygotuj wczesne ostrzeżenie na 24 godziny. Łatwiej jest wstrzymać przygotowany raport niż rekonstruować oś czasu pod nadzorem organu nadzorczego po fakcie.

Ta postawa wymaga dwóch rzeczy gotowych przed incydentem: zdefiniowanego progu istotności oraz wstępnie zatwierdzonego szablonu, który można wypełnić pod presją. Żadne z nich nie wymaga narzędzia. Oba wymagają decyzji.

Jak wygląda gotowość

Organizacja gotowa na egzekucję NIS2 ma trzy rzeczy, które może pokazać organowi nadzorczemu w krótkim czasie: sklasyfikowany rejestr dostawców z dowodami, SOP incydentowy z wyznaczonymi właścicielami i przetestowanymi czasami reakcji oraz matrycę kontrolną z aktualnym statusem. Wszystko inne — platformy, frameworki, dashboardy — służy tym trzem dokumentom.

Organizacje, które przejdą przez egzekucję z najmniejszymi trudnościami, to te, które traktowały przygotowanie jako dyscyplinę operacyjną, a nie projekt compliance.

Szczegółową listę kontrolną zgodną z Art. 21 i Art. 23 znajdziesz w NIS2 Quick Checklist — interaktywnym dokumencie obejmującym dziesięć egzekwowalnych obowiązków.

Eugene Titaev — marzec 2026

Najczęstsze pytania

Jakie trzy dokumenty są wymagane przez NIS2 w praktyce?

Zgodność z NIS2 wymaga istnienia trzech dokumentów operacyjnych przed wystąpieniem incydentu: zatwierdzonego przez dział prawny rejestru dostawców z poziomami krytyczności dla każdego dostawcy, procedury SOP raportowania incydentów z wyznaczonym zatwierdzającym i gotowymi szablonami oraz macierzy kontroli przypisującej każde zobowiązanie do właściciela, rodzaju dowodu i terminu realizacji. To właśnie te dokumenty organ nadzoru żąda przedstawić podczas inspekcji - sama technologia ich nie zastąpi.

Jakie są terminy raportowania incydentów wynikające z Art. 23 NIS2?

Art. 23 wymaga trzech etapów: wczesnego ostrzeżenia do właściwego organu w ciągu 24 godzin od powzięcia wiedzy o istotnym incydencie, formalnego zgłoszenia w ciągu 72 godzin oraz raportu końcowego w ciągu 30 dni. Liczniki uruchamiają się od momentu uzyskania wiedzy - nie od momentu rozwiązania incydentu ani od potwierdzenia jego szczegółów. Dla polskich podmiotów nowelizacja ustawy KSC ma uczynić te obowiązki wykonalnymi w 2026 roku.

Jak organizacje powinny testować gotowość na incydenty w ramach NIS2?

45-minutowe ćwiczenie tabletop, podczas którego mierzy się czas czterech kluczowych decyzji: stwierdzenie istotności incydentu w ciągu 2 godzin od symulowanego powzięcia wiedzy, przygotowanie szkicu wczesnego ostrzeżenia w ciągu 18 godzin, potwierdzenie właściciela zgłoszenia 72-godzinnego oraz otwarcie ścieżki raportu końcowego przed wysłaniem tego zgłoszenia. Jeśli któryś z tych terminów nie jest dotrzymywany podczas ćwiczeń, nie zostanie dotrzymany pod realną presją. Ćwiczenie ujawnia braki w odpowiedzialności i brakujące szablony szybciej niż jakikolwiek przegląd dokumentacji.