• strona główna
  • Audyt NIS2 krok po kroku – jak przygotować firmę w Olsztynie?

Audyt NIS2 krok po kroku – jak przygotować firmę w Olsztynie?

Audyt NIS2 to obowiązkowa weryfikacja prawno-organizacyjna dla firm z sektora energetyki, transportu i zdrowia. Celem audytu NIS2 jest dostosowanie Twojej firmy do nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) z dnia 5 lipca 2024 r. (Dz.U. 2024 poz. 1116). Brak audytu NIS2 grozi karą do 10 mln EUR oraz osobistą odpowiedzialnością członków zarządu. To zagadnienie jest częścią szerszego procesu, który szczegółowo opisaliśmy w artykule o systemie S4.6 i tym, kogo on dotyczy.

Czym jest audyt NIS2 i komu jest potrzebny?

Audyt NIS2 to proces weryfikacji zgodności Twojej organizacji z wymogami Ustawy o KSC. Audyt NIS2 nie jest badaniem technicznym (tzw. pen-testem). Audyt NIS2 to weryfikacja prawno-organizacyjna. Podlegają mu podmioty kluczowe lub ważne. Progi kwalifikacji to kryterium sektorowe lub wielkościowe. Sektory to energetyka, transport, zdrowie, woda, infrastruktura cyfrowa i produkcja krytyczna. Kryterium wielkościowe to powyżej 50 pracowników i powyżej 10 mln EUR rocznego obrotu. Mniejsze firmy z tych sektorów również podlegają Ustawie o KSC, jeśli ich działalność jest kluczowa dla gospodarki.

Etapy audytu NIS2 – od analizy luk do raportu

W Kancelarii Cyberpolex przeprowadzamy audyt NIS2 w 5 konkretnych krokach:

  1. Inwentaryzacja procesów i zasobów: Mapowanie procesów biznesowych wspieranych przez systemy informacyjne (wymóg art. 21 ust. 2 lit. a dyrektywy NIS2).
  2. Analiza ryzyka w ujęciu NIS2: Weryfikacja, czy analiza ryzyka uwzględnia specyficzne zagrożenia dla danego sektora (np. ataki na łańcuch dostaw w produkcji).
  3. Weryfikacja środków technicznych i organizacyjnych: Sprawdzenie zabezpieczeń sieci, szyfrowania, autoryzacji wieloskładnikowej (MFA) oraz procedur zarządzania tożsamością.
  4. Audyt łańcucha dostaw: Kontrola umów z dostawcami IT pod kątem bezpieczeństwa (wymóg art. 21 ust. 2 lit. f NIS2).
  5. Raport z audytu (Gap Analysis): Dokument wskazujący dokładne luki między stanem obecnym a wymogami Ustawy o KSC, wraz z priorytetyzacją działań naprawczych.

Dokumentacja wymagana przed audytem

Aby audyt NIS2 trwał efektywnie, organizacja musi przedstawić audytorom konkretny zestaw dokumentów. Audyt NIS2 w firmie zajmuje zwykle od 5 do 15 dni roboczych. Wymagana dokumentacja to:

  • Rejestr czynności przetwarzania danych osobowych (RODO).
  • Polityka bezpieczeństwa informacji (PBI).
  • Umowy z dostawcami usług IT, chmury (powierzenie przetwarzania, SLA, NDA).
  • Dokumentacja z ostatniego szkolenia pracowników z cyberbezpieczeństwa.
  • Rejestr incydentów bezpieczeństwa.
  • Certyfikaty i raporty z ewentualnych wcześniejszych audytów cyberbezpieczeństwa.

NIS2 vs ISO 27001 – co jest bardziej restrykcyjne?

Dyrektywa NIS2 jest bardziej restrykcyjna prawnie, a norma ISO 27001 bardziej szczegółowa technicznie. Norma ISO 27001 jest dobrowolna. Przepisy NIS2 to bezwzględny obowiązek prawny. Poniższa tabela zestawia kluczowe różnice między tymi standardami.

Cecha
Norma ISO 27001
Dyrektywa NIS2 / Ustawa o KSC
Podstawa prawna Norma międzynarodowa (Polska Norma PN-EN ISO/IEC 27001:2023-02). Dyrektywa UE wdrożona do polskiej Ustawy o KSC.
Odpowiedzialność zarządu Norma ISO 27001 nie przewiduje kar dla zarządu. NIS2 wprowadza bezpośrednią odpowiedzialność finansową i zakazy pełnienia funkcji zarządczych (art. 20 ust. 1 NIS2).
Raportowanie incydentów ISO 27001 zostawia terminy i sposób raportowania do uznania firmy. NIS2 narzuca terminy: 24 godziny na wczesne ostrzeżenie, 72 godziny na pełne zgłoszenie do CSIRT NASK.
Wzajemna relacja Posiadanie certyfikatu ISO pokrywa ok. 60-70% wymogów technicznych NIS2. Certyfikat ISO 27001 nie zwalnia z obowiązku wdrożenia wymogów prawnych NIS2.

 

Szczegółowy opis pokrycia tych wymogów znajdziesz w naszym artykule o zarządzaniu ryzykiem w ISO 27001.

Audyt NIS2 w regionie warmińsko-mazurskim – specyfika lokalna

Województwo warmińsko-mazurskie ma specyficzną strukturę gospodarczą. Dominuje tu sektor MŚP. Lokalne firmy często wchodzą w łańcuchy dostaw dla dużych podmiotów kluczowych. Region ma rozwiniętą turystykę (infrastruktura krytyczna transportu kolejowego i drogowego) oraz rozproszony sektor ochrony zdrowia (powiatowe centra medyczne).

Firmy z Olsztyna i okolic często popełniają błąd. Właściciele myślą: “Jesteśmy hurtownią z Lidzbarka Warmińskiego, NIS2 nas nie dotyczy”. Gdy hurtownia dostarcza sprzęt dla PGE Energetyka Kolejowa (podmiot kluczowy), hurtownia staje się częścią łańcucha dostaw. Hurtownia musi wtedy spełniać wymogi bezpieczeństwa narzucane przez ten podmiot kluczowy.

Koszty i terminy wdrożenia w woj. warmińsko-mazurskim

Terminy wdrożenia Ustawy o KSC są bezwzględne:

  • Podmioty kluczowe (wcześniej wpisane do wykazu OUK): 11 kwietnia 2025 r.
  • Podmioty ważne (wcześniej DUC): 11 października 2025 r.
  • Podmioty nowo zakwalifikowane do wykazu: 11 kwietnia 2026 r.

Koszty audytu NIS2 na rynku lokalnym zależą od zakresu prac:

  • Samo badanie luk (Gap Analysis): od 6 000 PLN do 15 000 PLN netto.
  • Pełne przygotowanie do NIS2: w firmach z regionu warmińsko-mazurskiego kosztuje średnio od 25 000 PLN do 80 000 PLN netto. Koszt przygotowania do NIS2 rośnie, gdy firma musi wdrożyć fizyczne zabezpieczenia sieciowe lub zmienić dostawcę chmury.

Jak uniknąć kar za nieprzestrzeganie NIS2?

Kary administracyjne za naruszenie Ustawy o KSC są drastyczne. Kara dla podmiotu kluczowego wynosi do 10 000 000 EUR lub 2% globalnego obrotu. Kara dla podmiotu ważnego wynosi do 7 000 000 EUR lub 1,4% globalnego obrotu.

Aby uniknąć kar za nieprzestrzeganie NIS2, wdroż 4 działania prewencyjne:

  1. Weryfikacja statusu: Ustal, czy Twoja firma figuruje w wykazie podmiotów w systemie S4.6 (prowadzonym przez Ministerstwo Cyfryzacji).
  2. Szkolenie zarządu: Członkowie zarządu muszą uczestniczyć w szkoleniach z cyberbezpieczeństwa. Brak szkolenia to podstawa do pociągnięcia zarządu do odpowiedzialności osobistej.
  3. Przeprowadzenie audytu NIS2: Znajdź luki na własnych zasadach, przed kontrolą CSIRT NASK.
  4. Wdrożenie procedury zgłaszania incydentów: Ustal ścieżkę powiadamiania w firmie, aby dotrzymać ustawowego terminu 24 godzin.

Twoja firma działa w sektorze energetyki, transportu lub ochrony zdrowia? Sprawdź, czy podlegasz NIS2. Porozmawiajmy o Twoich wyzwaniach – zespół Cyberpolex w Olsztynie: +48 665 805 912 | kamil.kolodziejczak@cyberpolex.pl

FAQ – Najczęstsze pytania o audyt NIS2

Jakie firmy w Olsztynie podlegają pod przepisy NIS2? Przepisami NIS2 podlegają firmy z sektorów energetyki, transportu, zdrowia, wody, infrastruktury cyfrowej i produkcji krytycznej. Kwalifikacja następuje na podstawie progu wielkości (powyżej 50 pracowników i powyżej 10 mln EUR obrotu) lub uznania działalności za kluczową dla gospodarki.

Do kiedy trzeba wdrożyć wymagania dyrektywy NIS2 w Polsce? Terminy wdrożenia NIS2 zależą od statusu podmiotu. Podmioty kluczowe miały termin do 11 kwietnia 2025 r. Podmioty ważne mają termin do 11 października 2025 r. Podmioty nowo zakwalifikowane do wykazu muszą wdrożyć wymogi do 11 kwietnia 2026 r.

Czy posiadanie certyfikatu ISO 27001 zwalnia z audytu NIS2? Nie, posiadanie certyfikatu ISO 27001 nie zwalnia z audytu NIS2. Norma ISO 27001 pokrywa około 60-70% wymogów technicznych i organizacyjnych. Certyfikat ISO nie zdejmuje z firmy obowiązku raportowania incydentów w terminach 24h/72h ani odpowiedzialności zarządu. Szczegóły sprawdzisz w artykule o certyfikacji ISO 27001.

Ile kosztuje audyt NIS2 dla średniej firmy? Koszt audytu NIS2 zależy od zakresu. Sama analiza luk (Gap Analysis) kosztuje od 6 tys. zł do 15 tys. zł netto. Pełne przygotowanie organizacji do NIS2, obejmujące audyt, dokumentację i wsparcie we wdrożeniu, kosztuje od 25 tys. zł do 80 tys. zł netto.