790 004 448

info@ciso24.pl

Kontrole zgodności z dyrektywą NIS2 – czego spodziewać się w 2026 roku?

Wielu menedżerów wciąż żyje w przekonaniu, że kontrole NIS2 w 2026 roku będą jedynie biurokratyczną formalnością – szybkim sprawdzeniem, „czy polityka bezpieczeństwa leży na półce”. To niebezpieczne i błędne założenie. Nadchodzący nadzór skupi się na dowodach skuteczności, mierzalnych wynikach i realnej gotowości operacyjnej, a nie na objętości dokumentacji.

W tym artykule rozbieramy proces kontrolny na czynniki pierwsze. Pokażemy, kogo inspektorzy odwiedzą w pierwszej kolejności, jak przygotować repozytoria dowodów z czytelną ścieżką audytu i jak odpowiadać na trudne pytania, by nie pogrążyć organizacji. Przedstawimy też gotowy plan naprawczy 30–60–90 dni, który pozwoli Ci wzmocnić zaufanie regulatora, nawet jeśli startujesz z zaległościami.

1. Kto trafi na radar w 2026 roku? Zakres i priorytety nadzoru

Nadzór nad NIS2 nie będzie działał na ślepo. W 2026 roku inspektorzy zapukają najpierw do drzwi podmiotów kluczowych i ważnych, ze szczególnym uwzględnieniem tych, które świadczą usługi o wysokiej krytyczności lub zgłosiły incydenty bezpieczeństwa w 2025 roku.

Na celowniku znajdą się przede wszystkim sektory:

  • Finanse i bankowość.
  • Ochrona zdrowia.
  • Energetyka.
  • Transport.
  • Usługi cyfrowe.
  • Organizacje z rozległym i złożonym łańcuchem dostaw.

Priorytety kontroli wyznaczy skala oddziaływania (wpływ na gospodarkę, liczba użytkowników), transgraniczność usług oraz – co kluczowe – jakość dotychczasowego zgłaszania incydentów i dojrzałość zarządzania ryzykiem.

Różnica w podejściu kontrolnym:

Tam, gdzie ryzyko jest wysokie lub dokumentacja „kuleje”, spodziewaj się pełnej inspekcji na miejscu. Tam, gdzie procesy są poukładane i transparentne, możliwy będzie przegląd zdalny z pogłębionym samplingiem (wyrywkowym sprawdzaniem) dowodów.

Case Studies: Czego szuka audytor?

  • Bank regionalny po incydencie phishingowym: Tutaj kontrola ruszy szeroko. Inspektorzy sprawdzą testy skuteczności MFA, procedury zarządzania tożsamością, pełną linię czasową reakcji na incydent, a także dowody na przeszkolenie pracowników. Oczekują realnych logów z SIEM i zapisów z playbooków, a nie pustych deklaracji.
  • Operator medyczny z outsourcowanym SOC: Nadzór weźmie pod lupę kontrakty. Sprawdzi SLA z dostawcą, umowy powierzenia danych, retencję logów oraz to, jak zarządzane są podatności na sprzęcie medycznym (integracja IT/OT).

Szybka samoocena gotowości (Checklist):

Zanim przyjdzie wezwanie, sprawdź 5 obszarów:

  1. Ludzie: Czy masz jasne role i udokumentowane szkolenia?
  2. Procesy: Czy playbooki CSIRT i plany ciągłości są aktualne?
  3. Technologia: Czy masz logowanie, detekcję i backupy offline?
  4. Dostawcy: Czy masz umowy, SLA i audyty (lub chociaż SBOM)?
  5. Raportowanie: Czy dotrzymujesz terminów zgłoszeń?.

2. Dokumenty i dowody: „Bez śladu nie ma procesu”

Jeśli chcesz przejść kontrolę bez nerwów, musisz zrobić generalne porządki w dokumentacji. Złota zasada NIS2 brzmi: 1 wymaganie = minimum 2 niezależne dowody + ścieżka audytu.

Nie trzymaj plików „po ludziach”. Stwórz jedno centralne repozytorium z jasnym wersjonowaniem, wskazanymi właścicielami (CISO, BCM, SOC) i twardymi datami przeglądów. Wprowadź standard nazewnictwa, np. Rok_Kwartał_Typ_Proces_Wersja (np. 2026_Q2_Polityka_Patch_v2-3). Dzięki temu audytor widzi porządek, a Ty oszczędzasz czas.

[Miejsce na screen: Tabela mapowania wymagań na dowody – image_d473a5.png]

Jak mapować wymagania na dowody? (Przykłady):

  • Zarządzanie podatnościami: Dowód 1: Polityka patchowania (PDF). Dowód 2: Raport z systemu WSUS lub skanera podatności (CSV).
  • Zarządzanie incydentami: Dowód 1: Procedura Incident Response (PDF). Dowód 2: Timeline z konkretnego incydentu (DOC).
  • Ciągłość działania (BCP/DRP): Dowód 1: Analiza BIA (XLSX). Dowód 2: Protokół z testu odtworzeniowego DR (PDF).
  • Szkolenia i świadomość: Dowód 1: Lista obecności/uczestników (XLSX). Dowód 2: Wyniki symulacji phishingu (PDF).

Pamiętaj: Dowody muszą być aktualne (BIA sprzed 18 miesięcy to „czerwona flaga”) i spójne z praktyką (jeśli polityka mówi o patchowaniu w 14 dni, raporty nie mogą pokazywać 60 dni).

3. Harmonogram i przebieg kontroli: 7 kroków do sukcesu

Kontrola zgodności NIS2 to nie spacer, to sprint przez siedem punktów kontrolnych:

  1. Zawiadomienie: Otrzymujesz pismo z zakresem i terminem.
  2. Request o dokumenty: Audytor prosi o „wsad” – polityki, rejestry ryzyk, BCM, matryce uprawnień.
  3. Sesja otwierająca: Ustalacie zasady gry, kanały komunikacji i granice próby.
  4. Przegląd dowodów: Weryfikacja próbek w Twoim repozytorium (Jira, Confluence, GRC).
  5. Wywiady: Krzyżowy ogień pytań do właścicieli procesów i techników.
  6. Wizytacja techniczna: „Sprawdzam” – podgląd w SIEM/SOAR, kontrola fizyczna serwerowni, weryfikacja backupów.
  7. Sesja zamykająca: Wstępna ocena, lista niezgodności i terminy działań naprawczych.

Kto musi być na miejscu?

Obecność obowiązkowa dla: CISO, przedstawiciela zarządu, właścicieli procesów, SOC leada, administratora sieci oraz kierownika BCM.

Jak odpowiadać na pytania?

Krótko, na faktach, zawsze podając numer dowodu. Zero deklaracji bez pokrycia („robimy to” vs „oto log z wczoraj”).

  • Pytanie: „Jak mierzycie czas zgłoszenia incydentu?”
  • Dobra odpowiedź: „Mamy metrykę TTR-Report widoczną w dashboardzie GRC. Mediana za Q1–Q2 2026 spadła z 18h do 9h. Oto raport.”.
  • Pytanie: „Kto zatwierdza wyjątki bezpieczeństwa?”
  • Dobra odpowiedź: „Komitet Ryzyka IT. Proces w JIRA, przegląd kwartalny. Obecnie mamy 5 aktywnych wyjątków.”.

Wskazówka od CISO24: Przygotuj „War Room” na dzień kontroli. Zapewnij audytorom dostęp „read-only” do repozytoriów i SIEM, przygotuj listę kontaktową do dostawców krytycznych i miej pod ręką aktualne mapy procesów. Chaos organizacyjny to pierwszy sygnał dla audytora, by drążyć głębiej.

4. Metryki, testy i raportowanie: Pokaż, że to działa

Dowody na skuteczność to nie ładne slajdy, ale twarde liczby. Ustal 6–8 mierników (KPI/KRI), które pokazują dojrzałość operacyjną.

Co warto mierzyć i pokazywać?

  • MTTD (Mean Time to Detect) i MTTR (Mean Time to Respond).
  • Patch compliance (np. % systemów załatanych w ≤30 dni).
  • Pokrycie stacji roboczych systemem EDR.
  • Skuteczność odtwarzania kopii zapasowych (wynik testów).
  • Click rate z kampanii phishingowych.

Trend powinien być czytelny (np. Q3 2025 vs Q2 2026) i opatrzony komentarzem (np. „spadek MTTD o 0,8h dzięki wdrożeniu reguł UEBA”).

Raportowanie incydentów:

System musi działać w cyklu: 24h (wstępny meldunek) – 72h (aktualizacja techniczna) – 1 miesiąc (raport końcowy z analizą przyczyn i wnioskami).

Testy:

Zero dekoracji. Audytor chce zobaczyć protokół z jednego ćwiczenia decyzyjnego (Tabletop IR) i jednego testu technicznego (DR) z jasnymi wnioskami i wdrożonymi poprawkami.

5. Łańcuch dostaw: Twoje ryzyko, Twoja odpowiedzialność

Segmentacja dostawców to podstawa. Podziel ich na:

  • Krytycznych: Utrzymują kluczowe usługi, mają dostęp uprzywilejowany lub przetwarzają wrażliwe dane.
  • Istotnych: Mają wpływ pośredni (np. integracje).
  • Pozostałych: Niski wpływ.

Dla dostawców krytycznych weryfikacja to „być albo nie być”. Nie wierz na słowo – zbieraj dowody w jednym repozytorium:

  • Wypełniony kwestionariusz NIS2 z mapą luk.
  • Wyniki niezależnych audytów (np. SOC2, ISO).
  • Wyniki skanów bezpieczeństwa.
  • Protokoły ze wspólnych testów (tabletop).
  • Aktualny SBOM (wykaz komponentów oprogramowania).

Umowy:

Zadbaj o klauzule, które dają Ci kontrolę: powiadomienie o incydencie w 24h, prawo do audytu, mierzalne RTO/RPO, wymogi szyfrowania i dostępu do logów.

6. Wyjdź z kontroli obronną ręką

Audytorzy w 2026 roku będą bezlitośni dla „papierowych” zabezpieczeń. Typowe niezgodności to: brak rejestru incydentów, „wiszące” podatności krytyczne, luki w umowach z dostawcami i nietestowane plany ciągłości działania.

Jeśli kontrola wykaże braki, nie panikuj. Przedstaw chirurgiczny plan naprawczy zamiast „projektu bez końca”.

Pamiętaj: im lepiej przygotowane dowody i zespół, tym szybciej zamkniesz temat kontroli. W CISO24 pomagamy firmom przejść przez ten proces „na sucho” – wykonując próbne audyty zgodności z NIS2, które wskazują luki, zanim zrobi to regulator. Skontaktuj się z nami, aby sprawdzić swoją gotowość.

Najczęściej zadawane pytania (FAQ)

Czy kontrole NIS2 będą niezapowiedziane? 

W większości przypadków organ nadzorczy wysyła zawiadomienie o wszczęciu kontroli z wyprzedzeniem, określając jej zakres i termin. Jednak w sytuacjach szczególnych (np. po poważnym incydencie bezpieczeństwa lub uzasadnionym podejrzeniu rażących naruszeń) inspektorzy mogą pojawić się w trybie doraźnym, żądając natychmiastowego dostępu do dokumentacji i systemów.

Czy posiadanie certyfikatu ISO 27001 zwalnia z kontroli NIS2? 

Nie, certyfikat ISO 27001 nie daje „immunitetu”. Jest on jednak bardzo silnym argumentem w dyskusji z audytorem. Jeśli posiadasz ISO, masz już wdrożoną większość wymaganych procesów (zarządzanie ryzykiem, incydentami, ciągłość działania). Dla kontrolera to sygnał, że organizacja jest dojrzała, co często pozwala skrócić czas trwania audytu i ograniczyć go do weryfikacji specyficznych wymogów ustawy, których ISO nie pokrywa (np. terminy zgłoszeń do CSIRT).

Czy członkowie zarządu muszą być obecni podczas kontroli? 

Fizyczna obecność całego zarządu przez cały czas trwania kontroli zazwyczaj nie jest wymagana, ale wyznaczony przedstawiciel kierownictwa (np. Członek Zarządu ds. Operacyjnych lub IT) musi być dostępny, szczególnie podczas sesji otwierającej i zamykającej. Audytorzy będą chcieli potwierdzić, że zarząd jest świadomy ryzyk i aktywnie nadzoruje system cyberbezpieczeństwa, a nie tylko podpisuje dokumenty.

Co się stanie, jeśli kontrola wykaże braki w dokumentacji? 

Pojedyncze braki rzadko kończą się natychmiastową karą finansową. Zazwyczaj organ wydaje zalecenia pokontrolne i wyznacza termin na ich usunięcie (tzw. plan naprawczy). Jeśli jednak braki są systemowe (np. brak analizy ryzyka, brak rejestru incydentów) lub firma nie zrealizuje zaleceń w terminie, uruchamiana jest procedura nakładania administracyjnych kar pieniężnych.

Czy musimy audytować wszystkich naszych dostawców IT? 

Nie, to byłoby operacyjnie niemożliwe. Zgodnie z zasadą proporcjonalności, należy skupić się na dostawcach kluczowych (krytycznych) – czyli tych, od których zależy ciągłość Twoich usług lub bezpieczeństwo danych. Dla pozostałych wystarczy stosowanie standardowych klauzul umownych i okresowa ankieta bezpieczeństwa. Ważne, abyś potrafił uzasadnić przed kontrolerem, dlaczego dostawcę X uznałeś za krytycznego, a Y za mniej istotnego.