NIS2

6 rzeczy, ktore audytor NIS2 sprawdzi jako pierwsze

11 marca 2026 · 2 min czytania

Audyt NIS2 nie zaczyna sie od kar ani od dyskusji o formalnosciach. Zaczyna sie od dowodow operacyjnych: czy organizacja faktycznie zarzadza ryzykiem, incydentami i ciagloscia dzialania.

1. Zakres i odpowiedzialnosc

Audytor najpierw sprawdzi, czy organizacja rozumie, gdzie zaczyna sie i konczy odpowiedzialnosc za bezpieczenstwo.

  • Kto odpowiada za obszar NIS2 po stronie zarzadu
  • Jak wyglada podzial odpowiedzialnosci miedzy IT, security i biznesem
  • Czy istnieje formalna mapa krytycznych uslug

Brak jasnego ownership to najczestszy powod, dla ktorego wdrozenie staje sie projektem bez decyzyjnosci.

2. Rejestr aktywow i uslug krytycznych

Bez aktualnego inwentarza systemow i zaleznosci nie da sie realnie ocenic ryzyka.

Audytor szuka odpowiedzi na pytania:

  • Jakie uslugi sa krytyczne dla organizacji
  • Jakie systemy i zespoly wspieraja te uslugi
  • Gdzie sa najwrazliwsze punkty (single points of failure)

3. Zarzadzanie incydentami i gotowosc 24h/72h

NIS2 kladzie duzy nacisk na raportowanie i obsluge incydentow. Sam dokument to za malo.

W praktyce liczy sie to, czy zespol:

  • Rozroznia incydent zwykly od incydentu istotnego
  • Ma jasna sciezke eskalacji
  • Potrafi przygotowac raport w wymaganym oknie czasowym

4. Ciaglosc dzialania i odtwarzanie

Plan BCP i DRP bez testow to tylko papier. Audytor zapyta o to, czy scenariusze byly cwiczone.

Przyklady oczekiwanych dowodow:

  • Wyniki testow odtworzeniowych
  • RPO i RTO przypisane do krytycznych uslug
  • Wnioski z testow oraz poprawki po testach

5. Ryzyko dostawcow i lacuch dostaw ICT

W wielu organizacjach to najslabszy punkt. NIS2 wymaga aktywnego podejscia do ryzyka po stronie vendorow.

Wartosciowe minimum to:

  • Lista krytycznych dostawcow
  • Kryteria oceny bezpieczenstwa
  • Plan dzialania, gdy dostawca przestaje spelniac wymagania

6. Dowody, nie deklaracje

Na koniec audytor weryfikuje, czy organizacja potrafi pokazac materialny slad dzialan:

  • Rejestr ryzyk i aktualizacje
  • Zatwierdzone polityki i procedury
  • Raporty z testow, cwiczen i przegladow

Brak dowodow nie oznacza automatycznie braku pracy, ale z punktu widzenia audytu to duze ryzyko.

Co to oznacza dla Ciebie

Jesli chcesz szybko sprawdzic, gdzie jestes i co domknac w pierwszej kolejnosci, zacznij od krotszej diagnostyki i mapy priorytetow.

W RedMoon zwykle pracujemy w schemacie:

  • Diagnoza stanu obecnego
  • Plan 30/60/90 dni
  • Wdrozenie tylko tych kontroli, ktore realnie obnizaja ryzyko

To podejscie pozwala wejsc w audyt z argumentami i dowodami, a nie tylko z deklaracjami.

Chcesz wiedzieć jak to wygląda w Twojej organizacji?

W 6 krokach sprawdzisz poziom ryzyka i zobaczysz, co domknąć jako pierwsze.

→ Sprawdź swój poziom ryzyka NIS2

Przeczytaj również

NIS2

SIEM, SOC i NIS2: kiedy to ma sens dla zwyklej firmy, a kiedy wystarczy kupic wynik?

Czy firma musi kupowac SIEM, aby byc zgodna z NIS2? Praktyczny przewodnik dla zarzadu: kiedy budowac

 Threat Intelligence

Cyberatak na BLIKA i polska infrastrukture rozliczeniowa: studium przypadku cyfrowej wojny

Analiza incydentu DDoS wymierzonego w infrastrukture rozliczeniowa i BLIKA oraz wnioski dla NIS2, KS