//NIS2 / UKSC
NIS2 / UKSC

NIS2 i UKSC 2026 - jakie dokumenty musisz mieć i jak zacząć wdrożenie

26 maja 2026·7 min czytania·Marcin Rabiasz · Pełnomocnik ZSZ

Czym jest Dyrektywa NIS2 i co ma z nią wspolnego UKSC?

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijne prawo dotyczace cyberbezpieczenstwa, ktore obowiazuje w Polsce od 18 pazdziernika 2024 r. - ale w formie polskiej ustawy wdrozeniowej, czyli Ustawy o Krajowym Systemie Cyberbezpieczenstwa (UKSC) z 2026 roku.

Roznica jest istotna:

NIS2 to dyrektywa UE - wytycza kierunek, ale nie jest bezposrednio stosowana
UKSC 2026 to polska ustawa - to ona nakłada konkretne obowiazki, terminy i kary

Jesli Twoja organizacja jest podmiotem kluczowym lub waznym (np. energetyka, transport, zdrowie, infrastruktura cyfrowa, sektor publiczny, finanse) - masz obowiazki wobec UKSC, nie tylko wobec NIS2.

Kto podlega obowiazkom?

Podmioty kluczowe (wieksze, wyzsze wymagania):

Operatorzy energii, wody, transportu, ochrony zdrowia
Dostawcy infrastruktury cyfrowej i chmury
Podmioty sektora finansowego i bankowego

Podmioty wazne (nieco lagodniejsze wymogi, takie same dokumenty):

Srednie i duze przedsiebiorstwa z sektorow objętych NIS2/UKSC
Dostawcy uslug zarzadzanych (MSP/MSSP)
Producenci i dystrybutorzy produktow krytycznych

Kryterium wielkosci: co do zasady min. 50 pracownikow lub 10 mln EUR obrotu - ale sa wyjatki dla sektorow krytycznych bez progu.

Jakie dokumenty sa wymagane przez UKSC?

Ustawa (Art. 7-11 UKSC) i NIS2 wymagaja posiadania udokumentowanej polityki i procedur w kilku kluczowych obszarach:

1. Polityka Bezpieczenstwa Informacji / Cyberbezpieczenstwa

Obowiazkowy dokument nadrzedny. Musi odnosic sie do cyberbezpieczenstwa systemow sieciowych i informatycznych. Zazwyczaj rozszerza lub zastepuje istniejaca politykę ISO 27001.

2. Procedura Zarzadzania Incydentami (z terminami CSIRT)

To jeden z najwazniejszych dokumentow. Musi obejmowac:

Wczesne ostrzezenie: 24 godziny od wykrycia incydentu znaczacego
Zgłoszenie: 72 godziny - raport do CERT Polska / CSIRT sektorowego
Raport koncowy: 1 miesiac od zgloszenia
Definicje incydentu znaczacego (wg UKSC/NIS2)
Sciezke eskalacji i odpowiedzialnosci

3. Ocena Ryzyka Cyberbezpieczenstwa

Udokumentowana metoda identyfikacji, oceny i postepowania z ryzykami cyberbezpieczenstwa. Moze opierac sie na ISO 27005 lub innej uznanej metodyce.

4. Rejestr Ryzyk Cyberbezpieczenstwa

Zapis wynikow oceny ryzyk - aktualizowany regularnie (co najmniej raz w roku lub po znaczacych zmianach).

5. Procedura Zarzadzania Lancuchem Dostaw ICT

ISO Forge
Generator dokumentow NIS2 i UKSC 2026
3 dokumenty za darmo - bez karty kredytowej

Wymaganie Art. 8 UKSC (dawniej Art. 21 NIS2). Obejmuje:

Kryteria kwalifikacji i oceny dostawcow ICT
Wymogi bezpieczenstwa w umowach
Monitoring incydentow po stronie dostawcow

6. Polityka / Procedura Ciaglości Dzialania (BCP)

Plany zachowania ciaglosci dzialania na wypadek powaznego incydentu cybernetycznego - z naciskiem na systemy ICT.

7. Deklaracja Stosowania (Statement of Applicability)

Dla podmiotow wdrazajacych ISO 27001 - obowiazkowa. Dokumentuje ktore zabezpieczenia z Zal. A normy sa stosowane i dlaczego.

8. Procedura Zarzadzania Podatnosciami

Regularna identyfikacja, ocena i naprawa podatnosci w systemach ICT. Obejmuje patch management i monitorowanie CVE.

9. Procedura Audytow i Testow Bezpieczenstwa

Plan regularnych przeglądow, testow penetracyjnych lub innych form weryfikacji stanu cyberbezpieczenstwa (Art. 8 UKSC wymaga regularnych przeglądow).

Dodatkowe dokumenty przy wdrozeniu UKSC + ISO 27001

Jesli jednoczesnie wdrazasz ISO 27001 (rekomendowane!), potrzebujesz rowniez:

Polityki ISO 27001 (Zarzadzanie Dostepu, Kryptografia, Bezpieczenstwo Fizyczne...)
SoA (Statement of Applicability) - z krzyzowym odniesieniem do UKSC
Rejestr Aktywow Informacyjnych
Procedura Zarzadzania Incydentami Bezpieczenstwa Informacji (szersza niz tylko CSIRT)

Harmonogram i sankcje

Terminy (szacunkowe, weryfikuj aktualny stan UKSC):

Rejestracja jako podmiot kluczowy/wazny: po wejsciu ustawy w zycie
Wdrozenie polityk i procedur: 12-18 miesiecy od rejestracji
Certyfikacja (dla niektorych sektorow): opcjonalna lub wymagana sektorowo

Kary za nieprzestrzeganie:

Podmioty kluczowe: do 10 mln EUR lub 2% calkowitego obrotu
Podmioty wazne: do 7 mln EUR lub 1.4% obrotu
Osobista odpowiedzialnosc czlonkow kierownictwa

Jak zaczac wdrozenie NIS2/UKSC - 5 krokow

Krok 1: Ustal czy podlegasz UKSC

Sprawdz liste sektorow i kryteriow w ustawie. Wiele organizacji jest objetych bez swojej wiedzy.

Krok 2: Oceń aktualny stan (Gap Audit)

Porownaj istniejaca dokumentacje z wymaganiami UKSC/NIS2. Zidentyfikuj luki dokumentacyjne i proceduralne.

Krok 3: Zbuduj dokumentacje bazowa

Zacznij od: Polityka Cyberbezpieczenstwa + Procedura Incydentow (z terminami CSIRT) + Ocena Ryzyka. To minimum ktore musisz miec.

Krok 4: Rejestr i notyfikacja

Dokonaj rejestracji w odpowiednim organie sektorowym lub u KNF/UODO/MC (zaleznie od sektora).

Krok 5: Wdraz pozostale procedury iteracyjnie

Lancuch dostaw ICT, BCP, procedura podatnosci, testy bezpieczenstwa - w kolejnosci priorytetu ryzyk.

ISO Forge i dokumentacja NIS2/UKSC

ISO Forge generuje kompletny Bundle NIS2/UKSC - do 18 dokumentow:

9 dokumentow specyficznych NIS2/UKSC (polityka, incydenty z terminami CSIRT, ocena ryzyk, lancuch dostaw ICT, BCP, procedura podatnosci, SoA...)
9 dokumentow ISO 27001 (przy wyborze bundlu UKSC Complete)

Kazdy dokument jest dostosowany do sektora i wielkosci podmiotu, z odwolaniami do konkretnych artykulow UKSC 2026 (Art. 7, Art. 8, Art. 11).

Potrzebujesz dokumentacji NIS2/UKSC? Zaloguj sie do ISO Forge i wygeneruj bundle NIS2 lub UKSC Complete.

Wygeneruj dokumentację ISO w minuty

Pierwszy dokument za darmo. Bez karty kredytowej.

Inne artykuły

🍪Ta strona uzywa cookies

Uzywamy cookies do zapewnienia dzialania serwisu oraz - za Twoja zgoda - do analizy ruchu. Szczegoly w Polityce prywatnosci.