Odkryj 5 rozdziałów książki już teraz!
15 kroków do zakupu systemu informatycznego
- 5 rozdziałów książki
- podsumowania z najważniejszymi informacjami z obszaru digitalizacji produkcji

NIS2 checklista pomoże Ci szybko ocenić, czy Twoja firma jest gotowa na nowe obowiązki w cyberbezpieczeństwie. W tym tekście sprawdzisz, czy podlegasz przepisom, co powinien zrobić zarząd, za co odpowiada IT i od czego zacząć, żeby nie zamienić wdrożenia w kosztowną improwizację.
Ten artykuł jest dla osoby, która w firmie produkcyjnej odpowiada za bezpieczeństwo, zgodność, IT albo decyzje zarządcze. Może to być prezes, członek zarządu, dyrektor operacyjny, szef IT, kierownik utrzymania ruchu albo osoba odpowiedzialna za audyty.
W produkcji cyberbezpieczeństwo dotyka nie tylko poczty i serwerów, ale też systemów ERP, MES, maszyn, dostawców, zdalnego dostępu dla serwisu, kopii zapasowych, dokumentacji technicznej i ciągłości pracy zakładu.
Największe ryzyko pojawia się tam, gdzie wiadomo, że coś trzeba zrobić, ale nie ma jednej listy decyzji, właścicieli i terminów. Dlatego lista kontrolna NIS2 powinna zaczynać się od zarządu, a dopiero później schodzić do narzędzi IT.
Dyrektywa NIS2 to unijne przepisy dotyczące cyberbezpieczeństwa podmiotów ważnych dla gospodarki i usług publicznych. W Polsce została wdrożona przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.
Dla firmy produkcyjnej najważniejsze są cztery obszary:
Nie każda firma produkcyjna będzie objęta NIS2 w ten sam sposób. Liczą się sektor, skala działalności, rola w łańcuchu dostaw i kryteria wskazane w przepisach.
Nowelizacja ustawy o KSC z dnia 23 stycznia 2026 weszła w życie 3 kwietnia 2026 r.
Dla firm ważne są trzy daty:
| Termin | Co oznacza dla firmy |
| 3 kwietnia 2026 r. | wejście w życie nowelizacji KSC |
| 3 października 2026 r. | termin na złożenie wniosku o wpis do wykazu KSC po samoocenie |
| 3 kwietnia 2027 r. | termin na wdrożenie obowiązków SZBI dla podmiotów, które 3 kwietnia 2026 r. spełniały kryteria |
Jeśli czekasz z analizą do ostatniego kwartału, skracasz sobie czas na wdrożenie. Sam wpis do wykazu nie rozwiązuje tematu. Firma musi jeszcze mieć dowody, że zarządza ryzykiem, szkoli ludzi, kontroluje dostęp, reaguje na incydenty i zabezpiecza ciągłość działania.
Pierwszy krok to sprawdzenie czy firma podlega przepisom. Nie zaczynaj od kupowania narzędzi, tylko od odpowiedzi na pytania, które wpływają na status firmy.
Sprawdź:
Przykład: zakład produkcyjny może mieć dobrze utrzymany park maszynowy, ale zdalny dostęp serwisowy do linii działa przez konto używane przez kilka osób. Taki szczegół potrafi zniszczyć sens drogich zabezpieczeń, bo nikt nie wie, kto faktycznie logował się do systemu.
Zarząd nie musi konfigurować firewalli, ale powinien zapewnić, że firma ma ludzi, budżet, procedury i nadzór. NIS2 mocno przesuwa cyberbezpieczeństwo z poziomu tematu IT na poziom odpowiedzialności organizacyjnej.
Najczęściej zawodzi nie technologia, lecz brak decyzji. IT widzi ryzyka, produkcja chce działać bez przerw, finanse pilnują kosztów, a zarząd dostaje temat dopiero wtedy, gdy trzeba podpisać budżet. Checklista NIS2 porządkuje odpowiedzialność przed incydentem.
Dział IT potrzebuje konkretnej mapy systemów, dostępów i zabezpieczeń. W firmie produkcyjnej trzeba objąć również środowiska OT, automatykę, komputery przy maszynach i konta serwisowe.
Przykład z produkcji: jeśli ERP przechowuje zlecenia, MES dane o przebiegu procesu, a arkusze służą do ręcznego obejścia braków w systemach, plan odtwarzania musi uwzględniać kolejność powrotu tych elementów. Sam backup serwera nie wystarczy, gdy nie wiadomo, który proces firma uruchamia jako pierwszy.
Zdobądź bezpłatnie 5 rozdziałów książki!
Dołącz do buletynu i zyskaj dostęp do 40% książki
„15 kroków do zakupu systemu informatycznego”.
NIS2 nie wymaga papierologii dla samej papierologii. Dokumenty mają potwierdzać, że firma rozumie ryzyka i potrafi działać według ustalonych zasad.
Minimum do sprawdzenia:
| Obszar | Dokument lub dowód |
| status firmy | wynik samoidentyfikacji NIS2 |
| odpowiedzialność | decyzja zarządu, właściciel programu, role |
| ryzyko | rejestr ryzyk dla systemów i procesów |
| aktywa | spis systemów, urządzeń, kont i dostawców |
| incydenty | procedura zgłaszania i reakcji |
| ciągłość działania | plan odtwarzania, testy backupu |
| dostawcy | wymagania bezpieczeństwa w umowach |
| szkolenia | lista szkoleń i potwierdzenia udziału |
Najwięcej ryzyka zobaczysz w miejscach, których nikt nie ma na liście: stare konta, dostęp po byłym pracowniku, komputer przy maszynie bez aktualizacji, zewnętrzny serwisant z dostępem na stałe.
Zacznij od krótkiego przeglądu, który pokaże, gdzie firma stoi.
Pierwsze 30 dni:
Taki przegląd pokaże zarządowi prawdziwy obraz firmy: co jest zgodne, co wymaga pracy, a co może zatrzymać produkcję przy pierwszym większym incydencie.

Narzędzie będzie miało sens dopiero wtedy, gdy firma wie, co chce kontrolować. Jeśli dane o ryzykach, dostawcach, aktywach, incydentach i działaniach naprawczych są rozrzucone po arkuszach, mailach i folderach, zarząd nie ma prostego widoku postępu.
Warto rozważyć rozwiązanie, które może pomóc uporządkować rejestr działań, ryzyk, dostawców i dowodów zgodności w jednym miejscu. Największa korzyść nie polega na samym posiadaniu systemu, ale na tym, że właściciel tematu widzi, co zostało zrobione, co czeka na decyzję i gdzie brakuje potwierdzeń.
Jeśli teraz możesz zrobić tylko jeden przegląd, sprawdź te punkty:
Ta checklista NIS2 robi szybki test dojrzałości. Jeśli przy kilku punktach odpowiedź brzmi „nie wiem”, potrzebujesz krótkiego audytu startowego i decyzji, kto poprowadzi temat.
NIS2 nie nagradza firm za deklaracje, ale za decyzje, odpowiedzialność i dowody działania. W produkcji najdroższe luki często są małe: stały dostęp serwisowy, nietestowany backup, brak właściciela incydentu, nieaktualna lista systemów.
Dobra checklista NiS2 skraca rozmowę, bo pokazuje, co jest zrobione, czego brakuje i kto ma podjąć decyzję. To najlepszy pierwszy krok, zanim przepisy sprawdzi audytor, klient albo incydent.

Nie. Trzeba sprawdzić sektor, skalę działalności i kryteria wskazane w ustawie. Dlatego pierwszym krokiem jest samoidentyfikacja.
Polska nowelizacja KSC weszła w życie 3 kwietnia 2026 r. Dla wielu firm ważny jest termin 3 października 2026 r. na wpis do wykazu KSC oraz 3 kwietnia 2027 r. na wdrożenie obowiązków SZBI, jeśli spełniały kryteria 3 kwietnia 2026 r.
Nie. IT odpowiada za wiele zabezpieczeń, ale zarząd odpowiada za decyzje, budżet, nadzór, role i zarządzanie ryzykiem.
Najpierw wykonaj samoidentyfikację, potem sprawdź systemy, dostępy, backup, dostawców i procedurę incydentową. Dopiero na tej podstawie ustal plan wdrożenia.
Nie zawsze. Najpierw trzeba sprawdzić luki. Narzędzie może pomóc, gdy firma chce prowadzić rejestr działań, ryzyk, dostawców i dowodów zgodności w jednym miejscu.