Termin pierwszego audytu NIS2 to 30 czerwca 2026: co muszą udowodnić podmioty kluczowe

1 lipca 2026 roku rozmowa z klientami się zmienia. Do tej daty „pracujemy nad NIS2" to odpowiedź, której da się bronić. Po niej, w większości państw członkowskich, które dokonały transpozycji, podmiot kluczowy, który nie potrafi przedstawić dowodu zakończonego audytu zgodności, nie jest już opóźniony — narusza przepisy.

Termin pierwszego audytu, 30 czerwca 2026 roku, to pierwsza twarda granica w NIS2, która jednocześnie dotyka dużą grupę organizacji. To nie jest zawiadomienie o karze. To data, do której podmioty kluczowe powinny przeprowadzić swój pierwszy formalny audyt zgodności i posiadać dokumentację, która to potwierdza. Dla konsultantów IT, MSP i vCISO, którzy to czytają, oznacza to, że najbliższe tygodnie dotyczą dowodów, a nie architektury.

Termin, który zmienia „w toku" w „niezgodny"

NIS2 miał szereg terminów, a większość się przesunęła. Termin transpozycji przypadał na 17 października 2024 roku i większość państw członkowskich go nie dotrzymała. Terminy rejestracji się przesuwały. Ta historia nauczyła wiele organizacji traktować terminy NIS2 jako miękkie.

Ten ma inny charakter. W państwach członkowskich, które dokonały transpozycji i ustaliły obowiązki audytowe, podmioty kluczowe powinny ukończyć swój pierwszy audyt zgodności do 30 czerwca 2026 roku. Audyt to mechanizm, który przekształca środki z Article 21 z polityki na papierze w coś, co regulator może skontrolować.

Jeśli twój klient jest podmiotem kluczowym w jurysdykcji, która dokonała transpozycji, pytanie 1 lipca nie brzmi „czy wdrożyłeś zabezpieczenia?". Brzmi „pokaż mi audyt". To pytanie o dokumentację, a dokumentacja to dokładnie to, czego brakuje większości pospiesznie prowadzonych programów zgodności.

Kluczowy, ważny czy poza zakresem — potwierdź to, zanim zrobisz cokolwiek innego

Obowiązek audytu uderza najmocniej w podmioty kluczowe, więc pierwszym zadaniem jest potwierdzenie, do której kategorii należy każdy klient. Pomyłka marnuje tygodnie, których nie masz.

NIS2 obejmuje 18 sektorów i włącza organizacje daleko wykraczające poza klasyczną infrastrukturę krytyczną — produkcję, produkcję żywności, gospodarkę odpadami i dostawców cyfrowych. Powszechny próg to 50+ pracowników i 10 mln € rocznego obrotu lub sumy bilansowej, choć przepisy sektorowe włączają niektóre mniejsze podmioty niezależnie od wielkości.

Rozróżnienie na kluczowy i ważny określa reżim nadzoru. Podmioty kluczowe podlegają proaktywnemu nadzorowi ex ante — regulatorzy mogą je audytować z własnej inicjatywy, co czyni obowiązek audytu z 30 czerwca realnym dla tej grupy. Podmioty ważne podlegają lżejszemu nadzorowi ex post, uruchamianemu przez incydenty lub skargi. Te same obowiązki z Article 21, różne prawdopodobieństwo, że ktoś zapuka, zanim coś pójdzie nie tak.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak▼
Nie▼
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
Tak▼
Nie▼
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak▼
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
Tak ↓Nie →
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
Tak ↓Nie →
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
Tak ↓Nie →
✗
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
✓
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Przeprowadź to ustalenie dla każdego klienta, zanim określisz zakres choćby jednego zabezpieczenia. Organizacja, która błędnie uważa się za „ważną", może pominąć audyt, który faktycznie była winna.

Co audyt musi faktycznie udowodnić

Audyt zgodności NIS2 to nie test penetracyjny ani certyfikat ISO. To badanie, czy podmiot wdrożył i potrafi udowodnić środki zarządzania ryzykiem z Article 21, wraz z towarzyszącymi im obowiązkami w zakresie zarządzania i zgłaszania.

Article 21 określa dziesięć podstawowych środków: analizę ryzyka i polityki bezpieczeństwa systemów informacyjnych, obsługę incydentów, ciągłość działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, bezpieczeństwo w nabywaniu i rozwoju, polityki oceny skuteczności środków, cyberhigienę i szkolenia, kryptografię, kontrolę dostępu i zarządzanie zasobami oraz uwierzytelnianie wieloskładnikowe i zabezpieczoną komunikację. Audyt szuka każdego z nich jako praktyki operacyjnej z dowodami w tle — nie jako linijki w dokumencie polityki.

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
🛡️
Artykuł 21
10 Środków Cyberbezpieczeństwa
📊
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
🚨
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
🔗
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
🔐
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
👥
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Dwa obszary podkładają nogę większości programów. Pierwszy to zarządzanie: Article 20 wymaga, aby organ zarządzający zatwierdził środki cyberbezpieczeństwa i nadzorował ich wdrożenie, a członkowie muszą przejść szkolenie. Audytor poprosi o protokół zarządu lub podpisane zatwierdzenie. „Zajmuje się tym zespół IT" to zła odpowiedź, a udokumentowaną łatwo wytworzyć teraz i niemożliwe antydatować później.

Drugi to gotowość do zgłaszania incydentów. Audyt sprawdza, czy podmiot faktycznie potrafi wykonać kaskadę zgłaszania 24-72-30, a nie tylko czy istnieje opisująca ją polityka.

Zgłaszanie incydentów to zdolność, nie klauzula

Article 23 wymaga stopniowanego harmonogramu zgłaszania do krajowego CSIRT lub właściwego organu. Wczesne ostrzeżenie w ciągu 24 godzin od powzięcia wiadomości o poważnym incydencie. Pełne zgłoszenie ze wstępną oceną wagi i wskaźnikami naruszenia w ciągu 72 godzin. Raport końcowy z przyczyną źródłową, działaniami łagodzącymi i ewentualnym wpływem transgranicznym w ciągu miesiąca.

Audytor nie chce czytać polityki, która o tym mówi. Chce zobaczyć, że podmiot wie, kto uznaje incydent za poważny, kto składa wczesne ostrzeżenie, do jakiego portalu ono trafia, i że ktoś to przećwiczył. W maju 2026 roku NIS2 Cooperation Group przyjął wspólne szablony zgłaszania incydentów, co usuwa wymówkę „nie znaliśmy formatu" — format jest teraz ujednolicony.

Harmonogram Zgłaszania Incydentów NIS2
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
Krok 1
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
Krok 2
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.
Krok 3
24h
⚡
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
📋
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
📊
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Dla MSP to obszar, w którym ponosisz bezpośrednie ryzyko. Jeśli prowadzisz SOC lub monitoring klienta, zegar 24 godzin w praktyce rusza od twojego wykrycia. Upewnij się, że twoja umowa serwisowa i runbook zgadzają się co do tego, kto co składa, oraz że audyt może zobaczyć to przekazanie udokumentowane.

Sankcje sprawiają, że audyt opłaca się już teraz

Nagłówkowe liczby są znane: do 10 mln € lub 2% globalnego rocznego obrotu dla podmiotów kluczowych, w zależności od tego, która kwota jest wyższa. Ale kary rzadko bolą jako pierwsze.

Właściwe organy mogą wydawać wiążące instrukcje, zarządzić audyt bezpieczeństwa na koszt samego podmiotu oraz — w szczególności dla podmiotów kluczowych — tymczasowo zawiesić certyfikaty lub zezwolenia i zakazać osobom pełnienia funkcji kierowniczych. Wymiar osobistej odpowiedzialności to to, co przyciąga uwagę zarządu, gdy kara tego nie robi.

Nieudany lub brakujący pierwszy audyt to nić, za którą ciągną regulatorzy. Podmiot, który nie potrafi wykazać, że audytował się przed terminem, dał organowi nadzoru łatwe otwarcie do eskalacji.

Eskalacja sankcji NIS2 — Poza karą finansową
!
Zdarzenie wyzwalające
Wykryto niezgodność lub wystąpił incydent
Organ nadzorczy identyfikuje lukę w zgodności lub organizacja nie spełnia wymagań NIS2
Organy mogą nałożyć
▼
Sankcje niefinansowe
1
Nakazy zgodności z wiążącymi terminami
2
Obowiązkowe audyty bezpieczeństwa na Twój koszt
3
Publiczne ujawnienie naruszeń
4
Wiążące instrukcje dotyczące konkretnych środków bezpieczeństwa
Eskaluje do
▼
Konsekwencje operacyjne i osobiste
1
Zawieszenie certyfikatów lub licencji operacyjnych
2
Tymczasowy zakaz pełnienia funkcji zarządczych dla osób
3
Publiczne wskazanie odpowiedzialnych osób fizycznych
Zdarzenie wyzwalające
Niefinansowe
Operacyjne / osobiste

Co robić w tygodniach, które zostały

Nie odbudujesz programu bezpieczeństwa przed 30 czerwca. To nie jest cel. Celem jest zamknięcie luki dowodowej, aby klient mógł wykazać ukończony audyt i wiarygodny plan poprawy dla tego, co ujawnił.

Posegreguj środki z Article 21 na wdrożone-z-dowodem, wdrożone-bez-dowodu i niewdrożone. Środkowa kategoria daje najszybsze zwycięstwa — zabezpieczenie istnieje, trzeba je tylko udokumentować i uchwycić na zrzutach ekranu. Dla trzeciej kategorii udokumentowany plan naprawczy z właścicielami i datami jest znacznie lepszy niż milczenie; audytorzy i regulatorzy odróżniają lukę, którą zidentyfikowałeś i którą zarządzasz, od tej, którą zignorowałeś.

Załatw najpierw zatwierdzenie zarządu i rejestry szkoleń. To najłatwiejsze do wytworzenia teraz pozycje i jedyne, których naprawdę nie da się stworzyć po fakcie.

Jeśli chcesz szybko ocenić, gdzie stoi klient wobec środków z Article 21, zanim zaangażujesz godziny audytowe, uruchom nasz szybki skan NIS2 — daje migawkę luki w kilka minut, abyś mógł nadać priorytet właściwej pracy w pozostałym czasie.

Po 30 czerwca pytanie zmienia się na stałe

Pierwszy audyt to nie jednorazowe wydarzenie. Nadzór NIS2 jest ciągły, a dla podmiotów kluczowych audyty stają się powtarzalnym oczekiwaniem, a nie jednorazowym zdarzeniem. Organizacje, które traktują 30 czerwca jako początek trwałej postawy, a nie termin do przetrwania, to te, które za rok nie będą znów w pośpiechu.

Dla konsultantów i MSP to prawdziwa szansa. Termin wymusza rozmowę. To, co zbudujesz, aby go dotrzymać — udokumentowane zabezpieczenia, przećwiczona kaskada zgłaszania, akceptacja zarządu — jest fundamentem umowy abonamentowej, a nie projektu. Twoi klienci, którzy przekroczą tę linię w porządku, będą potrzebować kogoś, kto utrzyma ich w tym stanie. Tym kimś powinieneś być ty.

Po praktyczną mechanikę przeprowadzenia analizy luk przed audytem zajrzyj do naszego przewodnika krok po kroku po analizie luk NIS2. Więcej o ekspozycji na osobistą odpowiedzialność, która czyni zaangażowanie zarządu nieodzownym, znajdziesz w odpowiedzialność zarządu NIS2.