Obowiązek informacyjny rodo

26 cze 2026

NIS2: odpowiednie środki, czyli jakie?


Dlaczego ten zapis brzmi dobrze… i nic nie mówi

Wiele organizacji, kiedy po raz pierwszy czyta NIS2, zatrzymuje się na zdaniu o „odpowiednich i proporcjonalnych środkach” i zadaje sobie jedno pytanie: co dokładnie mamy wdrożyć?

I właśnie tu pojawia się największe zaskoczenie – regulacja nie daje listy konkretnych rozwiązań. Nie mówi: „wdrożysz X, Y, Z i jesteś zgodny”.

Zamiast tego mówi coś trudniejszego: masz sam dobrać środki, ale musisz umieć uzasadnić, że są właściwe.

Zamiast listy kontrolnej – myślenie o ryzyku

To, co brzmi jak ogólnik, w rzeczywistości jest fundamentem całego podejścia NIS2. „Odpowiednie i proporcjonalne” oznacza jedno: zabezpieczenia mają wynikać z tego, co naprawdę może zagrozić Twojej organizacji.

Dla jednej firmy kluczowym ryzykiem będzie przerwa w dostępności systemu. Dla innej – wyciek danych. Dla jeszcze innej – zależność od jednego dostawcy. I każda z nich powinna reagować inaczej.

Co to oznacza w praktyce – kilka prostych przykładów

Zamiast abstrakcji, warto spojrzeć na konkretne sytuacje, które dobrze pokazują sens tego podejścia.

Jeżeli w organizacji dostęp do kluczowych systemów ma kilkanaście osób i każda z nich używa pojedynczego hasła, to trudno mówić o „proporcjonalnym” zabezpieczeniu. W takim przypadku naturalnym krokiem jest wprowadzenie dodatkowej warstwy ochrony, np. uwierzytelniania wieloskładnikowego czy uporządkowania uprawnień.

Jeżeli firma przechowuje dane klientów i nie ma żadnego mechanizmu ich zabezpieczenia na wypadek utraty sprzętu lub włamania, to pojawia się oczywista potrzeba ich ochrony, na przykład poprzez szyfrowanie.

Jeżeli wszystkie systemy działają w jednej, niepodzielonej infrastrukturze, to jeden incydent może sparaliżować całą organizację. W takiej sytuacji „proporcjonalnym” środkiem jest rozdzielenie środowisk tak, aby problem w jednym obszarze nie rozprzestrzeniał się automatycznie.

Jeżeli pracownicy nie wiedzą, jak rozpoznać podejrzaną wiadomość lub do kogo zgłosić problem, to nawet najlepsze systemy nie pomogą. Dlatego szkolenia i jasne zasady reagowania są równie istotne jak technologie.

I wreszcie, jeżeli organizacja nie ma żadnego planu działania w przypadku incydentu, to nawet drobne zdarzenie może szybko przerodzić się w poważny problem.

Najważniejsze: chodzi o skuteczność, nie o technologię

Wszystkie te przykłady prowadzą do jednego wniosku: NIS2 nie koncentruje się na narzędziach, tylko na zdolności organizacji do radzenia sobie z ryzykiem. To ogromna zmiana myślenia.

Nie jest istotne, czy organizacja ma najnowocześniejsze rozwiązania. Istotne jest czy potrafi: zapobiegać problemom, wykrywać je odpowiednio wcześnie i reagować, gdy coś się wydarzy.

Gdzie najczęściej pojawia się błąd

Najczęstszy problem nie polega na braku zabezpieczeń, ale na ich przypadkowym doborze. Organizacje kopiują rozwiązania od innych, wdrażają narzędzia „bo tak trzeba” albo inwestują w technologie, które nie odpowiadają na realne ryzyka. W efekcie powstaje system, który wygląda dobrze na papierze, ale nie działa w praktyce.

Jak to zapamiętać najprościej

Można uprościć cały art. 21 NIS2 do jednego zdania: nie musisz mieć wszystkiego – musisz mieć to, czego naprawdę potrzebujesz, i umieć to uzasadnić. To właśnie jest „proporcjonalność”. I to jest moment, w którym cyberbezpieczeństwo przestaje być projektem technicznym, a zaczyna być elementem zarządzania organizacją.