Dyrektywa NIS2 a Twoje dokumenty: Co firmy z UE muszą wiedzieć
NIS2 to największe rozszerzenie unijnych przepisów o cyberbezpieczeństwie od dekady. Obejmuje ponad 160 000 podmiotów z 18 sektorów — a większość wymogów dotyczy dokumentacji. Rejestry ryzyk, zapisy incydentów, zatwierdzenia polityk, oceny dostawców, logi szkoleń. Oto, co faktycznie musisz zrobić.
Ostatnia aktualizacja: kwiecień 2026
Krótka odpowiedź
- → NIS2 to przede wszystkim wyzwanie w zakresie dokumentacji i ładu korporacyjnego, a nie technologii. Siedem z dziesięciu obowiązkowych środków bezpieczeństwa wynikających z art. 21 dotyczy zasadniczo udokumentowanych procesów, zatwierdzonych polityk i dowodów podlegających audytowi.
- → Jeśli Twoja organizacja działa w jednym z 18 objętych sektorów i zatrudnia co najmniej 50 pracowników (lub przekracza 10 mln € rocznego obrotu), najprawdopodobniej podlegasz dyrektywie — jako podmiot kluczowy lub ważny.
- Konkluzja: System zarządzania dokumentami sam w sobie nie czyni Cię zgodnym z NIS2. Ale złe zarządzanie dokumentami — brak polityk, brak historii wersji, brak ścieżek zatwierdzania — gwarantuje oblany audyt.
Czym jest NIS2 i dlaczego ma znaczenie?
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) to dyrektywa (UE) 2022/2555, przyjęta w grudniu 2022 r. i obowiązująca od stycznia 2023 r. Zastępuje ona pierwotną dyrektywę NIS z 2016 r. Skala zmian jest ogromna: NIS1 obejmowała ok. 15 000 podmiotów w 7 sektorach. NIS2 obejmuje ponad 160 000 podmiotów w 18 sektorach. To dziesięciokrotny wzrost.
Państwa członkowskie były zobowiązane do transpozycji NIS2 do prawa krajowego do 17 października 2024 r. Według stanu na kwiecień 2026 r., zrobiło to 21 z 27 państw. Komisja Europejska wysłała uzasadnione opinie do 19 państw w maju 2025 r. za brak powiadomienia o pełnej transpozycji. Niemcy zakończyły proces w grudniu 2025 r. Francja ma sfinalizować swoją ustawę Loi Résilience w połowie 2026 r. Egzekwowanie przepisów już się rozpoczęło.
| Aspekt | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Podmioty objęte zakresem | ~15 000 | ~160 000+ |
| Objęte sektory | 7 | 18 |
| Maksymalna grzywna | Zależna od państwa członkowskiego | 10 mln € lub 2% globalnego obrotu |
| Odpowiedzialność zarządu | Brak | Odpowiedzialność osobista (art. 20) |
| Zgłaszanie incydentów | „Bez zbędnej zwłoki” | 24h / 72h / 1 miesiąc (art. 23) |
| Wymogi dot. łańcucha dostaw | Brak | Obowiązkowe (art. 21 ust. 2 lit. d)) |
Mimo to, według badania CyberSmart przeprowadzonego wśród 670 liderów biznesu w ośmiu krajach UE opublikowanego w kwietniu 2026 r., tylko 16% firm objętych dyrektywą jest w pełni zgodnych z NIS2. Głównymi barierami są ograniczenia budżetowe oraz brak wytycznych dotyczących wdrażania środków. Ten przewodnik odnosi się do tego drugiego problemu.
Czy podlegasz dyrektywie?
NIS2 dotyczy podmiotów, które działają w jednym z 18 wyznaczonych sektorów ORAZ spełniają próg wielkości. Istnieją dwie klasyfikacje podmiotów: kluczowe (wyższe obowiązki, proaktywny nadzór) i ważne (łagodniejszy nadzór, ale te same podstawowe środki bezpieczeństwa).
Ogólny próg wielkości to średnie przedsiębiorstwo lub większe: 50 lub więcej pracowników LUB roczny obrót przekraczający 10 mln € LUB roczna suma bilansowa przekraczająca 10 mln €. Niektóre podmioty kwalifikują się bez względu na wielkość — w tym dostawcy DNS, rejestry TLD, dostawcy usług zaufania oraz dostawcy publicznych sieci łączności elektronicznej.
18 sektorów jest podzielonych na dwa załączniki. Oba wiążą się z tymi samymi wymogami bezpieczeństwa z art. 21. Różnica polega na sposobie interakcji organów nadzorczych:
| Klasyfikacja | Sektory (Załącznik) | Nadzór |
|---|---|---|
| Kluczowe (Załącznik I) | Energia, transport, bankowość, infrastruktura rynków finansowych, zdrowie, woda pitna, ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT (B2B), administracja publiczna, przestrzeń kosmiczna | Proaktywny — organy mogą przeprowadzać audyty, inspekcje i żądać dowodów w dowolnym momencie |
| Ważne (Załącznik II) | Usługi pocztowe, gospodarowanie odpadami, chemikalia, produkcja i dystrybucja żywności, produkcja (wyroby medyczne, elektronika, maszyny, pojazdy), dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, sieci społecznościowe), badania naukowe | Reaktywny — organy prowadzą dochodzenie po incydencie lub gdy pojawią się dowody braku zgodności |
Uwaga: propozycja poprawki Komisji ze stycznia 2026 r. wprowadza nową kategorię „małych spółek o średniej kapitalizacji” (small mid-cap) dla podmiotów zatrudniających mniej niż 750 pracowników i o obrocie poniżej 150 mln €. Zgodnie z tą propozycją, byłyby one klasyfikowane jako ważne, a nie kluczowe, nawet jeśli działają w sektorach z Załącznika I. Jest to wciąż na etapie negocjacji legislacyjnych i jeszcze nie obowiązuje.
10 obowiązkowych środków bezpieczeństwa (art. 21)
Art. 21 ust. 2 wymienia dziesięć minimalnych środków bezpieczeństwa, które musi wdrożyć każdy podmiot objęty dyrektywą. To nie są sugestie — to wymogi prawne, szczegółowo opisane w rozporządzeniu wykonawczym Komisji (CIR) 2024/2690.
Kluczowy wniosek: spójrz na kolumnę „Wymagany dokument”. Siedem z dziesięciu środków dotyczy zasadniczo posiadania udokumentowanych, zatwierdzonych i podlegających audytowi polityk lub procedur. To tutaj zarządzanie dokumentami staje się bezpośrednio istotne.
| # | Wymóg | Co to oznacza | Wymagany dokument |
|---|---|---|---|
| (a) | Analiza ryzyka i polityki bezpieczeństwa systemów informacyjnych | Zidentyfikuj ryzyka, oceń je i udokumentuj sposób postępowania z nimi | Rejestr ryzyk, metodologia oceny ryzyka, polityka bezpieczeństwa |
| (b) | Obsługa incydentów | Wykrywanie incydentów bezpieczeństwa, reagowanie na nie i wyciąganie z nich wniosków | Plan reagowania na incydenty, macierz eskalacji, szablon przeglądu poincydentalnego |
| (c) | Ciągłość działania i zarządzanie kryzysowe | Zarządzanie kopiami zapasowymi, odzyskiwanie po awarii i reagowanie kryzysowe | Plan ciągłości działania, plan odzyskiwania po awarii, polityka kopii zapasowych |
| (d) | Bezpieczeństwo łańcucha dostaw | Ocena i zarządzanie ryzykiem cyberbezpieczeństwa ze strony dostawców | Polityka bezpieczeństwa dostawców, rejestry oceny kontrahentów |
| (e) | Bezpieczeństwo w nabywaniu, rozwoju i utrzymaniu | Obsługa podatności i praktyki bezpiecznego programowania | Procedura zarządzania poprawkami, polityka ujawniania podatności |
| (f) | Testowanie skuteczności | Ocena, czy stosowane środki bezpieczeństwa faktycznie działają | Harmonogram audytów wewnętrznych, raporty z testów, pulpit KPI |
| (g) | Podstawowa cyberhigiena i szkolenia | Szkolenie personelu i wprowadzanie praktyk bezpieczeństwa do codziennej rutyny | Plan szkoleń, listy obecności, materiały edukacyjne |
| (h) | Kryptografia i szyfrowanie | Polityki szyfrowania danych w spoczynku i w transmisji | Polityka kryptografii, procedura zarządzania kluczami |
| (i) | Bezpieczeństwo zasobów ludzkich i kontrola dostępu | Zarządzanie dostępem od momentu zatrudnienia do odejścia z pracy | Polityka kontroli dostępu, procedura przyjmowania, zmian i odchodzenia pracowników |
| (j) | Uwierzytelnianie wieloskładnikowe i bezpieczna komunikacja | MFA w systemach krytycznych, zabezpieczona komunikacja głosowa/wideo/tekstowa | Polityka wymuszania MFA, standardy bezpiecznej komunikacji |
NIS2 to problem dokumentacji
W tym miejscu większość poradników dotyczących NIS2 zawodzi. Wyjaśniają one 10 środków, wymieniają sektory i idą dalej. Jednak prawdziwym wyzwaniem w zakresie zgodności nie jest wdrożenie zapory ogniowej czy włączenie MFA — większość średnich firm już to ma. Wyzwaniem jest udowodnienie tego.
Audytorzy nie sprawdzają reguł zapory ogniowej. Sprawdzają dokumentację. Chcą widzieć, że polityki istnieją, są aktualne (przeglądane w ciągu ostatnich 12 miesięcy), posiadają udokumentowane zatwierdzenie przez kierownictwo i są wersjonowane z historią zmian. W ramach NIS2 dowodem jest sama zgodność.
Rozporządzenie wykonawcze Komisji (CIR 2024/2690) przekłada artykuł 21 na około 30 konkretnych dokumentów, które podmioty muszą tworzyć i utrzymywać. Nie są one opcjonalne — to właśnie o nie poproszą organy nadzorcze podczas audytu lub po incydencie.
| Rodzaj dowodu | Co sprawdza audytor | Jak pomaga DMS |
|---|---|---|
| Dokumenty polityk | Aktualna wersja, zatwierdzenie przez zarząd, data przeglądu, historia wersji | Kontrola wersji, procesy zatwierdzania, ścieżka audytu przy każdej zmianie |
| Rejestr ryzyk | Mapowanie zasobów, ryzyk i zabezpieczeń, wskazani właściciele, status postępowania, logi przeglądów | Strukturyzowane przechowywanie z metadanymi, wyszukiwanie według właściciela lub statusu |
| Rejestry incydentów | Oś czasu, klasyfikacja, działania naprawcze, przegląd poincydentalny, minimum 5-letni okres przechowywania | Niezmienne logi audytowe, polityki retencji, wyszukiwanie pełnotekstowe |
| Oceny dostawców | Wypełnione kwestionariusze dostawców, klauzule bezpieczeństwa w umowach, okresowe przeglądy | Przechowywanie umów, tagowanie według dostawcy, przypomnienia o odnowieniu |
| Rejestry szkoleń | Listy obecności, daty ukończenia, dowody przeszkolenia kadry zarządzającej | Archiwizacja dokumentów, wyszukiwanie po dacie, organizacja według kategorii |
| Decyzje zarządu | Protokoły z posiedzeń zarządu wykazujące dyskusje o cyberbezpieczeństwie, zatwierdzenie akceptacji ryzyka | Procesy zatwierdzania ze znacznikami czasu i imiennymi osobami zatwierdzającymi |
Powracającym motywem jest identyfikowalność. Każdy dokument musi odpowiadać na pytania: kto go utworzył, kiedy, kto go zatwierdził, kiedy był ostatnio przeglądany i co zmieniło się w stosunku do poprzedniej wersji. Folder na dysku współdzielonym tego nie zapewnia. DMS z historią wersji i procesami zatwierdzania — tak.
Zgłaszanie incydentów: zasada 24-72-1
Artykuł 23 nakłada obowiązek trzystopniowego procesu zgłaszania poważnych incydentów. Niedotrzymanie tych terminów samo w sobie jest naruszeniem zgodności. Każdy etap wymaga udokumentowanych dowodów — co oznacza, że jakość rejestrów incydentów jest bezpośrednio powiązana z ekspozycją na ryzyko regulacyjne.
Wczesne ostrzeżenie
Powiadom krajowy zespół CSIRT w ciągu 24 godzin od powzięcia wiadomości o poważnym incydencie. Jest to wstępny alert — nie pełna analiza.
Zgłoszenie incydentu
Prześlij wstępną ocenę incydentu: dotkliwość, wpływ, wskaźniki naruszenia sprawności oraz skutki transgraniczne.
Raport końcowy
Dostarcz kompleksowy raport: analizę przyczyn źródłowych, podjęte środki naprawcze oraz wpływ transgraniczny. Jeśli incydent nadal trwa, prześlij zamiast tego raport z postępów.
W praktyce organizacje, którym brakuje ustrukturyzowanego zarządzania dokumentami, mają trudności z zebraniem dowodów incydentu pod presją czasu. Te, które utrzymują uporządkowane rejestry — ze znacznikami czasu, historią wersji i przeszukiwalnym archiwum — mogą dostarczyć organom nadzorczym to, czego potrzebują, w ciągu godzin, a nie tygodni.
Na jakim etapie jest Twój kraj?
Dyrektywa NIS2 powinna zostać transponowana do prawa krajowego do 17 października 2024 r. W rzeczywistości wdrażanie przebiega powoli. Według monitora ECSO, do kwietnia 2026 r. 21 z 27 państw członkowskich zakończyło transpozycję. W maju 2025 r. Komisja Europejska skierowała uzasadnione opinie do 19 państw, dając im dwa miesiące na zakończenie transpozycji pod groźbą postępowania przed Trybunałem Sprawiedliwości.
Oto status sześciu największych gospodarek UE:
| Kraj | Status | Szczegóły |
|---|---|---|
| Niemcy | Transponowana | Ustawa BSI przyjęta 6 grudnia 2025 r. Weszła w życie bez okresu przejściowego. Nałożono pierwszą karę: 850 000 € na dostawcę chmury (luty 2026). |
| Francja | W toku | Loi Résilience przeszła pierwsze czytanie w Zgromadzeniu Narodowym. Ostateczne przyjęcie spodziewane w I/II kwartale 2026 r. ANSSI wszczęło dochodzenia wobec 14 podmiotów. |
| Włochy | Transponowana | Dekret legislacyjny 138/2024 obowiązuje od października 2024 r. ACN raportuje ponad 4800 zarejestrowanych podmiotów; ok. 2000 wciąż pozostaje niezarejestrowanych. |
| Hiszpania | Wstrzymana | Brak spodziewanego postępu legislacyjnego w najbliższym czasie. |
| Holandia | W toku | Ustawa o cyberbezpieczeństwie (Cbw) w przygotowaniu. Termin samooceny dla podmiotów wyznaczono na czerwiec 2026 r. |
| Polska | W toku | Prace nad nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa (KSC) na ukończeniu. |
Nawet jeśli Twój kraj nie dokonał jeszcze transpozycji NIS2, dyrektywa obowiązuje.
NIS2 obowiązuje jako prawo UE od 18 października 2024 r. Organy krajowe będą egzekwować wymogi wstecznie po zakończeniu transpozycji. Rozpoczęcie prac nad zgodnością już teraz — zamiast czekania na krajowe przepisy — jest jedynym rozsądnym rozwiązaniem.
Kary są realne
NIS2 wprowadza dwa poziomy administracyjnych kar pieniężnych, wzorowanych na strukturze kar z RODO. Państwa członkowskie mogą ustalić maksima powyżej tych progów, ale nie poniżej.
| Typ podmiotu | Maksymalna kara | Alternatywa obrotowa | Dodatkowe uprawnienia |
|---|---|---|---|
| Kluczowy | 10 000 000 € | lub 2% łącznego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa) | Wiążące polecenia, audyty bezpieczeństwa na koszt podmiotu, tymczasowe zakazy pełnienia funkcji kierowniczych |
| Ważny | 7 000 000 € | lub 1,4% łącznego rocznego światowego obrotu (w zależności od tego, która kwota jest wyższa) | Wiążące polecenia, audyty bezpieczeństwa na koszt podmiotu |
Artykuł 20 wprowadza odpowiedzialność osobistą: organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie i nadzorować ich wdrażanie. Członkowie kierownictwa mogą zostać pociągnięci do osobistej odpowiedzialności za brak zgodności. W niektórych państwach członkowskich, w tym w Niemczech, obejmuje to tymczasowe zakazy pełnienia funkcji kierowniczych.
Egzekwowanie przepisów podąża wczesnym wzorcem RODO. Niemiecki BSI wydał 47 formalnych upomnień w IV kwartale 2025 r. i nałożył pierwszą karę finansową (850 000 € na dostawcę usług chmurowych) w lutym 2026 r. Francuski ANSSI wszczął 14 dochodzeń. Włoski ACN skupił się na egzekwowaniu rejestracji. Oczekuje się, że znaczące kary finansowe będą rosły w latach 2026–2027 wraz z dojrzewaniem krajowych organów nadzorczych.
Propozycja uproszczenia ze stycznia 2026 r.
20 stycznia 2026 r. Komisja Europejska opublikowała propozycję ukierunkowanych zmian w NIS2 w ramach szerszego pakietu dotyczącego cyberbezpieczeństwa. Deklarowanym celem jest uproszczenie zgodności, zwiększenie pewności prawa i zharmonizowanie wdrażania. Propozycja przejdzie przez zwykłą procedurę ustawodawczą, a porozumienie polityczne planowane jest na początek 2027 r.
Oto co może się zmienić — a co pozostanie bez zmian:
NIE zmieni się
- ×10 obowiązkowych środków bezpieczeństwa (Artykuł 21)
- ×Wymogi dotyczące dokumentacji i dowodów
- ×Terminy zgłaszania incydentów (24h/72h/1 miesiąc)
- ×Struktura kar i odpowiedzialność kierownictwa
Może się zmienić (etap propozycji)
- ✓Nowa kategoria "małych spółek o średniej kapitalizacji" (<750 pracowników, <150 mln € obrotu) — przeklasyfikowanie jako podmioty ważne zamiast kluczowych
- ✓Ścieżka zgodności oparta na certyfikacji w ramach unijnych ram certyfikacji cyberbezpieczeństwa
- ✓Wyłączenie mikro i małych dostawców DNS z zakresu stosowania
- ✓Maksymalna harmonizacja aktów wykonawczych — mniejsze rozbieżności między krajami
Kierunek jest jasny: NIS2 staje się prostsza w obsłudze, ale nie słabsza. Podstawowe obowiązki pozostają bez zmian. Jeśli opóźniasz wdrożenie zgodności z nadzieją, że poprawki Cię z niej zwolnią, podejmujesz ryzyko prawne. Propozycja zawęża zakres na obrzeżach, ale nie zmniejsza wymogów dla podmiotów, które w nim pozostają.
Praktyczna lista kontrolna dla MŚP
Jeśli czytasz to, ponieważ Twój inspektor ds. zgodności powiedział "możemy być objęci tymi przepisami" — oto minimalna ścieżka postępowania. To nie jest kompleksowy plan wdrożenia NIS2. To zestaw działań, które pozwolą Ci przejść od zera do gotowości audytowej w zakresie wymogów dokumentacyjnych.
Ustal, czy podlegasz przepisom
Sprawdź swój sektor w załącznikach I i II. Zastosuj próg wielkości (50+ pracowników lub 10 mln €+ obrotu). Jeśli masz wątpliwości, skonsultuj się z rejestrem krajowego organu — kilka państw członkowskich opublikowało listy podmiotów lub narzędzia do samooceny.
Sklasyfikuj podmiot jako kluczowy lub ważny
Sektory z Załącznika I są zazwyczaj kluczowe; sektory z Załącznika II są zazwyczaj ważne. Rozróżnienie to wpływa na intensywność nadzoru, ale nie na podstawowe wymogi Artykułu 21. Udokumentuj uzasadnienie swojej klasyfikacji.
Przeprowadź analizę luk w odniesieniu do 10 środków
Dla każdego z 10 środków z Artykułu 21 odpowiedz na pytania: czy mamy udokumentowaną politykę? Czy jest zatwierdzona przez kierownictwo? Czy była przeglądana w ciągu ostatnich 12 miesięcy? Czy mamy dowody wdrożenia? Odnotuj braki.
Zbuduj pakiet dowodowy
Zacznij od trzech podstawowych rejestrów: ryzyk, incydentów i dostawców. Dodaj politykę bezpieczeństwa informacji, plan ciągłości działania i rejestr szkoleń. Każdy dokument musi mieć właściciela, datę przeglądu, kontrolę wersji i zatwierdzenie zarządu.
Skonfiguruj zarządzanie cyklem życia dokumentów
Każdy dokument polityki NIS2 wymaga daty utworzenia, zapisu zatwierdzenia, harmonogramu przeglądów i historii wersji. Jeśli zarządzasz tym w folderze współdzielonym, stracisz kontrolę w ciągu kilku miesięcy. DMS z procesami zatwierdzania i ścieżkami audytu sprawia, że jest to wykonalne w dłuższej perspektywie.
Zaplanuj przeglądy zarządcze i szkolenia
Artykuł 20 wymaga, aby organy zarządzające zatwierdzały środki cyberbezpieczeństwa i przechodziły szkolenia. Zaplanuj kwartalne przeglądy, dokumentuj obecność i przechowuj zapisy decyzji. To są dowody, które audytorzy sprawdzają w pierwszej kolejności.
Jak Veluvanto pomaga w dokumentacji NIS2
Veluvanto nie jest platformą GRC. Nie zastępuje metodologii oceny ryzyka ani procedur reagowania na incydenty. Zapewnia natomiast warstwę zarządzania dokumentami, która sprawia, że dowody zgodności z NIS2 są trwałe — to element, z którym większość firm ma największy problem po początkowym wdrożeniu.
- ✓Przechowywanie dokumentów z kontrolą wersji: każda edycja jest rejestrowana z sygnaturą czasową, użytkownikiem i poprzednią wersją. Możesz odtworzyć stan dowolnego dokumentu w dowolnym momencie — dokładnie tego wymagają audytorzy.
- ✓Procesy zatwierdzania: kieruj dokumenty polityk do zatwierdzenia przez kierownictwo ze śledzeniem statusu. Łańcuch zatwierdzeń tworzy ścieżkę dowodową, której wymaga Artykuł 20.
- ✓Pełna ścieżka audytu: każde działanie na dokumencie (przesłanie, wyświetlenie, edycja, zatwierdzenie, archiwizacja) jest logowane. Nie wymaga to ręcznego śledzenia — dowody zgodności generowane są automatycznie.
- ✓Wyszukiwanie i organizacja oparte na AI: znajdź dowolny dokument w kilka sekund, używając zapytań w języku naturalnym. Gdy audytor poprosi o oceny bezpieczeństwa dostawców z III kwartału, możesz je natychmiast pobrać, zamiast przeszukiwać foldery.
- ✓Rezydencja danych w UE i szyfrowanie: dokumenty są przechowywane w UE z szyfrowaniem AES-256 w spoczynku i w transmisji. Żadne dane nie opuszczają granicy danych UE — w przeciwieństwie do niektórych narzędzi AI, które przekierowują przetwarzanie do centrów danych w USA w okresach szczytowego zapotrzebowania.
- ✓Zgodność z RODO w fazie projektowania: izolacja najemców, szyfrowanie SSE-C i zarządzanie cyklem życia danych. Wymagania dokumentacyjne NIS2 i RODO w znacznym stopniu się pokrywają — system spełniający jeden z tych standardów przybliża Cię do spełnienia drugiego.
Najtrudniejszą częścią zgodności z NIS2 nie jest wstępna konfiguracja — jest nią utrzymanie dowodów w czasie. Procedury stają się nieaktualne, przeglądy są pomijane, a rejestry szkoleń znikają. DMS, który wymusza kontrolę wersji, śledzi zatwierdzenia i loguje każde działanie, zmienia zgodność z kwartalnej gorączki w proces działający w tle.
Źródła i dalsza lektura
Niniejszy przewodnik opiera się na następujących źródłach pierwotnych. Daty w nawiasach wskazują datę publikacji lub ostatniej aktualizacji każdego źródła.
- Dyrektywa (UE) 2022/2555 (dyrektywa NIS2) — Pełny tekst w EUR-Lex (grudzień 2022)
- Rozporządzenie wykonawcze Komisji (UE) 2024/2690 — Środki techniczne dla zgodności z NIS2 (październik 2024)
- COM(2026) 13 — Wniosek dotyczący ukierunkowanych zmian w NIS2 i dostosowania do aktu o cyberbezpieczeństwie (styczeń 2026)
- ECSO NIS2 Transposition Tracker — 21 z 27 państw członkowskich dokonało transpozycji do kwietnia 2026 r.
- Komisja Europejska, uzasadniona opinia dla 19 państw członkowskich w sprawie transpozycji NIS2 (maj 2025 r.)
- CyberSmart, "Tylko 16% firm jest w pełni zgodnych z NIS2" — badanie przeprowadzone wśród 670 liderów biznesu (kwiecień 2026 r.)
- ENISA, Wytyczne dotyczące technicznego wdrażania NIS2 (2025 r.)
- Niemcy BSI — Pierwsza kara NIS2: 850 000 € dla dostawcy usług chmurowych (luty 2026)
- Ocena skutków Komisji Europejskiej — zakres NIS2: ok. 160 000 podmiotów w 18 sektorach
Powiązane poradniki
Zarządzanie dokumentami a RODO
Jak przechowywać, organizować i chronić dane osobowe w DMS — NIS2 i RODO mają znaczące punkty wspólne w dokumentacji
Akt o AI (EU AI Act) a zarządzanie dokumentami
Inny ważny termin zgodności w UE w 2026 roku — obowiązki przejrzystości dla funkcji AI w Twoim DMS
Procesy zatwierdzania dokumentów
Jak skonfigurować łańcuchy zatwierdzania dokumentów polityki — fundament dowodów ładu korporacyjnego w NIS2