Kiedy w rozmowach pada słowo „NIS2”, większość właścicieli małych firm wyłącza się po pierwszym zdaniu. Za duże, za skomplikowane, na pewno nie dotyczy firmy z dziesięcioma osobami. Problem w tym, że to błędne założenie — i kosztowne.
NIS2 nie pyta o liczbę pracowników w ten sam sposób, co RODO. Pyta o sektor i charakter działalności. I w wielu przypadkach mała firma może być podmiotem ważnym lub kluczowym, nawet jeśli zatrudnia kilka osób.
Kogo faktycznie dotyczy NIS2?
Dyrektywa NIS2 (EU 2022/2555), wdrażana w Polsce przez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa, obejmuje organizacje z 18 sektorów. Podział jest prosty:
- Podmioty kluczowe — energetyka, transport, zdrowie, woda, infrastruktura cyfrowa, administracja publiczna. Tutaj rozmiar ma mniejsze znaczenie niż funkcja.
- Podmioty ważne — usługi pocztowe, gospodarka odpadami, produkcja, handel chemikaliami, dostawcy usług cyfrowych, żywność. Tu próg wejścia to zazwyczaj 50 pracowników lub 10 mln EUR obrotu — ale są wyjątki.
Gdzie małe firmy i instytucje najczęściej wpadają w zakres NIS2:
- małe przychodnie i gabinety lekarskie prowadzące elektroniczną dokumentację medyczną
- lokalne firmy IT świadczące usługi dla administracji publicznej
- małe JST — gminy wiejskie, małe powiaty
- biura rachunkowe i kancelarie prawne obsługujące podmioty regulowane
- dostawcy usług chmurowych i hostingowych, nawet jednoosobowi
Nawet jeśli Twoja firma formalnie nie kwalifikuje się jako podmiot NIS2 — Twoi klienci mogą wymagać od Ciebie spełnienia wymagań dyrektywy jako warunek współpracy. To już dzieje się w przetargach publicznych.
Co realnie musisz zrobić — bez korporacyjnego budżetu
Tutaj jest dobra wiadomość: NIS2 nie wymaga od małych organizacji kupowania drogich systemów ani zatrudniania zespołu specjalistów ds. bezpieczeństwa. Wymaga świadomego podejścia do ryzyka i kilku konkretnych działań.
Minimum, od którego warto zacząć:
Zinwentaryzuj, co masz. Lista systemów, urządzeń i danych. Brzmi banalnie, ale większość małych firm nie ma aktualnej inwentaryzacji. Bez niej nie da się ocenić ryzyka.
Zapytaj: co się stanie, jeśli to padnie? Każdy system z listy — co traci firma, jeśli przestaje działać przez godzinę, dzień, tydzień? To w najprostszej formie analiza ryzyka.
Zadbaj o podstawy techniczne. Aktualne oprogramowanie, MFA wszędzie gdzie się da, backup offline, monitoring dostępności. W kolejnych artykułach pokażę, jak to zrobić za pomocą darmowych narzędzi.
Zapisz, co robisz. NIS2 wymaga dokumentacji. Nie musi to być 200-stronicowy dokument — ale musi istnieć i być aktualne.
Ile to kosztuje?
Przy samodzielnym wdrożeniu podstaw NIS2 w małej firmie realny koszt to głównie czas — kilkanaście do kilkudziesięciu godzin pracy, zależnie od stanu punktu startowego. Narzędzia, o których piszę w tym cyklu (Zabbix, Grafana, Uptime Kuma), są open source i darmowe.
Koszt zewnętrznego wsparcia — audytu, pomocy przy dokumentacji, wdrożenia monitoringu — zależy od skali, ale dla małej firmy mówimy o kwocie dostępnej dla każdego podmiotu, który traktuje bezpieczeństwo poważnie. Nie o budżetach korporacyjnych.
Ten cykl artykułów
Przez najbliższe trzy tygodnie opublikuję serię praktycznych wpisów o wdrożeniu NIS2 w małych firmach i podmiotach publicznych — bez drogich licencji, bez konsultantów za kilkaset złotych za godzinę i bez 300-stronicowej dokumentacji jako punktu startowego.
Następny wpis: Zabbix i Grafana jako monitoring NIS2 — jak to postawić od zera za darmo.
Jeśli wolisz nie czekać i chcesz wiedzieć, gdzie stoisz już teraz — napisz do nas. Robimy bezpłatną wstępną ocenę zakresu NIS2 dla małych firm i JST. Bez zobowiązań.