To ostatni wpis z cyklu o NIS2 dla małych firm i podmiotów publicznych. Przez ostatnie tygodnie pisałem o konkretnych narzędziach i procedurach — czas zebrać to w jedną checklistę i odpowiedzieć na pytanie, które pojawia się najczęściej: ile to w ogóle kosztuje?
Kompletna checklista NIS2 dla małej organizacji
Poniżej lista podzielona na dwie kolumny: co możesz zrobić samodzielnie mając czas i podstawową wiedzę techniczną, a co warto oddać specjalistom, żeby zrobić to dobrze i nie tracić tygodni.
Inwentaryzacja i ocena ryzyka
✅ Zrób sam: lista systemów, urządzeń i usług zewnętrznych w arkuszu. Wystarczy Excel lub Notion.
⚙️ Zleć: analiza ryzyka z macierzą zagrożeń i planem postępowania — to wymaga metodologii i doświadczenia, żeby nie była fikcją na papierze.
Monitoring infrastruktury
✅ Zrób sam: Uptime Kuma w Dockerze — 10 minut i monitorujesz strony, API i serwery. Zabbix z gotowymi szablonami — kilka godzin na podstawową konfigurację.
⚙️ Zleć: integracja Zabbix + Grafana z alertami, szablonami dla Twoich konkretnych systemów i dashboardem gotowym do audytu.
Dokumentacja bezpieczeństwa
✅ Zrób sam: politykę haseł, zasady korzystania ze sprzętu firmowego, prostą procedurę backupu — na bazie publicznie dostępnych szablonów.
⚙️ Zleć: Politykę Bezpieczeństwa Informacji, procedury zarządzania incydentami, politykę kontroli dostępu — dokumenty, które muszą być spójne ze sobą i z prawem. Źle napisane nie chronią organizacji.
Zabezpieczenia techniczne
✅ Zrób sam: MFA na wszystkich kontach (Google Workspace, Microsoft 365, VPN) — to kwestia godziny. Aktualizacje systemu — to kwestia dyscypliny.
⚙️ Zleć: segmentację sieci, konfigurację firewalla na styku z internetem, wdrożenie PAM dla kont uprzywilejowanych.
Backup i ciągłość działania
✅ Zrób sam: backup automatyczny na zewnętrzny nośnik lub chmurę, test odtworzenia raz na kwartał.
⚙️ Zleć: Plan Ciągłości Działania z wartościami RTO/RPO i udokumentowanym scenariuszem ćwiczeń.
Zarządzanie incydentami
✅ Zrób sam: konto na incydent.cert.pl, prosty log incydentów w arkuszu, lista kontaktów na wypadek awarii.
⚙️ Zleć: kompletne procedury z klasyfikacją incydentów, szablonem raportu do CSIRT i scenariuszem ćwiczenia.
Szkolenia
✅ Zrób sam: jednorazowe omówienie zasad bezpieczeństwa z zespołem — phishing, hasła, zgłaszanie podejrzeń.
⚙️ Zleć: regularne, weryfikowalne szkolenia z dokumentacją uczestnictwa (wymóg NIS2).
Ile to realnie kosztuje?
Uczciwa odpowiedź, bez owijania w bawełnę:
Samodzielne wdrożenie minimum (Uptime Kuma, podstawowy Zabbix, prosta dokumentacja): 0 zł w licencjach + 20–40 godzin pracy własnej. Przy stawce rynkowej własnego czasu to kilka–kilkanaście tysięcy złotych „kosztu alternatywnego”.
Wdrożenie z zewnętrznym wsparciem (pełny monitoring, kompletna dokumentacja, procedury): dla małej firmy (do 50 osób) realny koszt to kilka–kilkanaście tysięcy złotych jednorazowo, zależnie od stanu startowego i zakresu. Nie dziesiątki tysięcy — to koszt dla dużych organizacji.
Utrzymanie i aktualizacje (przeglądy dokumentacji, monitoring alertów, aktualizacje systemu): kilkaset złotych miesięcznie przy outsourcingu do firmy takiej jak Zjawa.IT. Samodzielnie — kilka godzin miesięcznie.
Skąd zacząć jeszcze dziś
Jeśli czytałeś cały cykl i nadal nie wiesz, od czego zacząć — zacznij od jednej rzeczy: zainstaluj Uptime Kuma i dodaj 5 najważniejszych usług w swojej firmie. Zajmie to pół godziny i od razu zobaczysz wartość: alerty gdy coś pada, historia dostępności, certyfikaty SSL pod kontrolą.
Resztę możesz dokładać stopniowo.
Chcesz zrobić to raz, porządnie?
W Zjawa.IT specjalizujemy się we wdrożeniach NIS2 dla małych firm i podmiotów publicznych. Wiemy, co jest naprawdę wymagane, a co to marketing strachu. Robimy audyt wstępny, wdrożenie monitoringu (Zabbix + Grafana + Uptime Kuma), kompletną dokumentację i szkolenie dla zespołu — jako jeden projekt z jasną ceną.
Napisz na zjawa.it/kontakt — odpowiadamy w ciągu jednego dnia roboczego i zaczynamy od bezpłatnej oceny zakresu, bez zobowiązań.