Kary i konsekwencje braku zgodności z NIS2 – realne ryzyko dla firmy

Poniżej znajdziesz najważniejsze obszary ryzyka związane z brakiem zgodności z NIS2 — od kar i audytu po przestój, straty i decyzje zarządu.

Spis treści:

1. Jakie kary przewiduje NIS2 i kogo dotyczą
   Sankcje finansowe i administracyjne oraz organizacje najbardziej narażone na kary.
2. Kiedy firma jest uznawana za niezgodną z NIS2
   Co w praktyce oznacza brak zgodności — i dlaczego backup nie wystarcza.
3. Dlaczego incydent staje się problemem regulacyjnym
   
4. Dlaczego większość firm nie przejdzie weryfikacji
   Najczęstsze luki ujawniane dopiero w trakcie incydentu.
5. Rzeczywiste konsekwencje: przestój, straty i odpowiedzialność zarządu
   Jak brak zgodności przekłada się na realne skutki biznesowe.
6. Scenariusz: ransomware i brak możliwości odtworzenia
   Co dzieje się, gdy backup istnieje, ale nie działa.
7. Dlaczego „mamy backup” nie chroni przed karą
   Gdzie powstaje największe ryzyko w standardowych rozwiązaniach.
8. Case study: incydent i brak ciągłości działania
   Realny scenariusz utraty zdolności operacyjnej.
9. Model decyzyjny: czy Twoja organizacja jest w ryzyku
   Szybka ocena: czy jesteś przygotowany na incydent.
10. FAQ – kary, odpowiedzialność i zgodność z NIS2
    

1. Jakie kary przewiduje NIS2 i kogo dotyczy

Dyrektywa NIS2 wprowadza jeden z najbardziej rygorystycznych systemów kar w obszarze cyberbezpieczeństwa w Europie. Jej celem nie jest jednak karanie za sam incydent, ale egzekwowanie odpowiedzialności za brak przygotowania organizacji.

W praktyce oznacza to, że organizacja może ponieść konsekwencje nie dlatego, że została zaatakowana, ale dlatego, że nie była w stanie udowodnić swojej odporności operacyjnej.

Wysokość kar finansowych

System sankcji w NIS2 jest bezpośrednio powiązany ze skalą działalności organizacji oraz jej znaczeniem dla gospodarki.

Warto zwrócić uwagę, że stosowana jest wyższa z tych wartości, co oznacza, że dla dużych organizacji realne ryzyko finansowe jest znacząco wyższe niż „sztywna” kara.

Tabela: porównanie poziomów sankcji

Kategoria organizacji

Maksymalna kara finansowa

Alternatywa procentowa

Podmioty kluczowe

10 mln €

do 2% globalnego obrotu

Podmioty ważne

7 mln €

do 1,4% globalnego obrotu

Kategoria organizacji	Maksymalna kara finansowa	Alternatywa procentowa
Podmioty kluczowe	10 mln €	do 2% globalnego obrotu
Podmioty ważne	7 mln €	do 1,4% globalnego obrotu

To nie tylko kary finansowe

Konsekwencje NIS2 wykraczają poza sankcje pieniężne. W wielu przypadkach bardziej dotkliwe są działania administracyjne i operacyjne.

Organ nadzorczy może:

• nakazać wdrożenie konkretnych środków bezpieczeństwa
• przeprowadzić audyt organizacji
• zobowiązać do regularnego raportowania
• ograniczyć działalność operacyjną do czasu spełnienia wymagań

W skrajnych przypadkach może to oznaczać realne zatrzymanie części operacji biznesowych.

Odpowiedzialność zarządu

Jedną z najważniejszych zmian wprowadzanych przez NIS2 jest przesunięcie odpowiedzialności na poziom zarządu.

Członkowie zarządu:

• są zobowiązani do nadzoru nad obszarem cyberbezpieczeństwa
• muszą rozumieć ryzyka związane z ciągłością działania
• mogą ponosić konsekwencje za brak odpowiednich działań

Możliwe konsekwencje obejmują:

• sankcje administracyjne
• czasowy zakaz pełnienia funkcji kierowniczych

To oznacza, że temat backupu, Disaster Recovery i ciągłości działania przestaje być wyłącznie problemem IT.

Największym błędem organizacji jest założenie, że kara wynika z incydentu. W rzeczywistości kara wynika z braku zdolności do odzyskania działania po incydencie.

Kluczowy wniosek

NIS2 zmienia sposób oceny bezpieczeństwa organizacji.

Nie liczy się to, czy incydent wystąpi.

Liczy się to, czy organizacja była w stanie:

• utrzymać ciągłość działania
• odtworzyć systemy w określonym czasie
• ograniczyć wpływ incydentu na biznes

W kolejnej sekcji przechodzimy do kluczowego pytania:

kiedy organizacja jest formalnie uznawana za niezgodną z NIS2 — i dlaczego większość firm już dziś spełnia tę definicję.

2. Kiedy firma jest uznawana za niezgodną z NIS2

Jednym z największych błędów w interpretacji dyrektywy NIS2 jest założenie, że niezgodność oznacza brak zabezpieczeń.

W praktyce organizacje bardzo rzadko „nie mają nic”.
Znacznie częściej problem polega na tym, że:

• zabezpieczenia istnieją, ale są nieskuteczne
• procedury istnieją, ale nie działają w realnym scenariuszu
• systemy są wdrożone, ale nie zostały zweryfikowane

To prowadzi do sytuacji, w której firma formalnie wygląda na przygotowaną, ale operacyjnie nie jest w stanie poradzić sobie z incydentem.

Jak regulator ocenia zgodność

Zgodność z NIS2 nie jest oceniana na podstawie deklaracji ani listy wdrożonych narzędzi.

Ocena opiera się na odpowiedzi na jedno kluczowe pytanie:

czy organizacja jest w stanie utrzymać lub szybko przywrócić ciągłość działania po incydencie?

To oznacza, że analizowane są m.in.:

• faktyczne wyniki testów (jeśli istnieją)
• zdolność do odtworzenia systemów i danych
• czas potrzebny na przywrócenie operacji (RTO)
• poziom utraty danych (RPO)
• skuteczność procedur w sytuacji kryzysowej

Najczęstsze sytuacje uznawane za brak zgodności

Poniższe scenariusze są typowe dla organizacji, które formalnie posiadają zabezpieczenia, ale nie spełniają wymagań NIS2.

1. Backup istnieje, ale nie można go użyć

• backup znajduje się w tej samej infrastrukturze
• został zaszyfrowany podczas ataku ransomware
• nie był testowany

Efekt: brak możliwości odtworzenia

2. Brak scenariuszy Disaster Recovery

• organizacja posiada dane
• ale nie ma planu przywrócenia systemów

Efekt: brak możliwości odtworzenia

3. Brak zdefiniowanych parametrów RTO i RPO

• IT wykonuje backup
• ale biznes nie określił, jak szybko musi wrócić do działania

Efekt: brak kontroli nad skutkami incydentu

4. Brak testów odtworzeniowych

• systemy backupowe działają „w teorii”
• nigdy nie zostały zweryfikowane w praktyce

Efekt: niepewność, czy odzyskanie danych jest w ogóle możliwe

Tabela: „posiadanie” vs „zdolność operacyjna”

Obszar

Podejście pozorne („mamy”)

Podejście wymagane (NIS2)

Backup

Backup istnieje

Backup działa w scenariuszu incydentu

Odtworzenie

Teoretycznie możliwe

Przetestowane i powtarzalne

Procedury

Spisane

Realnie wykorzystywane

RTO / RPO

Brak / nieznane

Zdefiniowane i mierzone

Obszar	Podejście pozorne („mamy”)	Podejście wymagane (NIS2)
Backup	Backup istnieje	Backup działa w scenariuszu incydentu
Odtworzenie	Teoretycznie możliwe	Przetestowane i powtarzalne
Procedury	Spisane	Realnie wykorzystywane
RTO / RPO	Brak / nieznane	Zdefiniowane i mierzone

Kluczowy problem: iluzja bezpieczeństwa

Największym ryzykiem nie jest brak technologii.

Jest nim przekonanie, że organizacja jest zabezpieczona, podczas gdy w rzeczywistości:

• backup nie jest odseparowany
• dane nie są odporne na modyfikację
• proces odtworzenia nie istnieje

To właśnie ten rozdźwięk pomiędzy deklaracją a rzeczywistością jest najczęściej identyfikowany podczas audytu.

Wniosek

Brak zgodności z NIS2 nie wynika z pojedynczego braku technologicznego.

Wynika z braku zdolności operacyjnej do:

• utrzymania ciągłości działania
• odtworzenia systemów
• kontrolowania skutków incydentu

W kolejnej sekcji przechodzimy do momentu krytycznego:

dlaczego incydent — który powinien być zdarzeniem operacyjnym — bardzo szybko staje się problemem regulacyjnym.

3. Dlaczego incydent staje się problemem regulacyjnym

W większości organizacji incydent IT jest traktowany jako problem operacyjny.
Dochodzi do awarii, ataku ransomware lub utraty dostępu do systemów, a zespół IT koncentruje się na przywróceniu działania.

W modelu NIS2 to podejście przestaje być wystarczające.

Momentem przełomowym nie jest sam incydent, ale to, co dzieje się bezpośrednio po nim. Jeżeli organizacja nie jest w stanie szybko przywrócić działania, ograniczyć skutków i odzyskać kontroli nad sytuacją, incydent przestaje być sprawą wewnętrzną. Uruchamia się proces raportowania i nadzoru, a wraz z nim pojawia się ocena zgodności.

To właśnie w tym momencie pojawia się audyt — nie jako formalność, ale jako weryfikacja rzeczywistej odporności organizacji.

Audyt nie koncentruje się na tym, jakie rozwiązania zostały wdrożone. Nie chodzi o to, czy firma posiada backup, systemy bezpieczeństwa czy dokumentację. Kluczowe jest to, czy te elementy pozwoliły:

• odtworzyć systemy i dane
• wrócić do działania w akceptowalnym czasie
• ograniczyć wpływ incydentu na operacje

Jeżeli nie — incydent staje się dowodem, że mechanizmy zarządzania ryzykiem nie działały.

To fundamentalna zmiana podejścia. Incydent nie jest traktowany jako zdarzenie losowe, którego nie dało się uniknąć. Jest traktowany jako test przygotowania organizacji. Test, który ma pokazać, czy firma była w stanie utrzymać ciągłość działania mimo zakłócenia.

W praktyce oznacza to, że dwie organizacje mogą doświadczyć identycznego incydentu, ale tylko jedna z nich zostanie uznana za niezgodną. Różnica nie polega na tym, co się wydarzyło, ale na tym, jak organizacja była przygotowana i jak poradziła sobie z sytuacją.

Dlatego w kontekście NIS2 najważniejsze pytanie nie brzmi: „czy dojdzie do incydentu”.

Brzmi:
czy organizacja jest w stanie przejść przez incydent bez utraty zdolności operacyjnej.

W kolejnej sekcji przechodzimy do praktyki:

dlaczego większość organizacji — mimo inwestycji w IT — nie przejdzie takiej weryfikacji.

4. Dlaczego większość firm nie przejdzie weryfikacji

Większość organizacji inwestuje w IT i bezpieczeństwo. Posiada systemy backupowe, rozwiązania zabezpieczające i dokumentację. Na pierwszy rzut oka wszystko wygląda poprawnie.

Problem polega na tym, że weryfikacja zgodności z NIS2 nie dotyczy tego, co zostało wdrożone, ale tego, czy organizacja jest w stanie działać w sytuacji kryzysowej.

I właśnie na tym etapie większość firm odpada.

Iluzja przygotowania

Najczęstszy scenariusz wygląda podobnie:

• backup istnieje
• systemy działają na co dzień
• dokumentacja jest przygotowana
  

Dopiero w momencie incydentu okazuje się, że:

• backup nie jest dostępny lub nie można go użyć
• czas odtworzenia jest nieznany
• procedury nie działają w praktyce
  

Organizacja była przekonana, że jest przygotowana.
W rzeczywistości nie była w stanie odzyskać działania.

Brak testu rzeczywistości

Kluczowym problemem jest to, że większość firm nigdy nie przeszła realnego testu swoich założeń.

Systemy są wdrażane, ale:

• nie są testowane w scenariuszu awarii
• nie są weryfikowane pod kątem czasu odtworzenia
• nie są sprawdzane w warunkach presji operacyjnej

W efekcie organizacja nie wie:

• ile trwa przywrócenie systemów
• czy dane są w pełni odzyskiwalne
• czy zespół poradzi sobie w sytuacji kryzysowej

Rozjazd między IT a biznesem

W wielu firmach IT wykonuje backup i utrzymuje systemy, ale biznes nie definiuje swoich wymagań.

Nie ma odpowiedzi na podstawowe pytania:

• jak długo firma może nie działać
• jakie dane są krytyczne
• co musi zostać odtworzone w pierwszej kolejności
  

Bez tych decyzji nawet dobrze działające IT nie jest w stanie zapewnić zgodności.

Brak kontroli nad skutkami incydentu

W momencie incydentu kluczowa jest nie sama awaria, ale to, czy organizacja ma nad nią kontrolę.

Jeżeli:

• nie zna czasu odtworzenia
• nie ma scenariusza działania
• nie jest w stanie przewidzieć skutków

to z perspektywy NIS2 oznacza brak przygotowania.

Wniosek

Większość organizacji nie przejdzie weryfikacji nie dlatego, że nie inwestuje w IT.

Nie przejdzie jej dlatego, że:

• nie testuje swoich założeń
• nie zna swoich ograniczeń
• nie ma realnej zdolności do odtworzenia działania

To właśnie ten moment decyduje o tym, czy incydent pozostanie problemem operacyjnym, czy stanie się problemem regulacyjnym.

5. Rzeczywiste konsekwencje: przestój, straty i odpowiedzialność zarządu

Brak zgodności z NIS2 rzadko jest pierwszym problemem, z którym mierzy się organizacja.

Najpierw pojawia się incydent.
Dopiero później — jego konsekwencje.

I to one w praktyce okazują się najbardziej dotkliwe.

Przestój operacyjny

Najbardziej bezpośrednim skutkiem incydentu jest zatrzymanie działania organizacji.

Systemy przestają być dostępne, procesy są przerwane, a pracownicy nie są w stanie wykonywać swoich obowiązków. W zależności od branży może to oznaczać:

• zatrzymanie produkcji
• brak możliwości realizacji usług
• brak dostępu do danych klientów

Kluczowy problem polega na tym, że bez przygotowanego scenariusza odtworzenia przestój nie trwa godzin — trwa dni lub tygodnie.

Straty finansowe

Każdy dzień przestoju generuje realne straty.

To nie jest tylko koszt IT. To efekt kaskadowy:

• koszty przywrócenia systemów
• utracone przychody
• kary umowne
• dodatkowe koszty operacyjne
• koszty przywrócenia systemów
  

Poniżej uproszczony model wpływu:

Obszar

Skutek biznesowy

Przestój operacyjny

Brak przychodów / zatrzymanie sprzedaży

Utrata danych

Rekonstrukcja danych / błędy operacyjne

Opóźnienia

Kary umowne i utrata kontraktów

Odtworzenie

Koszty techniczne i zasobowe

Obszar	Skutek biznesowy
Przestój operacyjny	Brak przychodów / zatrzymanie sprzedaży
Utrata danych	Rekonstrukcja danych / błędy operacyjne
Opóźnienia	Kary umowne i utrata kontraktów
Odtworzenie	Koszty techniczne i zasobowe

W wielu przypadkach łączny koszt incydentu znacząco przekracza potencjalną karę regulacyjną.

Utrata kontroli nad sytuacją

Największym problemem nie jest sam incydent, ale brak kontroli nad jego przebiegiem.

Jeżeli organizacja:

• nie zna czasu odtworzenia
• nie ma scenariusza działania
• nie potrafi przewidzieć skutków

to nie jest w stanie podejmować decyzji biznesowych.

To moment, w którym incydent przestaje być problemem IT, a zaczyna wpływać na cały biznes.

Odpowiedzialność zarządu

W modelu NIS2 konsekwencje nie kończą się na poziomie operacyjnym.

Odpowiedzialność obejmuje również zarząd.

To oznacza, że brak przygotowania w obszarze:

• ciągłości działania
• Disaster Recovery
• odzyskiwania danych

może prowadzić do:

• sankcji administracyjnych
• konsekwencji prawnych
• utraty możliwości pełnienia funkcji

Z perspektywy zarządu to zmiana fundamentalna — temat IT staje się elementem zarządzania ryzykiem na poziomie strategicznym.

Wniosek

Największym ryzykiem nie jest sam incydent.

Jest nim brak zdolności do:

• utrzymania działania
• szybkiego odtworzenia systemów
• kontrolowania skutków biznesowych

To właśnie w tym miejscu technologia przestaje być kosztem, a zaczyna być czynnikiem przetrwania organizacji.

6. Scenariusz: ransomware i brak możliwości odtworzenia

W większości organizacji incydent ransomware wygląda bardzo podobnie.

Dzień 0 – atak
Złośliwe oprogramowanie dostaje się do środowiska.
Najczęściej przez:
phishing
podatność w systemie
przejęte konto
Na tym etapie systemy jeszcze działają. Atak pozostaje niezauważony.

Dzień 1 – eskalacja
Atakujący uzyskuje dostęp do kolejnych systemów.
podnosi uprawnienia
identyfikuje zasoby
przygotowuje środowisko do szyfrowania
Bardzo często w tym momencie uzyskuje również dostęp do systemów backupowych.

Dzień 2 – uderzenie
Dochodzi do właściwego ataku:
systemy produkcyjne zostają zaszyfrowane
dostęp do danych zostaje utracony
pojawia się żądanie okupu
Organizacja traci zdolność operacyjną.

Dzień 2–3 – próba odzyskania
Zespół IT próbuje przywrócić dane z backupu.
I tu pojawia się kluczowy moment:
backup jest zaszyfrowany
backup jest niekompletny
backupu nie da się szybko odtworzyć
To dokładnie sytuacja, w której „mamy backup” przestaje mieć znaczenie.

Dzień 3+ – eskalacja problemu
firma nie działa
przestój się wydłuża
rosną straty
Pojawia się presja:
biznesowa
operacyjna
decyzyjna
Zaczyna się analiza: płacić czy nie płacić.

Co poszło nie tak

W większości takich przypadków problem nie polega na samym ataku.

Polega na tym, że:

• backup nie był odseparowany
• nie był odporny na modyfikację
• nie był testowany w praktyce

Organizacja posiadała dane, ale nie miała zdolności do ich odzyskania.

Kluczowy wniosek

Ransomware nie niszczy firm dlatego, że szyfruje dane.

Niszczy je dlatego, że organizacja nie jest w stanie ich odzyskać w wymaganym czasie.

To jest moment, w którym:

• incydent staje się problemem biznesowym
• problem biznesowy staje się problemem regulacyjnym

7. Dlaczego „mamy backup” nie chroni przed karą

W większości organizacji backup jest traktowany jako podstawowy element bezpieczeństwa.

Dane są kopiowane, system działa poprawnie, raporty się zgadzają.
Na poziomie operacyjnym wszystko wygląda dobrze.

Problem polega na tym, że w kontekście NIS2 to nie jest wystarczające.

Backup nie jest równoznaczny z odzyskaniem

Posiadanie backupu oznacza tylko jedno: dane zostały zapisane w innym miejscu.

Nie oznacza, że:

• można je odtworzyć w wymaganym czasie
• środowisko da się szybko uruchomić
• organizacja wróci do działania bez długiego przestoju

To fundamentalna różnica, która bardzo często wychodzi dopiero w trakcie incydentu.

Gdzie powstaje największe ryzyko

W praktyce problem nie polega na braku backupu, tylko na jego konstrukcji.

Najczęstsze sytuacje:

• backup znajduje się w tej samej infrastrukturze co produkcja
• backup może zostać zmodyfikowany lub usunięty
• backup nie był nigdy testowany w scenariuszu awarii

W takim modelu:

• ransomware może objąć również backup
• odtworzenie trwa zbyt długo
• dane nie są w pełni dostępne

Z perspektywy NIS2 oznacza to brak zdolności do odzyskania działania.

Dlaczego to prowadzi do konsekwencji

Organ nadzorczy nie analizuje, czy organizacja „posiada backup”.

Analizuje, czy była w stanie:

• odtworzyć systemy
• ograniczyć czas przestoju
• utrzymać ciągłość działania

Jeżeli backup nie spełnia tej funkcji, jego istnienie nie ma znaczenia w ocenie zgodności.

Iluzja bezpieczeństwa

To jest jeden z najbardziej niebezpiecznych scenariuszy.

Organizacja jest przekonana, że jest zabezpieczona, ponieważ:

• backup działa na co dzień
• dane są kopiowane
• system nie zgłasza błędów

Dopiero w momencie incydentu okazuje się, że:

• backup nie chroni przed ransomware
• odtworzenie nie jest możliwe w wymaganym czasie
• proces odzyskania nie istnieje

To właśnie ten rozdźwięk między przekonaniem a rzeczywistością jest najczęstszą przyczyną niezgodności.

Wniosek

Backup jest jednym z elementów bezpieczeństwa.

Ale sam w sobie nie zapewnia:

• ciągłości działania
• zdolności do odtworzenia systemów
• zgodności z NIS2

Jeżeli nie jest częścią większego procesu, staje się tylko pozornym zabezpieczeniem.

W praktyce większość organizacji odkrywa to dopiero podczas awarii lub ataku ransomware.

W większości organizacji ten problem wychodzi dopiero w trakcie incydentu.

Warto sprawdzić wcześniej, czy backup i proces odtworzenia rzeczywiście zapewniają możliwość odzyskania działania — a nie tylko tworzenie kopii danych.

Umów weryfikację NIS2

8. Case study: incydent i brak ciągłości działania

Średniej wielkości firma produkcyjna, około 120 stanowisk, własna infrastruktura IT.

Na pierwszy rzut oka środowisko było dobrze przygotowane:

• system backupowy działał poprawnie
• dane były regularnie kopiowane
• IT nie zgłaszało problemów

Organizacja była przekonana, że w razie awarii będzie w stanie szybko wrócić do działania.

Incydent

Do ataku doszło w wyniku przejęcia konta użytkownika.
Złośliwe oprogramowanie rozprzestrzeniło się w środowisku i w ciągu kilku godzin:

• zaszyfrowało systemy produkcyjne
• odcięło dostęp do danych
• objęło również system backupowy

Firma straciła dostęp do kluczowych systemów.

Próba odtworzenia

Zespół IT rozpoczął proces przywracania danych.

Wtedy pojawiły się problemy:

• backup był dostępny, ale częściowo uszkodzony
• brakowało spójnych punktów odtworzenia
• proces przywracania był znacznie wolniejszy niż zakładano

Dodatkowo okazało się, że:

• nie ma jasno określonej kolejności odtwarzania systemów
• biznes nie określił priorytetów
• nie istnieje scenariusz działania na czas przestoju

Skutki

• 6 dni przestoju operacyjnego
• utrata części danych produkcyjnych
• opóźnienia w realizacji zamówień
• konieczność informowania klientów

Decyzje były podejmowane pod presją, bez pełnej wiedzy o sytuacji.

Ocena po incydencie

Z perspektywy organizacji problemem był atak.

Z perspektywy NIS2 problem wygląda inaczej:

• brak zdolności do szybkiego odtworzenia systemów
• brak kontroli nad czasem przestoju
• brak przygotowanego scenariusza działania

Organizacja posiadała backup, ale nie była w stanie zapewnić ciągłości działania.

Co to pokazuje

To nie jest odosobniony przypadek.

To typowy scenariusz dla organizacji, które:

• inwestują w backup
• ale nie inwestują w zdolność odtworzenia

Różnica między tymi podejściami ujawnia się dopiero w momencie incydentu.

Kluczowy wniosek

Posiadanie danych nie oznacza zdolności do ich odzyskania.

A brak zdolności do odzyskania oznacza:

• długi przestój
• straty biznesowe
• ryzyko konsekwencji regulacyjnych

9. Model decyzyjny: czy Twoja organizacja jest w ryzyku

Zamiast analizować wszystkie wymagania NIS2, można sprowadzić ocenę do kilku kluczowych pytań.

Jeżeli na którekolwiek z nich odpowiedź brzmi „nie” lub „nie wiem”, organizacja znajduje się w realnym ryzyku.

Kluczowe pytania

1. Czy jesteś w stanie odtworzyć systemy w określonym czasie?
Jeżeli nie masz zdefiniowanego RTO lub nie był on nigdy zweryfikowany, nie masz kontroli nad czasem przestoju.

2. Czy wiesz, ile danych możesz stracić?
Brak jasno określonego RPO oznacza brak kontroli nad utratą danych.

3. Czy backup jest odseparowany od środowiska produkcyjnego?
Jeżeli nie — w scenariuszu ransomware może zostać zaszyfrowany razem z systemami.

4. Czy backup jest odporny na modyfikację i usunięcie?
Jeżeli można go zmienić lub skasować, nie chroni przed atakiem.

5. Czy proces odtworzenia był testowany w praktyce?
Jeżeli nie — nie ma pewności, że zadziała w momencie incydentu.

6. Czy istnieje scenariusz działania na wypadek utraty systemów?
Brak planu oznacza chaos operacyjny i wydłużony przestój.

Interpretacja

• 0–1 odpowiedzi „nie” → niskie ryzyko (ale nadal wymaga weryfikacji)
• 2–3 odpowiedzi „nie” → istotne ryzyko operacyjne
• 4+ odpowiedzi „nie” → wysoka podatność na incydent i brak zgodności z NIS2

W praktyce większość organizacji znajduje się w dwóch ostatnich grupach.

Kluczowy wniosek

Zgodność z NIS2 nie wynika z posiadania technologii.

Wynika z tego, czy organizacja:

• zna swoje parametry działania
• przetestowała swoje założenia
• jest w stanie odzyskać operacje w kontrolowany sposób

10. FAQ – kary, odpowiedzialność i zgodność z NIS2

FAQ

Czy każda firma podlega NIS2?

Nie. Dyrektywa obejmuje przede wszystkim podmioty kluczowe i ważne, działające w sektorach takich jak infrastruktura krytyczna, transport, energetyka, finanse, zdrowie czy usługi cyfrowe.

W praktyce jednak wiele firm, które nie są bezpośrednio objęte regulacją, i tak musi spełniać jej wymagania — np. jako dostawcy większych organizacji.

Jakie są kary za brak zgodności z NIS2?

Kary finansowe mogą sięgać:

do 10 mln euro lub 2% globalnego obrotu (podmioty kluczowe)
do 7 mln euro lub 1,4% globalnego obrotu (podmioty ważne)

Dodatkowo mogą zostać nałożone środki administracyjne, takie jak audyty, obowiązek wdrożenia zabezpieczeń czy ograniczenia działalności.

Czy incydent automatycznie oznacza karę?

Nie. Sam incydent nie jest podstawą do nałożenia kary.

Problem pojawia się wtedy, gdy organizacja nie była przygotowana na jego skutki i nie była w stanie:

szybko odtworzyć systemów
ograniczyć przestoju
utrzymać ciągłości działania

Czy backup wystarczy, żeby spełnić wymagania NIS2?

Nie.

Backup jest tylko jednym z elementów. Aby spełnić wymagania, organizacja musi mieć również:

odseparowane (offsite) i odporne na modyfikację kopie danych
przetestowany proces odtworzenia
zdefiniowane RTO i RPO
scenariusze Disaster Recovery

Bez tych elementów backup nie zapewnia zgodności.

Czy chmura rozwiązuje problem zgodności z NIS2?

Nie automatycznie.

Przeniesienie danych do chmury nie oznacza, że:

są one odseparowane
są odporne na usunięcie lub modyfikację
można je szybko odtworzyć

To zależy od architektury i sposobu wdrożenia.

Co najczęściej powoduje brak zgodności?

Najczęstsze przyczyny to:

brak testów odtworzeniowych
backup w tej samej infrastrukturze
brak scenariuszy Disaster Recovery
brak kontroli nad czasem odtworzenia

Czy można być zgodnym bez pełnego Disaster Recovery?

W ograniczonym zakresie tak, ale tylko jeśli organizacja jest w stanie:

odtworzyć krytyczne systemy
kontrolować czas przestoju
ograniczyć skutki incydentu

W praktyce oznacza to konieczność przynajmniej częściowego wdrożenia podejścia DR.

Jak sprawdzić, czy moja organizacja spełnia wymagania NIS2?

Najprostszym sposobem jest przejście przez checklistę obejmującą:

backup
odtworzenie
RTO / RPO
scenariusze działania

To pozwala szybko zidentyfikować luki i określić poziom ryzyka.

Nasza oferta

Pakiet Compliance

Zapewnij zgodność z NIS2 i przygotuj organizację na audyt oraz incydent — bez ryzyka przestoju i kar.

Sprawdź, jak spełnić wymagania NIS2

Pakiet Security

Zabezpiecz firmę przed ransomware i utratą danych — z gwarancją możliwości odtworzenia systemów.

Zobacz, jak chronimy przed ransomware

Pakiet Enterprise

Zapewnij ciągłość działania nawet w przypadku awarii lub ataku — z określonym RTO i RPO.

Sprawdź rozwiązanie dla krytycznych systemów

Sprawdź gotowość swojej organizacji

Sprawdź, czy Twoja organizacja jest przygotowana na incydent i spełnia wymagania NIS2. Wypełnij krótki formularz — na jego podstawie ocenimy, czy Twój backup, proces odtworzenia i scenariusze Disaster Recovery zapewniają realną ciągłość działania.

Umów weryfikację NIS2