What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

Dyrektywa UE 2022/2555

Zgodność z NIS2.
Ciągły monitoring, udokumentowane dowody.

Dyrektywa NIS2 zobowiązuje organizacje z 18 sektorów do wdrożenia środków cyberbezpieczeństwa — pod groźbą kar do 10 mln €. Przepisy krajowe wchodzą teraz w życie w całej UE.

Dyrektywa UE

Obowiązuje

Od 16 stycznia 2023

Transpozycja krajowa

W toku

Termin: 17 października 2024

Niemcy (NIS2UmsuCG)

Obowiązuje

Od 6 grudnia 2025

Podmioty objęte przepisami muszą stosować się do nich od daty wejścia w życie ich prawa krajowego. Sprawdź stan transpozycji w swoim kraju.

Zeskanuj swoją stronę teraz Sprawdź, które przepisy obowiązują

Czy NIS2 dotyczy Ciebie?

NIS2 dotyczy podmiotów kluczowych i ważnych w 18 sektorach. Jeśli Twoja organizacja zatrudnia ponad 50 pracowników lub ma obroty powyżej 10 mln € w jednym z tych sektorów, prawdopodobnie jest objęta zakresem.

Energetyka

Kluczowy

Transport

Kluczowy

Bankowość

Kluczowy

Zdrowie

Kluczowy

Infrastruktura cyfrowa

Kluczowy

Usługi ICT

Kluczowy

Chemia

Ważny

Produkcja

Ważny

Usługi pocztowe

Ważny

Chmura / SaaS

Ważny

Żywność

Ważny

Badania

Ważny

Koszt niezgodności

Podmioty kluczowe

€10M

lub 2% globalnego rocznego obrotu

w zależności od tego, co jest wyższe

Podmioty ważne

€7M

lub 1,4% globalnego rocznego obrotu

w zależności od tego, co jest wyższe

Zarząd może ponosić osobistą odpowiedzialność na mocy Art. 20 NIS2.

Co wymaga NIS2 — i co monitoruje SiteGuardian

Art. 21 NIS2 definiuje 10 środków zarządzania ryzykiem cyberbezpieczeństwa. SiteGuardian na bieżąco monitoruje te techniczne.

Art. 21(2)(a)

Analiza ryzyka i polityki bezpieczeństwa

Monitorowane

SiteGuardian zapewnia ciągłą ocenę poziomu bezpieczeństwa, walidację DNSSEC, weryfikację ujawniania podatności (security.txt), ukrywanie wersji serwera oraz niezmienialny dziennik audytu z wykrywaniem manipulacji łańcuchem hash.

Art. 21(2)(b)

Obsługa incydentów

Monitorowane

SiteGuardian wykrywa incydenty w czasie rzeczywistym, obsługuje zgodne z NIS2 procesy raportowania (24h wczesne ostrzeżenie, 72h zgłoszenie, 30-dniowy raport końcowy) i generuje wstępnie wypełnione raporty incydentów dla krajowego CSIRT.

Art. 21(2)(c)

Ciągłość działania

SiteGuardian monitoruje dostępność z wielu regionów i ostrzega o awariach. Zarządzanie kopiami zapasowymi, plany odzyskiwania po awarii i zarządzanie kryzysowe wymagają środków organizacyjnych.

Art. 21(2)(d)

Bezpieczeństwo łańcucha dostaw

Monitorowane

SiteGuardian klasyfikuje monitory na własną infrastrukturę, dostawców i partnerów. Ocenia poziom bezpieczeństwa dostawców, weryfikuje egzekwowanie DMARC/SPF/DKIM i śledzi ryzyko koncentracji w łańcuchu dostaw na 5 poziomach dojrzałości.

Art. 21(2)(e)

Bezpieczne wytwarzanie oprogramowania

SiteGuardian monitoruje jakość Content Security Policy, wykrywa dyrektywy unsafe-inline/unsafe-eval i sprawdza nagłówki bezpieczeństwa chroniące przed atakami iniekcyjnymi. Bezpieczne procesy SDLC wymagają środków organizacyjnych.

Art. 21(2)(f)

Ocena skuteczności

Monitorowane

SiteGuardian śledzi Twój wynik zgodności w czasie, generuje raporty trendów za 90 dni i zapewnia porównania przed/po, aby mierzyć skuteczność Twoich usprawnień bezpieczeństwa.

Art. 21(2)(g)

Higiena cybernetyczna i szkolenia

Monitorowane

SiteGuardian stale monitoruje techniczną higienę cybernetyczną: wymuszanie HTTPS, HSTS, nagłówki bezpieczeństwa, MFA i utwardzanie DNS. Programy szkoleniowe i uświadamiające wymagają środków organizacyjnych wykraczających poza automatyczny monitoring.

Art. 21(2)(h)

Kryptografia i szyfrowanie

Monitorowane

SiteGuardian waliduje egzekwowanie TLS 1.2+, wykrywa przestarzałe protokoły i słabe zestawy szyfrów, sprawdza forward secrecy (PFS), monitoruje ważność certyfikatów SSL i weryfikuje gotowość do preloadingu HSTS.

Art. 21(2)(i)

Kontrola dostępu i zarządzanie zasobami

SiteGuardian wymusza MFA (TOTP/SSO) na wszystkich kontach, zapewnia kontrolę dostępu opartą na rolach i prowadzi inwentarz zasobów wszystkich monitorowanych usług. Polityki bezpieczeństwa HR wymagają środków organizacyjnych.

Art. 21(2)(j)

Uwierzytelnianie wieloskładnikowe

Monitorowane

SiteGuardian wymaga TOTP lub Google SSO do dostępu do platformy, monitoruje status MFA wszystkich członków zespołu i weryfikuje szyfrowane kanały komunikacji (TLS, DANE, MTA-STS) do transportu poczty e-mail.

Zacznij przygotowania już dziś

Przeskanuj swoją stronę, aby sprawdzić, gdzie się znajdujesz. SiteGuardian mapuje każdy wynik na artykuły NIS2 — abyś wiedział dokładnie, co naprawić.

Bezpłatny skan bezpieczeństwa Zobacz plany Compliance

Bezpłatny na zawsze dla 1 monitora. Karta kredytowa nie jest wymagana.

Najczęściej zadawane pytania

Czym jest Dyrektywa NIS2?

NIS2 (Dyrektywa 2022/2555) to zaktualizowana unijna regulacja cyberbezpieczeństwa zastępująca pierwotną Dyrektywę NIS. Znacząco rozszerza zakres na 18 sektorów i wprowadza surowsze wymagania dotyczące raportowania incydentów, zarządzania ryzykiem i bezpieczeństwa łańcucha dostaw.

Kiedy NIS2 wchodzi w życie?

NIS2 weszła w życie 16 stycznia 2023. Państwa członkowskie miały czas do 17 października 2024 na transpozycję do prawa krajowego. Wiele krajów nie dotrzymało tego terminu — niemiecka NIS2UmsuCG weszła w życie 6 grudnia 2025. Podmioty objęte przepisami muszą je stosować od daty wejścia w życie ich prawa krajowego.

Czy NIS2 dotyczy mojej firmy?

Jeśli Twoja organizacja zatrudnia ponad 50 pracowników lub ma roczny obrót powyżej 10 mln € i działa w jednym z 18 wymienionych sektorów (energetyka, transport, bankowość, zdrowie, infrastruktura cyfrowa, ICT, produkcja itp.), prawdopodobnie jesteś objęty zakresem. Skorzystaj z naszego narzędzia do sprawdzania zgodności, aby się przekonać.

Jakie są terminy zgłaszania?

Zgodnie z Art. 23 NIS2: 24 godziny na wstępne ostrzeżenie, 72 godziny na formalne zgłoszenie incydentu i 1 miesiąc na raport końcowy. SiteGuardian automatycznie śledzi te terminy po otwarciu incydentu.

Jak SiteGuardian pomaga w NIS2?

SiteGuardian na bieżąco monitoruje poziom bezpieczeństwa Twojej strony (szyfrowanie, nagłówki, DNS, uwierzytelnianie e-mail) i mapuje wyniki na artykuły NIS2. W przypadku incydentu klasyfikuje wpływ regulacyjny i śledzi terminy powiadomień. Raporty zgodności dokumentują Twoje działania dla audytorów.

Zgodność z NIS2. Ciągły monitoring, udokumentowane dowody.

Czy NIS2 dotyczy Ciebie?

Koszt niezgodności

Co wymaga NIS2 — i co monitoruje SiteGuardian

Analiza ryzyka i polityki bezpieczeństwa

Obsługa incydentów

Ciągłość działania

Bezpieczeństwo łańcucha dostaw

Bezpieczne wytwarzanie oprogramowania

Ocena skuteczności

Higiena cybernetyczna i szkolenia

Kryptografia i szyfrowanie

Kontrola dostępu i zarządzanie zasobami

Uwierzytelnianie wieloskładnikowe

Zacznij przygotowania już dziś

Najczęściej zadawane pytania

Czy na pewno?

Zgodność z NIS2.
Ciągły monitoring, udokumentowane dowody.