Perimetro
NIS2 / KSC 2026

Co nowelizacja UKSC oznacza dla bezpieczeństwa fizycznego?

Ustawa z 23 stycznia 2026 r. (Dz.U. 2026 poz. 252) wdrażająca NIS2 weszła w życie 3 kwietnia 2026. Podmioty kluczowe i ważne mają nowe obowiązki w zakresie zarządzania ryzykiem, raportowania incydentów i bezpieczeństwa łańcucha dostaw — w tym warstwy fizycznej.

Kluczowe daty

Harmonogram wdrożenia UKSC

  1. 3 kwietnia 2026

    Wejście w życie UKSC

    Ustawa wdrażająca NIS2 (Dz.U. 2026 poz. 252) wchodzi w życie.

  2. 3 października 2026

    Rejestracja podmiotów

    Termin rejestracji podmiotów kluczowych i ważnych w wykazie.

    Dziś jesteśmy tutaj
  3. 3 kwietnia 2027

    Pełne obowiązki

    Pełne obowiązki Rozdziału 3 UKSC — zarządzanie ryzykiem, zgłaszanie incydentów, łańcuch dostaw.

  4. 3 kwietnia 2028

    Pierwszy audyt

    Pierwszy obowiązkowy audyt cybersecurity dla podmiotów kluczowych.

Analiza regulacyjna

Kto jest objęty obowiązkami NIS2

Dyrektywa NIS2 (UE 2022/2555) wprowadza dwie kategorie podmiotów: kluczowe (essential entities) i ważne (important entities). Kluczowe obejmują m.in. operatorów energetycznych, operatorów infrastruktury cyfrowej, transport, bankowość, służbę zdrowia, wodociągi i administrację publiczną wysokiego szczebla. Ważne obejmują m.in. usługi pocztowe, produkcję żywności, gospodarkę odpadami, dostawców usług ICT średniej skali, produkcję chemiczną i sektor badawczy.

Polska transpozycja przez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. 2026 poz. 252) weszła w życie 3 kwietnia 2026. Termin rejestracji w wykazie podmiotów kluczowych i ważnych przypada na 3 października 2026. Wykaz prowadzi minister właściwy do spraw informatyzacji; podmioty rejestrują się samodzielnie, weryfikowane przez właściwy CSIRT (CSIRT GOV dla większości sektorów, CSIRT MON dla wojskowych, CSIRT NASK dla telekomunikacji).

Niemiecka transpozycja (NIS2-Umsetzungsgesetz z 5 grudnia 2025) rozszerzyła liczbę regulowanych podmiotów z około 4 500 do około 30 000. Podobny porządek wielkości jest oczekiwany w Polsce — szacunki ENISA wskazują kilkukrotny wzrost względem starej NIS. Jeżeli organizacja prowadzi obiekt infrastruktury krytycznej, dużą instalację energetyczną, port, lotnisko, centrum danych, terminal paliwowy lub jest dostawcą usług ICT średniej lub większej skali — z dużym prawdopodobieństwem podlega rejestracji.

Co NIS2 znaczy dla bezpieczeństwa fizycznego

Najczęstsze nieporozumienie: NIS2 nie dotyczy wyłącznie sieci IT. Artykuł 21 ust. 2 wymienia dziesięć kategorii środków technicznych, operacyjnych i organizacyjnych — w tym jawnie kontrole dostępu fizycznego, bezpieczeństwo łańcucha dostaw oraz zarządzanie aktywami. Punkt (j) wprost wymaga „polityk i procedur dotyczących wykorzystania kryptografii oraz, w stosownych przypadkach, szyfrowania” oraz fizycznych środków bezpieczeństwa.

Artykuł 23 nakłada cykl raportowania incydentów istotnych: powiadomienie wstępne w ciągu 24 godzin od wykrycia, formalne powiadomienie w ciągu 72 godzin z analizą wstępną przyczyn i wpływu, oraz raport końcowy w ciągu miesiąca. Incydentem istotnym jest każde zdarzenie powodujące znaczne zakłócenie operacyjne, dotykające znaczną liczbę użytkowników lub mogące spowodować istotne szkody — w tym incydenty fizyczne dotykające infrastrukturę cyfrową lub operacyjną.

Artykuł 21 ust. 2 lit. (d) — bezpieczeństwo łańcucha dostaw — jest najczęściej niedoszacowanym wymogiem. Operator podmiotu kluczowego musi systematycznie oceniać dostawców usług ICT, ze szczególnym uwzględnieniem koncentracji geograficznej, jurysdykcji oraz statusu dostawcy wobec decyzji o adekwatności UE. Dla systemów wykorzystujących komponenty sprzętowe spoza UE (drony, kamery, urządzenia z analizą obrazu) wymaga to udokumentowanej analizy ryzyka i planu ograniczania ryzyka.

Jak Perimetro wspiera obowiązki z artykułu 21

Perimetro Platform dostarcza udokumentowaną warstwę detekcji fizycznej z audytowalnym śladem zdarzeń, zaprojektowaną pod konkretne litery art. 21 ust. 2. Lit. (a) — analiza ryzyka i polityki bezpieczeństwa: rejestr zdarzeń dostarcza surowe dane dla analizy ryzyka (zdarzenia, klasyfikacje, wskaźniki fałszywych alarmów) oraz bibliotekę scenariuszy zagrożeń dla SOC.

Lit. (b) — obsługa incydentów: maszyna stanów zdarzenia z czterema akcjami operatora (eskalacja, weryfikacja, błąd, normalna obsługa), łańcuch eskalacji z audytowalnym znacznikiem czasu każdej akcji, oraz wbudowany NIS2 Reporter — wizard generujący PDF + JSON wstępnego powiadomienia 24h i pełnego powiadomienia 72h z auto-wypełnieniem z rejestru zdarzeń.

Lit. (c) — ciągłość działania: edge daemon działa bez łączności (lokalna kolejka wychodząca synchronizująca się po powrocie łączności), Tower i Connect kontynuują detekcję bez połączenia z chmurą, Aero ma autonomiczny powrót do bazy (RTH) przy utracie łączności. Lit. (g) — kryptografia: CMK (klucz zarządzany przez klienta) per-tenant, łańcuch hash HMAC dla rejestru zdarzeń (odporny na manipulację), TLS 1.3 oraz podpis HMAC-SHA256 per-urządzenie dla komunikacji edge ↔ cloud (z ochroną przed replay).

Lit. (h) — kontrola dostępu: RBAC z pięcioma rolami (operator, supervisor, NIS2 Reporting Officer, admin, audytor), MFA wymagane dla ról administracyjnych, audyt dostępu w pełnym łańcuchu. Lit. (i) — zarządzanie aktywami: inwentarz dronów, stacji dokujących, kamer Connect i konfiguracji tenantów w panelu operatora.

Cykl 24h/72h — krok po kroku

Najczęściej zadawane pytanie przez CISO klienta to: „dobrze, ale jak konkretnie cykl NIS2 wygląda u nas?”. Rzeczywisty przebieg dla operatora energetycznego: T=0 (22:35) dron w trakcie patrolu nocnego wykrywa zdarzenie HIGH (osoba w strefie zabronionej, pewność 0,94, walidacja krzyżowa RGB + termowizja). Zdarzenie zaszyfrowane kluczem klienta (CMK) per-tenant; wpis w rejestrze zdarzeń w łańcuchu hash.

T+1,2s zdarzenie synchronizuje się z backendem i trafia do panelu SOC. T+47s operator klika „Eskaluj” — webhook do Genetec Security Center klienta, automatyczne nagrywanie aktywowane, SMS oraz powiadomienie do Security Managera. T+10min patrol fizyczny zatrzymuje intruza. T+55min NIS2 Reporting Officer loguje się do panelu, klika „Wygeneruj wstępne powiadomienie NIS2”. Wizard auto-wypełnia: szczegóły zdarzenia z rejestru zdarzeń, łańcuch eskalacji ze znacznikami czasu, klasyfikację sektorową, akcje operatora, powiązane materiały (klatka kluczowa z hashem audytowym).

T+1h05min Reporting Officer dodaje kontekst kwalifikujący (ocena intencji, wpływ operacyjny, skala), klika „Wygeneruj raport” — PDF oraz JSON gotowe w 15-25 sekund. Dodaje kwalifikowany podpis elektroniczny, przesyła do CSIRT GOV (przesłanie automatyczne lub ręczne). Wstępne powiadomienie wysłane w 65 minut od detekcji — bufor 22h45min na ewentualne uzupełnienia.

T+53h Reporting Officer generuje pełne powiadomienie 72h z wizardem auto-wypełniającym wszystkie pola wstępnego powiadomienia oraz dodatkowe (ostateczna przyczyna źródłowa, ocena wpływu, środki ograniczania ryzyka). Bez Perimetro: Reporting Officer kompiluje raport ręcznie z logów CCTV, konsoli SOC, raportów ochrony — typowo 6-12 godzin pracy compliance officera oraz ryzyko niedotrzymania terminu 24h przy nocnym incydencie. Z Perimetro: 45-90 minut, pełen ślad audytowy, termin z bezpiecznym buforem.

Ryzyko łańcucha dostaw (art. 21 ust. 2 lit. d)

Art. 21 ust. 2 lit. d wymaga systematycznej oceny ryzyka łańcucha dostaw, w szczególności dla bezpośrednich dostawców usług ICT. Metodologia ENISA: identyfikacja zależności (lista dostawców oraz podprocesorów), klasyfikacja krytyczności (critical/important/minor), profil ryzyka dostawcy (jurysdykcja, certyfikacje, koncentracja geograficzna, status wobec decyzji o adekwatności UE), środki ograniczania ryzyka (umowne, techniczne, operacyjne), dokumentacja w rejestrze ryzyka dostawców.

Co Perimetro dostarcza z wyprzedzeniem dla oceny łańcucha dostaw NIS2 po stronie klienta: Perimetro Vendor Profile (wypełniony szablon oceny z perspektywy klienta), pełną listę podprocesorów (Google Workspace, Vercel jako podprocesorzy), macierz jurysdykcji (które dane są w której jurysdykcji — wszystkie strukturalne zdarzenia w UE), status certyfikacji bezpieczeństwa (plan rozwoju ISO 27001, ISO 42001 dla zarządzania AI, SOC 2 type II).

Dla systemów z komponentami sprzętowymi spoza UE (drony, kamery) Perimetro publikuje dedykowaną analizę ryzyka łańcucha dostaw z planem migracji i zmiany dostawcy. Te artefakty redukują nakład klienta z 2-4 tygodni (standardowa ocena dostawcy od zera) do 3-5 dni (przegląd wypełnionego materiału przez kancelarię klienta).

Który produkt wybrać dla swojego horyzontu

Wybór produktu zależy od horyzontu terminu (3.10.2026 rejestracja, 3.04.2027 pełne obowiązki) i charakteru obiektu. Perimetro Connect to najszybsza ścieżka — 7-30 dni do udokumentowanej warstwy detekcji nad istniejącym monitoringiem CCTV. Jeśli rejestrujecie się jako podmiot kluczowy w październiku 2026 i potrzebujecie wykazać warstwę detekcji w pierwszym kwartale 2027, Connect jest dopasowany do tego horyzontu.

Perimetro Tower (30-60 dni) jest właściwym wyborem dla obiektów wymagających dual-spectrum RGB + termowizji na konkretnych punktach krytycznych — bramach, transformatorach, strefach zabronionych. Idealne dla mapowania art. 8 (zarządzanie ryzykiem) na konkretne podpunkty obiektu. Stacje elektroenergetyczne, terminale paliwowe, porty, lotniska, centra danych — typowi kandydaci.

Perimetro Aero (60-90 dni) jest właściwym wyborem dla obiektów rozległych i liniowych — linii wysokiego napięcia, farm PV i wiatrowych, dużych terminali, kopalni. Dostarcza audytowalny patrol autonomiczny z raportem misji w rejestrze zdarzeń. Często wdrażane jako trzeci etap po Connect (szybka detekcja) i Tower (stałe punkty krytyczne), w horyzoncie po terminie.

W każdym scenariuszu wszystkie trzy produkty integrują się w jednej Perimetro Platform z jednym rejestrem zdarzeń. Możesz zacząć od Connect dla szybkiej zgodności i rozbudować o Tower i Aero w kolejnych miesiącach bez wymiany platformy ani re-konfiguracji integracji z VMS, SIEM, SCADA i kontrolą dostępu.

Co nowelizacja UKSC oznacza dla bezpieczeństwa fizycznego?