Pierwsza rozmowa z wykonawcą w obszarze NIS2 rzadko zaczyna się od gotowej wyceny albo zamkniętego zakresu prac. Zwykle najpierw trzeba uporządkować podstawowe informacje: czym zajmuje się firma, jakie procesy są dla niej krytyczne, jak wygląda środowisko IT, kto odpowiada za bezpieczeństwo i czy organizacja wcześniej analizowała swoją gotowość.
Dobre przygotowanie nie polega na samodzielnym rozstrzyganiu wymagań prawnych ani technicznych. Chodzi raczej o zebranie faktów, które pozwolą wykonawcy szybciej zrozumieć sytuację firmy i zaproponować sensowny kolejny krok.
W NIS2 ważne jest też to, że nie każda firma zaczyna od tego samego miejsca. Jedna organizacja potrzebuje dopiero ustalić, czy i w jakim zakresie temat jej dotyczy. Inna ma już decyzję o działaniach i chce przejść do rozmowy o realizacji. Dlatego dobrym punktem odniesienia może być najpierw wybór właściwej ścieżki NIS2, a dopiero później rozmowa o konkretnym zakresie.
Schemat pokazuje pięć grup informacji, które warto uporządkować przed pierwszą rozmową z wykonawcą.
Od czego zwykle zaczyna się rozmowa o NIS2
W wielu firmach temat NIS2 trafia jednocześnie do kilku osób: zarządu, IT, compliance, prawnika, administracji albo osoby odpowiedzialnej za dostawców. To naturalne, bo NIS2 nie jest wyłącznie tematem technicznym. Dotyczy organizacji pracy, odpowiedzialności, ciągłości działania, reagowania na incydenty i zarządzania ryzykiem.
Dlatego pierwsza rozmowa z wykonawcą często służy nie tyle „kupieniu usługi”, ile ustaleniu, na jakim etapie znajduje się firma. Inaczej wygląda sytuacja organizacji, która dopiero sprawdza, czy temat jej dotyczy, a inaczej firmy, która ma już wstępny raport, listę luk albo decyzję zarządu o dalszych działaniach.
W praktyce warto przygotować się na pytania nie tylko o branżę i wielkość firmy, ale też o model IT, dostawców, wcześniejsze incydenty, poziom dojrzałości procesów i presję terminu.
Podstawowe informacje o firmie
Na początku warto zebrać krótki opis organizacji. Nie musi to być formalny dokument. Wystarczy robocza notatka, która pozwala uniknąć bardzo ogólnych odpowiedzi.
| Obszar | Co warto przygotować | Dlaczego to pomaga |
|---|---|---|
| Profil działalności | Branża, typ klientów, główne usługi lub produkty | Pomaga osadzić temat NIS2 w realnym kontekście biznesowym |
| Skala firmy | Liczba pracowników, lokalizacji, spółek lub oddziałów | Ułatwia ocenę złożoności organizacji |
| Zakres działania | Polska, UE, rynki zagraniczne | Może mieć znaczenie dla organizacji procesów i odpowiedzialności |
| Procesy krytyczne | Procesy, których przerwanie mocno uderzyłoby w firmę | Pomaga wskazać obszary wymagające szczególnej uwagi |
| Odpowiedzialność | Osoba lub dział odpowiedzialny za IT, bezpieczeństwo, compliance | Ułatwia ustalenie, kto powinien uczestniczyć w dalszej rozmowie |
| Klasyfikacja | Podmiot kluczowy, podmiot ważny albo „nie wiem” | Pozwala szybko ustalić, czy zakres obowiązków jest już rozpoznany |
Takie informacje nie przesądzają jeszcze o zakresie prac. Dają jednak wykonawcy punkt startowy, dzięki któremu rozmowa może szybciej przejść od ogólników do konkretów.
Jak opisać obecny stan bezpieczeństwa
Drugim krokiem jest zebranie informacji o tym, jak firma obecnie zarządza bezpieczeństwem. Nie trzeba mieć kompletnych odpowiedzi. Ważne jest również wskazanie obszarów, których firma jeszcze nie ma uporządkowanych.
| Obszar bezpieczeństwa | Przykładowe pytanie przed rozmową | Możliwa odpowiedź robocza |
|---|---|---|
| Systemy IT | Jakie systemy są krytyczne dla działania firmy? | ERP, poczta, system produkcyjny, CRM, system zamówień |
| Środowisko IT | Czy firma działa głównie w chmurze, on-premise czy hybrydowo? | Chmura / on-premise / hybryda / zewnętrzne IT lub MSP |
| Dostępy | Kto nadaje i odbiera uprawnienia użytkownikom? | IT wewnętrzne, administrator zewnętrzny, kierownicy działów |
| Kopie zapasowe | Czy wiadomo, co jest backupowane i jak często? | Tak / częściowo / nie wiadomo |
| Incydenty | Czy był incydent lub podejrzenie incydentu? | Nie / podejrzenie / tak, był incydent |
| Dostawcy | Które usługi IT są realizowane przez zewnętrzne firmy? | Hosting, utrzymanie systemów, helpdesk, cyberbezpieczeństwo |
| Dokumentacja | Czy istnieją polityki, procedury lub wcześniejsze raporty? | Tak / częściowo / dokumenty są nieaktualne |
Taka tabela nie zastępuje analizy wykonawcy. Pomaga jednak szybko zobaczyć, które informacje są dostępne, a które trzeba będzie dopiero ustalić.
Ustal, czego firma potrzebuje na tym etapie
Jednym z częstszych problemów jest mieszanie kilku różnych potrzeb w jednym zapytaniu. Firma może jednocześnie chcieć sprawdzić, czy NIS2 jej dotyczy, ocenić stan obecny, poznać możliwy zakres prac i przygotować się do dalszego wdrożenia.
To zrozumiałe, ale przed rozmową warto nazwać główny cel.
| Sytuacja firmy | Bardziej naturalny kierunek rozmowy |
|---|---|
| Firma nie wie, czy NIS2 jej dotyczy | Wstępne uporządkowanie sytuacji i zakresu obowiązków |
| Firma wie, że temat jest istotny, ale nie zna luk | Diagnoza obecnego stanu i priorytetów |
| Firma ma już raport lub listę luk | Omówienie dalszych działań i kolejności prac |
| Zarząd potrzebuje decyzji budżetowej | Uporządkowanie zakresu przed rozmową o finansach |
| Firma ma wiele systemów i dostawców | Ustalenie, które obszary są krytyczne i kto za nie odpowiada |
| Firma ma presję terminu | Priorytetyzacja działań zamiast próby zrobienia wszystkiego naraz |
Jeżeli firma wie, że temat jest istotny, ale nie ma jeszcze uporządkowanego obrazu luk, priorytetów i odpowiedzialności, naturalnym kolejnym krokiem może być audyt gotowości NIS2. Taka diagnoza pomaga oddzielić ogólne obawy od konkretnych obszarów wymagających dalszej pracy.
Audyt czy wdrożenie — jak nie pomylić etapów
W pytaniach o NIS2 często mieszają się dwa różne etapy: diagnoza i realizacja. Firma może mówić o „wdrożeniu”, chociaż tak naprawdę nie zna jeszcze luk, zakresu prac ani priorytetów. Może też pytać o orientacyjny koszt, chociaż nie wiadomo jeszcze, czy chodzi o procesy, dokumentację, elementy techniczne, szkolenia, uporządkowanie dostawców czy całościowy program działań.
| Etap | Kiedy ma sens | Typowy rezultat rozmowy |
|---|---|---|
| Wstępne rozpoznanie | Firma nie wie, czy i w jakim zakresie temat jej dotyczy | Ustalenie, czy potrzebna jest dalsza diagnoza |
| Audyt gotowości | Firma chce poznać luki, priorytety i plan działań | Lista obszarów do poprawy i kolejność prac |
| Wdrożenie / program zgodności | Firma ma decyzję o realizacji albo zna już zakres | Omówienie działań, harmonogramu i warunków |
| Wycena realizacji | Firma chce przejść do rozmowy o koszcie po kwalifikacji | Doprecyzowanie zakresu i przedstawienie warunków |
Jeżeli firma ma już decyzję o realizacji i chce ustalić warunki dalszych działań, bardziej naturalna będzie wycena wdrożenia NIS2. Wtedy kluczowe są inne informacje: zakres prac, poziom dojrzałości, środowisko IT, horyzont czasowy i to, czy działania mają obejmować tylko governance i procesy, czy również elementy techniczne.
Kto powinien przygotować informacje
NIS2 zwykle nie jest tematem jednej osoby. Nawet jeśli rozmowę prowadzi zarząd albo osoba odpowiedzialna za compliance, część informacji będzie pochodziła z IT, administracji, bezpieczeństwa, zakupów lub od dostawców.
W praktyce informacje zwykle pochodzą z kilku miejsc:
- zarząd — priorytety biznesowe, odpowiedzialność i decyzje budżetowe,
- IT — systemy, dostępy, backupy, infrastruktura i dostawcy techniczni,
- compliance lub prawnik — dotychczasowe analizy, dokumentacja i obowiązki organizacyjne,
- administracja lub operacje — procesy wewnętrzne i procedury działania,
- zakupy lub właściciele umów — lista kluczowych dostawców i zakres ich odpowiedzialności.
Nie każda firma ma wszystkie te role formalnie wydzielone. W mniejszych organizacjach kilka obszarów może być po stronie jednej osoby. Ważne, aby przed rozmową wiedzieć, kto może odpowiedzieć na najważniejsze pytania.
Czego nie trzeba przygotowywać samodzielnie
Przed pierwszym kontaktem z wykonawcą firma nie musi tworzyć kompletnej dokumentacji ani samodzielnie oceniać zgodności z NIS2. Zbyt ambitne przygotowanie może wręcz opóźnić rozmowę, jeśli organizacja próbuje rozwiązać wewnętrznie temat, który wymaga dopiero uporządkowania.
Nie trzeba na tym etapie:
- pisać własnej analizy prawnej,
- tworzyć pełnej mapy zgodności,
- samodzielnie klasyfikować wszystkich luk,
- przygotowywać gotowego zakresu wdrożenia,
- zbierać szczegółowych ofert od wielu wykonawców bez jasnego zakresu,
- rozstrzygać technicznych szczegółów bez udziału osób odpowiedzialnych za IT.
Dobre zapytanie nie musi zawierać gotowego zakresu prac. Powinno jednak jasno pokazywać, co firma już wie, czego nie wie i kto po jej stronie może uzupełnić brakujące informacje.
Przykład zbyt ogólnego i lepiej przygotowanego zapytania
Najmniej użyteczne zapytania są zwykle bardzo krótkie.
Zbyt ogólne zapytanie
„Proszę o ofertę na NIS2.”
Taka wiadomość nie pokazuje, czy firma szuka wstępnego rozpoznania, diagnozy obecnego stanu, planu działań, dokumentacji, wsparcia technicznego czy późniejszych prac wdrożeniowych.
Lepiej przygotowane zapytanie
„Jesteśmy firmą B2B z branży produkcyjnej, zatrudniamy około 120 osób i korzystamy z kilku kluczowych systemów IT obsługiwanych częściowo przez zewnętrznych dostawców. Nie mamy jeszcze pełnej analizy obecnego stanu. Chcemy ustalić, czy i w jakim zakresie powinniśmy przygotować organizację pod NIS2 oraz od czego zacząć.”
Taki opis nie zastępuje rozmowy z wykonawcą, ale pozwala szybciej ustalić właściwy kierunek.
Krótka lista kontrolna przed rozmową
Przed pierwszą rozmową warto przygotować odpowiedzi przynajmniej na część poniższych pytań.
Checklista porządkuje najważniejsze fakty, które warto zebrać przed rozmową o NIS2.
Nie trzeba mieć kompletu odpowiedzi. Ważne, aby wiedzieć, które informacje są dostępne, a które trzeba będzie dopiero ustalić.
Podsumowanie
Dobrze przygotowana rozmowa o NIS2 nie polega na tym, że firma przychodzi z gotowym rozwiązaniem. Polega na tym, że potrafi jasno opisać swoją sytuację: profil działalności, skalę organizacji, kluczowe systemy, odpowiedzialność, dostawców, wcześniejsze działania i główny cel rozmowy.
Takie przygotowanie pomaga odróżnić wstępne rozpoznanie od diagnozy obecnego stanu i późniejszych prac wdrożeniowych. Ułatwia też wykonawcy zadanie właściwych pytań już na początku, zamiast zaczynać od ogólnej rozmowy bez kontekstu.
Najważniejsze jest nie to, aby firma znała wszystkie odpowiedzi, ale to, aby umiała wskazać, co już wie, czego nie wie i kto może pomóc uzupełnić brakujące informacje.