Czy moja firma podlega CER lub NIS2?

CER (UE 2022/2557) obejmuje 11 sektorów krytycznych: energia, transport, banki, finanse, zdrowie, woda, ścieki, infrastruktura cyfrowa, administracja, kosmos, żywność. NIS2 (UE 2022/2555) ma szerszy zakres — 18 sektorów essential + important. Wiele podmiotów (banki, telekom, energetyka, logistyka, IT) podlega obu reżimom równolegle.

Jakie normy ISO spełniają wymagania CER i NIS2?

ISO 22301 (BCM) — fundament art. 13 CER (ciągłość świadczenia usług niezbędnych). ISO 27001 (ISMS) — fundament art. 21 NIS2 (zarządzanie ryzykiem cyber). ISO 22361 (zarządzanie kryzysowe) — wsparcie planów reagowania na incydent. ISO 31000 (risk management) — wymóg art. 12 CER (ocena ryzyka co 4 lata). Razem stanowią udokumentowaną ścieżkę zgodności audytowalną przez krajowe organy nadzorcze.

Ile kosztuje pełen pakiet zgodności CER + NIS2?

Audyt zintegrowany ISO 22301 + ISO 27001 + ISO 22361 typowo daje rabat 25-35% względem trzech osobnych postępowań. Wspólne sekcje HLS (kontekst, przywództwo, planowanie, wsparcie, ocena efektów) są audytowane jednorazowo, pracuje jeden zespół audytorski, powstaje zintegrowany raport. Konkretna wycena zależy od wielkości organizacji, liczby lokalizacji i sektora.

Ile trwa wdrożenie pakietu zgodności CER + NIS2?

W średniej firmie 9-15 miesięcy. Posiadanie ISO 9001 lub innej normy HLS skraca proces o 30-40%. Typowy harmonogram: 3-4 mies. ISO 27001 (najtrudniejsza, kontrole techniczne), 6-9 mies. ISO 22301 (BIA, plany BCP/DRP, testy), 2-3 mies. ISO 22361 (procedury kryzysowe). Audyt zintegrowany na końcu — 5-8 dni on-site.

Czy wystarczy ISO 22301, jeśli już mamy ISO 27001?

Dla NIS2 zwykle wystarczy ISO 27001. Dla CER konieczne jest ISO 22301 (art. 13 — ciągłość usług). Jeśli organizacja podlega tylko CER (bez NIS2), wystarczy ISO 22301. Większość podmiotów krytycznych (banki, telekom, energetyka) podlega obu — pełen pakiet jest najbardziej efektywny ekonomicznie.

Compliance dla podmiotów krytycznych

Pakiet zgodności CER + NIS2

Realizowane z międzynarodową jednostką akredytowaną

W skrócie

Dyrektywy CER (UE 2022/2557) i NIS2 (UE 2022/2555) obowiązują od 18 października 2024. Większość podmiotów krytycznych podlega obu reżimom równolegle. Multicert oferuje audyt zintegrowany trzech norm — ISO 22301 (BCM, fundament CER art. 13), ISO 27001 (ISMS, fundament NIS2 art. 21), ISO 22361 (zarządzanie kryzysowe). Rabat zintegrowany 25-35% względem trzech osobnych postępowań.

Mapa wymagań CER + NIS2 → normy ISO

Każde wymaganie dyrektywy mapuje się na konkretną normę ISO, którą Multicert auditujе. Audyt zintegrowany pokrywa równolegle obie dyrektywy.

Wymaganie regulacyjne	Norma ISO	Rola
CER art. 12 — ocena ryzyka co 4 lata	ISO 22301 + ISO 31000	Fundament BIA + RA
CER art. 13 — ciągłość świadczenia usług	ISO 22301	Plany BCP/DRP, testy ćwiczeniowe
CER art. 13 — środki ochrony cyber	ISO 27001	93 kontrole z Załącznika A
CER art. 15 — powiadamianie incydentów (24 h)	ISO 22361	Zarządzanie kryzysowe, komunikacja
NIS2 art. 21 ust. 2 lit. a-j — środki zarządzania ryzykiem cyber	ISO 27001	Pełen system SZBI
NIS2 art. 21 lit. c — ciągłość działania, kopie zapasowe	ISO 22301	BCM dla cyber-incydentów
NIS2 art. 21 lit. d — bezpieczeństwo łańcucha dostaw	ISO 28000 / 27036	Supply chain security
NIS2 art. 23 — raportowanie incydentów (24/72 h)	ISO 22361	Procedury reagowania
CER + NIS2 — odporność organizacyjna	ISO 22316	Resilience kultury organizacyjnej

Trzy poziomy pakietu zgodności

Pakiet dobiera się na podstawie sektora podmiotu i zakresu reżimów. Ścieżka rośnie organicznie — w pierwszym roku można zacząć od fundamentu, dodawać normy w kolejnych cyklach.

Poziom 1 — Fundament

Tylko NIS2

Dla podmiotów objętych wyłącznie NIS2 (sektor IT, telekom, e-commerce, część finansów).

ISO 27001 — system zarządzania bezpieczeństwem informacji
+ opcjonalnie ISO 27017/27018 (chmura)

Czas wdrożenia: 6-9 mies.

Najczęstszy wybór

Poziom 2 — Pełen pakiet CER + NIS2

CER + NIS2 zintegrowany

Dla podmiotów krytycznych (banki, energetyka, telekom, zdrowie, infrastruktura cyfrowa).

ISO 22301 — ciągłość działania (BCM)
ISO 27001 — bezpieczeństwo informacji
ISO 22361 — zarządzanie kryzysowe

Czas wdrożenia: 9-12 mies. Rabat audytu zintegrowanego: 25-35%

Poziom 3 — Maksymalna odporność

CER + NIS2 + supply chain

Dla operatorów infrastruktury krytycznej z złożonym łańcuchem dostaw (energia, kosmos, sektor finansowy).

ISO 22301 + ISO 27001 + ISO 22361
ISO 22316 — odporność organizacyjna
ISO 28000 — supply chain security
+ opcjonalnie ISO 31000 (risk)

Czas wdrożenia: 12-18 mies. Rabat: 30-40%

Korzyści audytu zintegrowanego

1
Niższy koszt o 25-35% — wspólne sekcje HLS norm ISO są audytowane jednorazowo (kontekst, przywództwo, planowanie, wsparcie, ocena efektów). Tylko wymagania specyficzne dla każdej normy realizuje się odrębnie.
2
Krótszy czas audytu o 30-40% — jeden zespół audytorski, jeden raport, jedna wizyta on-site zamiast trzech osobnych.
3
Spójna dokumentacja — jeden zestaw procedur, jedna polityka, jedna macierz ryzyk dla całego systemu zarządzania. Niższy koszt utrzymania.
4
Argumenty audytowe wobec organów nadzorczych — krajowe organy nadzorcze CER i NIS2 (w Polsce: nowy organ ustanowiony nowelizacją ustawy o KSC) preferują udokumentowane systemy zarządzania nad ad-hoc deklaracjami zgodności.
5
Sygnał dla klientów korporacyjnych — element raportowania CSRD/ESRS S4 (społeczeństwo) i G1 (zarządzanie). Dostawcy do banków, energetyki, sektora publicznego są coraz częściej oceniani pod kątem odporności operacyjnej.

Wycena pakietu zgodności CER + NIS2

Bezpłatna analiza zakresu w 2 godziny. Pisemna wycena pakietu w ciągu 1-2 dni roboczych. Spotkanie z audytorem wiodącym w Twojej siedzibie lub online.

Bezpłatna wycena pakietu Czytaj o CER

Pogłębienie tematu

Blog