NIS2 to nie jest „kolejne RODO do odhaczenia". Dla producentów objętych nowelizacją krajowych przepisów oznacza konkretne obowiązki wokół zarządzania ryzykiem, bezpieczeństwa łańcucha dostaw i zgłaszania incydentów. A skoro coraz więcej pracy z dokumentami przenosi się do narzędzi AI, pytanie „czy nasz dostawca AI przejdzie audyt" przestaje być teoretyczne. Ten tekst zbiera w jednym miejscu to, co realnie obowiązuje i jak się przygotować, bez prawniczego żargonu i bez straszenia. To nie jest porada prawna, tylko praktyczne uporządkowanie tematu z perspektywy wdrożenia AI.
Co się zmieniło i dlaczego teraz
Nowe przepisy implementujące NIS2 weszły w życie wiosną 2026. Dla wielu producentów oznacza to, że po raz pierwszy formalnie trafiają do kategorii podmiotów objętych regulacją. Daty rejestracji i pierwszych audytów są rozłożone w czasie, ale przygotowanie zaczyna się dużo wcześniej, bo dotyczy procesów i dostawców, których nie zmienia się z dnia na dzień. Kto zostawi to na ostatni kwartał przed audytem, będzie podejmował decyzje technologiczne pod presją, a to najgorszy moment na wybór dostawcy AI.
Kogo to dotyczy
Regulacja celuje w organizacje istotne dla funkcjonowania gospodarki i infrastruktury. W praktyce wielu średnich i dużych producentów wpada w zakres jako podmiot kluczowy w rozumieniu NIS2, często nie zdając sobie z tego sprawy. Jeśli nie macie pewności, czy jesteście objęci, to sam ten brak pewności jest sygnałem, że warto to ustalić formalnie, a nie zakładać, że „nas to nie dotyczy".
Obowiązki, które dotykają AI najmocniej
Z perspektywy wdrożenia AI trzy obszary regulacji są najistotniejsze.
- Zarządzanie ryzykiem. Musicie wiedzieć, gdzie są wasze dane, kto i co z nimi robi, i umieć to wykazać. Narzędzie AI, które wysyła wasze dokumenty do publicznej chmury bez kontroli nad tym, gdzie trafiają, utrudnia spełnienie tego wymogu.
- Bezpieczeństwo łańcucha dostaw. Wasi dostawcy stają się częścią waszej powierzchni ryzyka. Dostawca AI to dostawca jak każdy inny: musicie umieć odpowiedzieć, gdzie przetwarza dane, na jakiej infrastrukturze i co się dzieje, gdy coś pójdzie nie tak.
- Zgłaszanie incydentów. Potrzebujecie śladu tego, co się działo. System AI, który nie zostawia audytowalnego śladu (kto pytał, na jakich źródłach oparta jest odpowiedź), jest tu problemem, nie pomocą.
Dlaczego publiczna chmura AI staje się problemem audytowym
Większość popularnych narzędzi AI to usługi w chmurze publicznej, współdzielone między wielu klientów, z przetwarzaniem danych poza waszym perymetrem. Dla zespołu, który musi wykazać kontrolę nad danymi i nad łańcuchem dostaw, to trudna pozycja wyjściowa. Nie chodzi o to, że publiczna AI jest „zła", tylko o to, że domyślnie nie daje odpowiedzi na pytania, które zada audytor. Pisaliśmy o tym szerzej w kontekście tego, dlaczego publiczna AI nie przejdzie audytu.
Jak się przygotować, krok po kroku
- Ustalcie formalnie, czy jesteście objęci regulacją, i udokumentujcie to.
- Zinwentaryzujcie, gdzie dziś trafiają wasze wrażliwe dokumenty, łącznie z narzędziami AI używanymi nieformalnie przez zespoły.
- Potraktujcie dostawców AI jak każdego innego dostawcę w ocenie ryzyka łańcucha dostaw.
- Wymagajcie od dostawcy AI jasnej odpowiedzi, gdzie przetwarzane są dane i czy zostaje audytowalny ślad.
- Nie zostawiajcie wyboru technologii na kwartał przed audytem.
O co zapytać dostawcę AI
Krótka lista pytań, które oddzielają dostawcę gotowego na audyt od reszty: gdzie fizycznie przetwarzane są nasze dane, czy wdrożenie może działać na naszej infrastrukturze, czy dane są odizolowane od innych klientów, jaki ślad zostaje po każdej interakcji, i co dzieje się z danymi po zakończeniu współpracy. Jeśli dostawca nie umie odpowiedzieć wprost, to sama ta niepewność jest odpowiedzią.
Podsumowanie
NIS2 nie wymaga rezygnacji z AI. Wymaga wyboru AI, która daje kontrolę nad danymi, działa w waszym perymetrze i zostawia ślad, który da się pokazać audytorowi. To różnica między narzędziem, które utrudnia zgodność, a takim, które ją wspiera. Jeśli chcecie omówić, jak to wygląda przy wdrożeniu na waszej infrastrukturze, porozmawiajmy.
To nie jest porada prawna. Zakres obowiązków zależy od profilu organizacji, w razie wątpliwości skonsultujcie się z prawnikiem lub doradcą ds. zgodności.
