Dyrektywa NIS 2 – nowe obowiązki cyberbezpieczeństwa a ISO/IEC 27001 i ISO 22301

Czym jest NIS 2 i dlaczego dotyczy tysięcy firm w Polsce?

Dyrektywa NIS 2 (Network and Information Security Directive 2) to nowe, znacznie rozszerzone regulacje Unii Europejskiej w zakresie cyberbezpieczeństwa. W Polsce zostanie wdrożona poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC).

W porównaniu do pierwotnej wersji NIS z 2016 r.:

• rozszerzono katalog podmiotów objętych regulacją,
• zaostrzono obowiązki zarządcze,
• wprowadzono wysokie kary finansowe,
• zwiększono uprawnienia organów nadzoru,
• doprecyzowano obowiązki raportowania incydentów.

NIS 2 to nie tylko regulacja prawna to wymuszenie systemowego podejścia do zarządzania bezpieczeństwem informacji i ciągłością działania.

Kogo obejmuje NIS 2?

Dyrektywa wprowadza podział na:

1. Podmioty kluczowe

(np. energia, transport, bankowość, infrastruktura cyfrowa, ochrona zdrowia, administracja publiczna)

2. Podmioty ważne

(np. produkcja, usługi cyfrowe, gospodarka odpadami, badania, żywność, dostawcy ICT)

Zakres jest istotnie szerszy niż w poprzedniej wersji dyrektywy. Oznacza to, że wiele średnich i dużych przedsiębiorstw, które dotąd nie podlegały rygorystycznym przepisom cyberbezpieczeństwa, teraz zostanie objętych obowiązkami ustawowymi.

Kluczowe wymagania NIS 2

1. Zasada proporcjonalności

Podmioty muszą wdrożyć odpowiednie środki:

• techniczne,
• organizacyjne,
• operacyjne,
• zarządcze.

Zakres zabezpieczeń ma być adekwatny do ryzyka.

2. Odpowiedzialność kierownictwa

Zarząd:

• zatwierdza środki cyberbezpieczeństwa,
• nadzoruje ich wdrażanie,
• ponosi odpowiedzialność za brak zgodności.

To kluczowa zmiana - bezpieczeństwo staje się odpowiedzialnością najwyższego kierownictwa.

3. Obowiązki zgłaszania incydentów

Schemat raportowania obejmuje:

• Wczesne ostrzeżenie - w ciągu 24 godzin
• Zgłoszenie incydentu - w ciągu 72 godzin
• Sprawozdanie okresowe (jeżeli wymagane)
• Sprawozdanie końcowe

Raportowanie odbywa się m.in. poprzez system S46 w ramach krajowego systemu cyberbezpieczeństwa.

4. Nadzór i egzekwowanie

Organy nadzoru mogą:

• przeprowadzać kontrole,
• żądać dokumentacji,
• weryfikować adekwatność zabezpieczeń,
• nakładać kary finansowe.

Kary w NIS 2 - realne ryzyko finansowe

Dla podmiotów kluczowych:

• do 10 mln EUR lub 2% globalnego rocznego obrotu.

Dla podmiotów ważnych:

• do 7 mln EUR lub 1,4% globalnego rocznego obrotu.

Nowelizacja UKSC przewiduje również minimalne poziomy kar administracyjnych.

Cyberbezpieczeństwo przestaje być kosztem operacyjnym, staje się elementem zarządzania ryzykiem finansowym i reputacyjnym.

ISO/IEC 27001 jako fundament zgodności z NIS 2

Najbardziej naturalnym i uznanym sposobem spełnienia wymagań NIS 2 jest wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO/IEC 27001:2022.

Dlaczego?

ISO/IEC 27001 zapewnia:

• identyfikację aktywów informacyjnych,
• systemowe podejście do analizy ryzyka,
• formalne zarządzanie incydentami,
• polityki bezpieczeństwa,
• nadzór nad dostawcami,
• zarządzanie ciągłością działania w kontekście bezpieczeństwa informacji,
• audyty wewnętrzne i przeglądy zarządzania,
• dokumentowane dowody zgodności.

W praktyce większość wymagań NIS 2 pokrywa się z wymaganiami ISO/IEC 27001, w szczególności w zakresie:

• zarządzania ryzykiem,
• reagowania na incydenty,
• kontroli dostępu,
• bezpieczeństwa łańcucha dostaw,
• monitorowania i audytowania zabezpieczeń.

Certyfikacja ISO/IEC 27001 - przewaga dowodowa

Certyfikacja przez akredytowaną jednostkę certyfikującą:

• potwierdza zgodność systemu z normą,
• ułatwia wykazanie należytej staranności wobec organu nadzoru,
• zwiększa wiarygodność wobec klientów i partnerów,
• redukuje ryzyko sankcji.

ISO 22301 - ciągłość działania jako obowiązek regulacyjny

NIS 2 wymaga zapewnienia odporności operacyjnej. Oznacza to nie tylko ochronę przed incydentem, ale również:

• zdolność do utrzymania kluczowych usług,
• szybkie odtworzenie działania po zakłóceniu,
• testowanie scenariuszy kryzysowych.

To obszar normy ISO 22301 – System Zarządzania Ciągłością Działania (BCMS).

ISO 22301 obejmuje:

• analizę wpływu na biznes (BIA),
• analizę ryzyka zakłóceń,
• plany ciągłości działania,
• testy i ćwiczenia,
• zarządzanie kryzysowe.

Harmonogram wdrożenia NIS 2 w Polsce

 Po podpisaniu ustawy przez Prezydenta (planowany termin  luty/marzec 2026 r.), uruchomiony zostanie sekwencyjny mechanizm obowiązków dla podmiotów objętych regulacją.

Pierwszym kluczowym terminem jest 6 miesięcy tyle czasu podmioty będą miały na złożenie wniosku o wpis do właściwego wykazu podmiotów kluczowych lub ważnych. To formalne potwierdzenie objęcia regulacją.

Kolejny etap obejmuje 12 miesięcy na wdrożenie wymaganych przez ustawę środków zarządzania ryzykiem w cyberbezpieczeństwie. W praktyce oznacza to konieczność przeprowadzenia analizy ryzyka, opracowania procedur, wdrożenia mechanizmów nadzorczych oraz zapewnienia gotowości do raportowania incydentów.

Równolegle wskazano również 12 miesięczny okres na rozpoczęcie korzystania z systemu S46 przez podmioty kluczowe i ważne. System ten ma wspierać wymianę informacji o zagrożeniach i incydentach w ramach krajowego systemu cyberbezpieczeństwa.

Najdłuższy horyzont czasowy 24 miesiące - dotyczy dostosowania do wymagań określonych dla niektórych organów administracji oraz elementów nadzorczych systemu. Ten okres ma umożliwić pełne operacyjne uruchomienie mechanizmów kontrolnych i egzekucyjnych.

Co to oznacza dla organizacji?

Choć ustawodawca przewidział okresy przejściowe, w praktyce 12 miesięcy na wdrożenie środków zarządzania ryzykiem to czas bardzo ograniczony szczególnie dla organizacji, które nie posiadają formalnego systemu zarządzania bezpieczeństwem informacji.

Jak przygotować firmę do NIS 2?

Rekomendowany plan działania:

1. Analiza podległości

• określenie, czy organizacja jest podmiotem kluczowym czy ważnym.

2. Ocena zgodności (gap analysis)

• porównanie obecnych zabezpieczeń z wymaganiami NIS 2,
• analiza zgodności z ISO/IEC 27001 i ISO 22301.

3. Wdrożenie systemu zarządzania

• budowa SZBI zgodnego z ISO/IEC 27001,
• wdrożenie BCMS zgodnego z ISO 22301.

4. Certyfikacja systemu

• audyt certyfikacyjny przez akredytowaną jednostkę certyfikującą,
• uzyskanie formalnego potwierdzenia zgodności.

Certyfikacja ISO a NIS 2 - strategiczna decyzja zarządu

NIS 2 wymusza formalizację bezpieczeństwa.
ISO/IEC 27001 i ISO 22301 dostarczają gotowej, uznanej globalnie struktury do jej wdrożenia.

Firmy, które zdecydują się na wdrożenie i certyfikację:

• szybciej osiągną zgodność,
• ograniczą ryzyko kar,
• wzmocnią pozycję przetargową,
• zwiększą zaufanie rynku.

Gdzie znaleźć jednostkę certyfikującą ISO/IEC 27001 i ISO 22301?

Na stronie certiget.pl oraz certiget.eu znajduje się szczegółowy katalog jednostek certyfikujących systemy zarządzania z całego świata, w tym z Polski.

Możesz:

• wyszukiwać jednostki według normy (np. ISO/IEC 27001, ISO 22301),
• porównywać oferty,
• sprawdzać zakres akredytacji,
• analizować profile jednostek certyfikujących.

Jednostki certyfikujące w Polsce systemy zarządzania bezpieczeństwem informacji wg normy ISO/IEC 27001.

Jednostki certyfikujące w Polsce systemy zarządzania ciągłością działania wg normy ISO 22301. 

Certiget umożliwia również pozyskanie i porównanie ofert certyfikacyjnych w jednym miejscu.

FAQ – NIS 2 i ISO

Czy NIS 2 wymaga obowiązkowej certyfikacji ISO?

Nie wprost. Jednak certyfikacja ISO/IEC 27001 znacząco ułatwia wykazanie zgodności z wymaganiami dyrektywy.

Czy ISO 22301 jest konieczne?

Nie jest formalnie wymagane, ale w praktyce stanowi najsilniejszy dowód zapewnienia ciągłości działania, co jest jednym z filarów NIS 2.

Czy małe firmy podlegają NIS 2?

Zależnie od sektora i wielkości. Wiele średnich przedsiębiorstw zostanie objętych regulacją.

Czy brak wdrożenia systemu może skutkować karą?

Tak. Organ nadzoru może nałożyć wysokie kary finansowe w przypadku braku adekwatnych środków bezpieczeństwa.

Podsumowanie

NIS 2 to fundamentalna zmiana podejścia do cyberbezpieczeństwa w UE. Najbardziej efektywną strategią zgodności jest wdrożenie i certyfikacja:

• ISO/IEC 27001 - bezpieczeństwo informacji
• ISO 22301 - ciągłość działania

To nie tylko spełnienie obowiązku regulacyjnego, ale również budowa odpornej, bezpiecznej organizacji.