Przejdź do treści głównej
NIS2Certify
Powrót do przeglądu

Jak przeprowadzić analizę luk NIS2: przewodnik krok po kroku dla Pana/Pani organizacji

Autor: NIS2Certify
NIS2analiza lukzgodnośćcyberbezpieczeństwoArticle 21zarządzanie ryzykiem

Kierownik ds. zgodności w polskiej firmie logistycznej otwiera arkusz kalkulacyjny. U góry: dziesięć środków cyberbezpieczeństwa z NIS2 Article 21. Po lewej stronie: każdy dział, system i proces, jaki prowadzi firma. Większość komórek jest pusta. Teraz wie dokładnie, gdzie są problemy — a co ważniejsze, gdzie w pierwszej kolejności przeznaczyć budżet.

Ten arkusz kalkulacyjny to analiza luk NIS2. Jest to najważniejszy krok, jaki każda organizacja może podjąć już teraz, zanim nadejdą terminy egzekwowania przepisów i regulatorzy zaczną zadawać pytania.

Jeśli Pana/Pani organizacja podlega pod NIS2 — lub podejrzewa, że może podlegać — oto jak przeprowadzić taką analizę prawidłowo.

Czym naprawdę jest analiza luk NIS2

Analiza luk porównuje to, co organizacja robi dziś, z tym, czego wymaga NIS2. Nic więcej, nic mniej.

NIS2 nie jest certyfikatem. To prawny obowiązek wynikający z dyrektywy UE 2022/2555, który zobowiązuje organizacje z objętych sektorów do wdrożenia konkretnych środków cyberbezpieczeństwa, zgłaszania incydentów w ściśle określonych terminach oraz zapewnienia nadzoru nad bezpieczeństwem na poziomie zarządu.

Analiza luk odwzorowuje obecny stan bezpieczeństwa organizacji względem tych wymagań i dostarcza przejrzystą listę: czego brakuje, co jest wdrożone częściowo, a co jest już zgodne z przepisami. Wynikiem jest priorytetowy plan działań — nie werdykt zdał/nie zdał.

Jeśli organizacja posiada już certyfikat ISO 27001, ma pewną przewagę. Ale NIS2 i ISO 27001 to nie to samo — dyrektywa zawiera szczegółowe obowiązki dotyczące terminów zgłaszania incydentów, bezpieczeństwa łańcucha dostaw i odpowiedzialności zarządu, które nie są objęte normą ISO 27001.

Krok 1: Potwierdzenie, że organizacja podlega pod NIS2

Zanim poświęci Pan/Pani czas na pełną analizę luk, należy zweryfikować, czy NIS2 faktycznie dotyczy organizacji. Zasady zakresu są jasne:

  • Organizacja działa w jednym z sektorów kluczowych lub ważnych zdefiniowanych przez dyrektywę
  • Zatrudnia 50 lub więcej pracowników lub osiąga roczny obrót przekraczający 10 milionów EUR
  • Niektóre podmioty — dostawcy DNS, dostawcy usług zaufania, rejestry TLD — zawsze podlegają pod dyrektywę, niezależnie od wielkości

Nie należy lekceważyć aspektu łańcucha dostaw. Nawet jeśli organizacja nie przekracza progów, jej największymi klientami mogą być podmioty NIS2. Na mocy Article 21(2)(d) są oni zobowiązani do zarządzania ryzykami bezpieczeństwa łańcucha dostaw — co oznacza, że zaczną wymagać dowodów na poziom bezpieczeństwa Pana/Pani organizacji.

Czy NIS2 Dotyczy Twojej Organizacji?
1
Czy Twoja organizacja działa w sektorze kluczowym lub ważnym (energia, transport, ochrona zdrowia, infrastruktura cyfrowa itp.)?
TakNie
2
Czy Twoja organizacja zatrudnia co najmniej 50 pracowników lub osiąga roczny obrót przekraczający 10 milionów euro?
TakNie
3
Czy Twoja organizacja jest dostawcą infrastruktury krytycznej lub kwalifikowanym dostawcą usług zaufania?
TakNie
NIS2 nie dotyczy bezpośrednio Twojej organizacji.
NIS2 dotyczy Twojej organizacji jako podmiotu kluczowego lub ważnego.
!
NIS2 może dotyczyć Twojej organizacji — skonsultuj się z prawnikiem w celu potwierdzenia statusu.
Dotyczy
Możliwe zastosowanie
Nie dotyczy

Krok 2: Mapowanie względem 10 środków z Article 21

Article 21 jest fundamentem zgodności z NIS2. Określa dziesięć minimalnych środków zarządzania ryzykiem cyberbezpieczeństwa, które każdy podmiot w zakresie stosowania musi wdrożyć. Analiza luk powinna oceniać każdy z nich osobno.

Artykuł 21 — 10 Środków Cyberbezpieczeństwa NIS2
Artykuł 21
10 Środków Cyberbezpieczeństwa
Zarządzanie & Strategia
1Analiza ryzyka & polityki bezpieczeństwa informacji
6Ocena skuteczności środków bezpieczeństwa
Incydenty & Ciągłość
2Obsługa incydentów & zgłaszanie
3Ciągłość działania & odtwarzanie po awarii
Łańcuch Dostaw & Systemy
4Bezpieczeństwo łańcucha dostaw
5Bezpieczeństwo w rozwoju systemów sieciowych i informatycznych
Kontrole Techniczne
8Kryptografia & szyfrowanie
10Uwierzytelnianie wieloskładnikowe & bezpieczna komunikacja
Ludzie & Zasoby
7Cyberhigiena & szkolenia
9Bezpieczeństwo HR & kontrola dostępu

Dla każdego środka należy udokumentować trzy rzeczy:

  1. Stan obecny — co istnieje dziś? Polityki, narzędzia, procesy, dowody
  2. Luka — czego brakuje lub co jest niekompletne w porównaniu z wymaganiem NIS2?
  3. Priorytet — jak krytyczna jest ta luka z punktu widzenia ryzyka i prawdopodobieństwa kontroli?

Poniżej przedstawiono podejście do oceny środków, w których organizacje najczęściej mają braki.

Analiza ryzyka i polityki bezpieczeństwa informacji

Czy organizacja posiada udokumentowaną, zatwierdzoną przez zarząd politykę bezpieczeństwa informacji? Nie dokument sprzed pięciu lat przechowywany w SharePoint — lecz aktualną politykę odzwierciedlającą rzeczywisty krajobraz ryzyka, formalnie zatwierdzoną przez kierownictwo zgodnie z wymogami Article 20.

Co sprawdzić: Data ostatniego zatwierdzenia przez zarząd, czy polityka obejmuje wszystkie systemy istotne z punktu widzenia NIS2, czy została zakomunikowana pracownikom.

Obsługa incydentów

Czy organizacja jest w stanie wykryć, sklasyfikować i zgłosić incydent cyberbezpieczeństwa w ciągu 24 godzin? Terminy zgłaszania incydentów NIS2 — 24 godziny na wczesne ostrzeżenie, 72 godziny na pełne powiadomienie, miesiąc na raport końcowy — wymagają procesów, których większość średnich organizacji nie posiada. W Polsce organem odbierającym zgłoszenia jest CSIRT GOV, prowadzony przez ABW.

Harmonogram Zgłaszania Incydentów NIS2
24h
Wczesne Ostrzeżenie
Powiadom właściwy organ (CSIRT/KNB) w ciągu 24 godzin od uzyskania informacji o znaczącym incydencie.
72h
Zgłoszenie Incydentu
Złóż szczegółowe zgłoszenie w ciągu 72 godzin z wstępną oceną powagi, wpływu i wskaźników naruszenia bezpieczeństwa.
1mo
Raport Końcowy
Dostarcz kompleksowy raport końcowy w ciągu jednego miesiąca obejmujący przyczynę źródłową, podjęte działania naprawcze i wpływ transgraniczny.

Co sprawdzić: Zdefiniowane procedury eskalacji, dane kontaktowe do krajowego CSIRT GOV, szablony powiadomień, narzędzia monitorujące umożliwiające wykrycie w wymaganym czasie.

Bezpieczeństwo łańcucha dostaw

To środek, który organizacje najbardziej bagatelizują. Article 21(2)(d) zobowiązuje do oceny i zarządzania ryzykami bezpieczeństwa w łańcuchu dostaw — w tym u dostawców usług IT, dostawców chmury i dostawców oprogramowania.

Co sprawdzić: Umowy zawierające klauzule bezpieczeństwa, oceny ryzyka dostawców, klauzule prawa do audytu, wymagania dotyczące powiadamiania dostawców o incydentach.

Ocena skuteczności

Posiadanie środków bezpieczeństwa to za mało. Article 21 wymaga oceny, czy te środki faktycznie działają. Oznacza to testowanie, audytowanie i przeglądy — regularnie, nie jednorazowo.

Co sprawdzić: Raporty z testów penetracyjnych, harmonogram audytów wewnętrznych, metryki mierzące skuteczność kontroli bezpieczeństwa, działania podjęte na podstawie wcześniejszych ustaleń.

Krok 3: Ocena luk punktowa

Należy zastosować prosty trzystopniowy system oceny dla każdego z dziesięciu środków:

OcenaZnaczenieWymagane działanie
ZielonyŚrodek jest wdrożony, udokumentowany i regularnie przeglądanyUtrzymywać i dokumentować
PomarańczowyCzęściowo wdrożony lub dokumentacja jest nieaktualnaRemediacja w ciągu 3-6 miesięcy
CzerwonyNie wdrożony lub zasadniczo niewystarczającyPriorytet natychmiastowy

Należy być szczerym. Analiza luk jest narzędziem wewnętrznym — zawyżanie ocen niweluje jej cel. Kiedy regulator ostatecznie zażąda dowodów na program zgodności z NIS2, rzetelna analiza luk z jasnym harmonogramem remediacji świadczy o znacznie większej dojrzałości niż dopracowany dokument, który nie odzwierciedla rzeczywistości.

Krok 4: Priorytety według ryzyka i fokus regulacyjny

Nie wszystkie luki mają jednakową wagę. Priorytety należy ustalać na podstawie dwóch czynników:

Ekspozycja na ryzyko — które luki, w przypadku ich wykorzystania, wyrządziłyby największe szkody organizacji? Nieaktualne zarządzanie podatnościami (środek 5) w połączeniu ze słabą obsługą incydentów (środek 2) tworzy scenariusz, w którym naruszenie pozostaje niewykryte i niezgłoszone — uruchamiając zarówno szkody operacyjne, jak i sankcje regulacyjne.

Fokus regulacyjny — unijne organy krajowe, w tym NASK w Polsce, sygnalizowały, że wstępne działania egzekwowania skupią się na:

  • Zgodności rejestracyjnej (czy jesteś zarejestrowany?)
  • Zdolnościach zgłaszania incydentów (czy możesz dotrzymać terminów 24/72 godzin?)
  • Nadzorze na poziomie zarządu (czy kierownictwo zatwierdziło środki cyberbezpieczeństwa?)
  • Due diligence w zakresie łańcucha dostaw (czy oceniłeś swoich dostawców?)

Te cztery obszary powinny znajdować się na szczycie listy remediacji niezależnie od wewnętrznej oceny ryzyka.

Krok 5: Budowanie planu remediacji

Należy przekształcić analizę luk w konkretny plan działania z właścicielami, terminami i szacunkami budżetowymi.

Szybkie wygrane (1-3 miesiące):

  • Formalizacja zatwierdzenia przez zarząd istniejących polityk bezpieczeństwa
  • Zaplanowanie szkoleń cyberbezpieczeństwa dla kierownictwa (wymóg Article 20)
  • Rejestracja w krajowym organie, jeśli portal jest otwarty
  • Ustanowienie łańcucha kontaktów w zakresie reagowania na incydenty

Działania średnioterminowe (3-6 miesięcy):

  • Wdrożenie lub ulepszenie zdolności monitorowania i wykrywania
  • Przeprowadzenie ocen bezpieczeństwa dostawców dla kluczowych dostawców
  • Wdrożenie uwierzytelniania wieloskładnikowego we wszystkich krytycznych systemach
  • Opracowanie i przetestowanie szablonów powiadomień o incydentach

Inicjatywy długoterminowe (6-12 miesięcy):

  • Budowanie programu ciągłej oceny skuteczności
  • Integracja wymagań bezpieczeństwa łańcucha dostaw z procesami zamówień
  • Ustanowienie regularnego cyklu audytów i przeglądów
  • Dostosowanie planów ciągłości działania do wymagań NIS2

Typowe błędy w analizach luk NIS2

Traktowanie tego jako jednorazowego ćwiczenia. Zgodność z NIS2 jest procesem ciągłym. Analiza luk powinna być żywym dokumentem, aktualizowanym co kwartał — co najmniej po każdej istotnej zmianie w środowisku IT, strukturze organizacyjnej lub krajobrazie zagrożeń.

Ignorowanie łańcucha dostaw. Organizacje mają tendencję do skupiania się na tym, co wewnętrzne. Tymczasem Article 21(2)(d) wyraźnie zobowiązuje do spojrzenia na zewnątrz — na dostawców, usługodawców i zależności. Analiza luk, która zatrzymuje się na własnym perymetrze, jest niekompletna.

Pomijanie zarządu. Article 20 czyni organy zarządzające osobiście odpowiedzialnymi. Jeśli zarząd nie został poinformowany o wynikach analizy luk i nie zatwierdził formalnie planu remediacji, istnieje luka w zakresie nadzoru, którą regulatorzy zauważą.

Nadmierne komplikowanie procesu. Przeprowadzenie analizy luk nie wymaga sześciomiesięcznego zaangażowania konsultantów. Ustrukturyzowana samoocena względem dziesięciu środków z Article 21, przeprowadzona rzetelnie i właściwie udokumentowana, pozwala osiągnąć 80% celu.

Zacznij od szybkiej oceny

Przeprowadzenie pełnej analizy luk NIS2 wymaga czasu i wewnętrznej koordynacji. Ale klarowny wstępny obraz można uzyskać w kilka minut.

Wykonaj bezpłatny NIS2 Quick Scan — mapuje organizację względem wymagań Article 21 i pokazuje dokładnie, gdzie są największe luki. To najszybszy sposób, by zrozumieć gotowość na NIS2 przed podjęciem zobowiązania do pełnego programu remediacji.

Organizacje, które rozpoczną analizę luk teraz — gdy egzekwowanie przepisów nasila się w całej Europie — będą miały czas na metodyczne zamknięcie luk, bez presji i dodatkowych kosztów wynikających z działań na ostatnią chwilę.

    Jak przeprowadzić analizę luk NIS2: przewodnik krok po kroku dla Pana/Pani organizacji — NIS2Certify