NIS2 vs. ISO 27001: co się pokrywa, co nie, i co jeszcze musisz zrobić
Autor: NIS2Certify
nis2iso-27001zgodnoscporownanieanaliza-luk
Jeśli Twoja organizacja posiada certyfikat ISO 27001, jesteś przed większością. Twój SZBI pokrywa dużą część wymagań NIS2. Ale "duża część" to nie "wszystko".
NIS2 wprowadza specyficzne obowiązki, których ISO 27001 nie obejmuje — a konsekwencje są poważne.
Krótka odpowiedź
NIS2 vs ISO 27001 — Porównanie Wymagań
◈Tylko NIS2Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)Osobista odpowiedzialność zarządu za cyberbezpieczeństwoObowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowychSektorowe obowiązki regulacyjne⬡Wspólne WymaganiaZarządzanie ryzykiem bezpieczeństwa informacjiKontrola dostępu i zarządzanie tożsamościąCiągłość działania i odtwarzanie po awariiŚwiadomość bezpieczeństwa i szkolenia◇Tylko ISO 27001Cykle audytu wewnętrznego i przeglądów zarządzaniaDokumentacja Deklaracji Stosowalności (SoA)Formalna certyfikacja i audyt zewnętrzny◈Tylko NIS2Obowiązkowe zgłaszanie incydentów do organów (24h / 72h)Osobista odpowiedzialność zarządu za cyberbezpieczeństwoObowiązki bezpieczeństwa łańcucha dostaw dla podmiotów kluczowychSektorowe obowiązki regulacyjne⬡Wspólne WymaganiaZarządzanie ryzykiem bezpieczeństwa informacjiKontrola dostępu i zarządzanie tożsamościąCiągłość działania i odtwarzanie po awariiŚwiadomość bezpieczeństwa i szkolenia◇Tylko ISO 27001Cykle audytu wewnętrznego i przeglądów zarządzaniaDokumentacja Deklaracji Stosowalności (SoA)Formalna certyfikacja i audyt zewnętrznyŚrodkowa kolumna przedstawia wymagania wspólne dla NIS2 i ISO 27001
Porównanie: 10 środków artykułu 21
| # | Środek NIS2 | ISO 27001 | Luka? |
|---|---|---|---|
| 1 | Analiza ryzyka i polityki | W pełni pokryte | ✅ Nie |
| 2 | Obsługa incydentów | Częściowo | ⚠️ Zgłoszenie 24h/72h/1 miesiąc brak |
| 3 | Ciągłość i zarządzanie kryzysowe | Częściowo | ⚠️ Koordynacja CSIRT brak |
| 4 | Bezpieczeństwo łańcucha dostaw | Częściowo | ⚠️ Specyficzne oceny dostawców brak |
| 5 | Bezpieczny rozwój | Pokryte | ✅ Niewielka |
| 6 | Ocena skuteczności | Pokryte | ✅ Nie |
| 7 | Higiena cyber i szkolenia | Pokryte | ⚠️ Szkolenie zarządu brak |
| 8 | Kryptografia | Pokryte | ✅ Nie |
| 9 | Bezpieczeństwo HR i dostęp | Pokryte | ✅ Nie |
| 10 | MFA i bezpieczna komunikacja | Częściowo | ⚠️ Obowiązkowe MFA brak |
6 krytycznych luk
- Obowiązkowe zgłoszenie do organów — 24h/72h/1 miesiąc
- Osobista odpowiedzialność zarządu — Artykuł 20
- Obowiązkowe szkolenie cyber zarządu
- Rejestracja w organie krajowym
- Specyficzne oceny każdego bezpośredniego dostawcy
- Obowiązkowe MFA i komunikacja awaryjna
Praktyczny plan działania
- Zbudować proces zgłaszania — terminy 24h/72h/1 miesiąc
- Poinformować zarząd — osobista odpowiedzialność, zaplanować szkolenie
- Ocenić dostawców pod kątem cyberbezpieczeństwa
- Wdrożyć MFA na wszystkich krytycznych systemach
- Zarejestrować się w organie krajowym
Z ISO 27001: 3-6 miesięcy. Bez: 6-12 miesięcy.
Zacznij od bezpłatnego quickscanu
Nasz bezpłatny quickscan NIS2 pokazuje dokładnie, gdzie są Twoje luki NIS2 pomimo ISO 27001.