5 godzin temu
Jak zbudować zgodność, którą można obronić przed audytorem lub organem nadzoru?
W pierwszej części publikacji poświęconej tematyce dostosowania organizacji do wymagań dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (Dz.Urz. UE L z 2022 r. Nr 333, s. 80; dalej: NIS2) oraz ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20; dalej: CyberbezpU) wskazaliśmy, iż zgodność z nowymi regulacjami w zakresie cyberbezpieczeństwa nie może ograniczać się wyłącznie do przygotowania i formalnego przyjęcia odpowiednich polityk i procedur. W praktyce organizacja musi być gotowa do wykazania, iż procesy bezpieczeństwa rzeczywiście funkcjonują. To właśnie na tym etapie pojawia się pytanie: jak wygląda weryfikacja zgodności z perspektywy audytora lub organu nadzorczego?
Co bada audytor lub zespół kontrolujący?
Podczas kontroli punktem wyjścia oczywiście pozostaje dokumentacja. Jednak dokument jest jedynie początkiem rozmowy. o ile organizacja deklaruje posiadanie procedury wykonywania kopii zapasowych, audytor lub zespół kontrolujący zapyta, kiedy ostatni raz przeprowadzono test odtworzenia danych i jakie były jego wyniki. jeżeli organizacja posiada metodykę analizy ryzyka, pojawią się pytania o datę ostatniej aktualizacji rejestru ryzyka, sposób akceptacji ryzyk przez najwyższe kierownictwo oraz działania podjęte wobec ryzyk nieakceptowalnych.
Analogicznie wygląda sytuacja w przypadku zarządzania podatnościami, szkoleń czy bezpieczeństwa dostawców. Audytor będzie oczekiwał odpowiedzi na pytania: Jak gwałtownie usuwane są krytyczne podatności? Czy najwyższe kierownictwo otrzymuje raporty bezpieczeństwa? Czy i kiedy pracownicy ukończyli wymagane szkolenia? Jak oceniani są zewnętrzni dostawcy mający dostęp do systemów krytycznych? Jakie środki bezpieczeństwa wynikają z zawartych umów?
Ocena nie koncentruje się więc wyłącznie na jakości samego dokumentu, łatwości użytkowania i logicznego powiązania z pozostałymi dokumentami, ale również na zdolności organizacji do realizacji obowiązków wynikających z badanej dokumentacji, a tym samym do realnego zarządzania cyberbezpieczeństwem.
Przykłady najczęstszych niezgodności
Analizując praktykę audytową, można wskazać kilka obszarów, które regularnie generują największe problemy. Pierwszym jest brak skutecznego zarządzania zasobami/aktywami – organizacje często nie posiadają pełnej inwentaryzacji aktywów, nie określają priorytetów naprawczych w przypadku wykrycia podatności lub ryzyk i nie monitorują terminowości wdrażania poprawek. Tymczasem punktem wyjścia w zakresie zarządzania cyberbezpieczeństwem jest wiedza o tym, jakie zasoby znajdują się w organizacji, jakie ryzyka mogą oddziaływać na te aktywa, jakie zagrożenia i podatności zidentyfikowano w związku z wykorzystaniem danych aktywów.
Drugim, powtarzającym się problemem, pozostaje zarządzanie dostępem – brak uwierzytelniania wieloskładnikowego, współdzielone konta, brak odbierania uprawnień oraz niekontrolowane uprawnienia administracyjne należą do najczęściej identyfikowanych słabości.
Trzecim obszarem jest monitoring i wykrywanie incydentów – organizacje często gromadzą logi, ale nie prowadzą ich analizy, w efekcie o incydencie dowiadują się od klientów, partnerów lub zespołów CERT.
Kolejną niezgodnością jest brak segmentacji sieci – płaska architektura środowiska IT powoduje, iż skutki kompromitacji jednego systemu mogą bardzo gwałtownie rozprzestrzenić się na całą organizację.
Odrębnym problemem pozostają kopie zapasowe i odtwarzanie po awarii – nieprzetestowany backup jest jedynie założeniem, a nie gwarancją możliwości odtworzenia działalności po incydencie związanym np. z ransomware lub awarii infrastruktury.
Wreszcie obszar szczególnie ważny, a często bardzo zaniedbywany, to bezpieczeństwo ze strony zewnętrznych dostawców usług ICT – NIS2/CyberbezpU wyraźnie podkreśla znaczenie bezpieczeństwa łańcucha dostaw. Organizacja odpowiada nie tylko za własne środowisko, ale także za ryzyka wynikające z korzystania z usług podmiotów zewnętrznych.
Od czego zacząć? Podstawy i punkt wyjścia
Wiele organizacji obawia się, iż wdrożenie NIS2 będzie wymagało wielomilionowych inwestycji, wprowadzenia niesamowitych narzędzi opartych o algorytmy sztucznej inteligencji i uczenie maszynowe, oraz zatrudnienia szeregu ekspertów do obsługi tych narzędzi. W praktyce największy efekt można osiągnąć dzięki skoncentrowaniu się na kilku kluczowych obszarach. Priorytetem powinno być stworzenie aktualnej inwentaryzacji aktywów, przeprowadzenie analizy BIA oraz oceny ryzyka, wdrożenie MFA dla systemów, które organizacja uzna za istotne w oparciu o wyżej wskazane analizy, uruchomienie procesu zarządzania podatnościami, zapewnienie monitoringu bezpieczeństwa oraz przeprowadzenie testów odtworzeniowych kopii zapasowych. To właśnie te działania przynoszą najszybszą i największą redukcję ryzyka, jednocześnie budując fundament zgodności regulacyjnej. o ile organizacja nie wie, jakie obszary zabezpieczyła w sposób dostateczny, a gdzie wymagane mogą być dalsze prace związane z doskonaleniem wdrożonego systemu zarządzania bezpieczeństwem informacji, dobrym punktem wyjścia jest przeprowadzenie tzw. analizy luki w kontekście zgodności z wymogami NIS2/CyberbezpU i określenie planu działań i priorytetów związanych z dostosowaniem podmiotu do zmieniających się regulacji.
Dopiero na tej bazie warto rozwijać bardziej zaawansowane elementy programu cyberbezpieczeństwa, takie jak rozbudowane wskaźniki KPI/KRI, automatyzacja procesów czy zaawansowane programy testowania odporności.
Dokumentacja ma opisywać rzeczywistość
Najważniejszym wnioskiem płynącym z NIS2 i CyberbezpU jest konieczność odejścia od myślenia o compliance jako projekcie wyłącznie dokumentacyjnym. Wewnętrzne regulacje oczywiście pozostają niezbędne, bez nich nie sposób mówić o powtarzalności procesów, odpowiedzialności czy możliwości wykazania zgodności, ale jednocześnie sama dokumentacja normatywna nie tworzy cyberodporności. Analogicznie jest niestety z zakupami nowego sprzętu i oprogramowania, zaawansowanych systemów bezpieczeństwa etc. – samo wdrożenie narzędzi nie pozwoli organizacji na pokrycie wszystkich wymagań regulacyjnych oraz wykazanie zgodności z wymogami prawa.
Organ nadzorczy będzie oceniał przede wszystkim zdolność organizacji do realizacji takich procesów, jak identyfikowanie ryzyk, wykrywanie incydentów, ochrona systemów, zarządzanie zewnętrznymi dostawcami, odtwarzanie działalności po awarii – dokumenty mają tę zdolność opisywać, porządkować i potwierdzać, a narzędzia wspierać realizację obowiązków.
Dlatego najskuteczniejsze wdrożenia NIS2 i CyberbezpU nie zaczynają się od pytania „jakie polityki musimy napisać?”, ani też „jakie narzędzia możemy kupić?” ale od pytania „jakie zdolności bezpieczeństwa musimy zbudować?”. To właśnie tam przebiega granica pomiędzy papierowym compliance a realnym wdrożeniem.
Daniel Niwiński – prawnik, ekspert ds. cyberbezpieczeństwa w Kancelarii Prawnej Krzysztof Rożko i Wspólnicy
Kancelaria KRWLegal zdobyła rekomendacje w rankingu IFLR1000 (w kategorii Capital Markets: Equity) oraz The Legal 500 EMEA 2026 (w kategorii Investment Funds). Ponadto kancelaria została wyróżniona jako lider Rankingu „Rzeczpospolitej” 2026 w kategoriach: private equity, rynki kapitałowe i doradztwo regulacyjne.
