przejdź
przejdź
  2. Serwis Biznesu
  3. Cyberbezpieczeństwo
  4. Jak wygląda zarządzanie ryzykiem w cyberbezpieczeństwie według NIS 2?

Jak wygląda zarządzanie ryzykiem w cyberbezpieczeństwie według NIS 2?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zbliżająca się nowelizacja Ustawy z 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (dalej: ustawa o KSC) wdrażająca w Polsce Dyrektywę Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 roku w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dalej: dyrektywa NIS 2), nakłada na podmioty obowiązek zastosowania określonych rozwiązań, wśród których kluczową rolę odgrywają przepisy dotyczące zarządzania ryzykiem. Zmiany te znacząco podnoszą wymagania wobec organizacji, definiując na nowo standardy odpowiedzialności i oczekiwanego poziomu dojrzałości w obszarze cyberbezpieczeństwa. Jak wygląda zarządzanie ryzykiem w cyberbezpieczeństwie według NIS 2?

Wprowadzenie dyrektywy NIS 2 stanowi punkt zwrotny w podejściu Unii Europejskiej do kwestii cyberbezpieczeństwa. Akt ten, będący ewolucją regulacji z 2016 roku, nie jest jedynie aktualizacją obowiązujących przepisów, lecz fundamentalną zmianą paradygmatu zarządzania ryzykiem operacyjnym i technologicznym.

Obowiązki w obszarze zarządzania ryzykiem zostały określone w art. 21 dyrektywy NIS 2, który zobowiązuje podmioty do wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych oraz organizacyjnych służących właściwemu zarządzaniu ryzykiem dla bezpieczeństwa sieci i systemów informatycznych. 

Ustawodawca unijny podkreśla zasadę proporcjonalności, wskazując, że zastosowane rozwiązania muszą odpowiadać poziomowi narażenia podmiotu na ryzyko, jego skali działania oraz prawdopodobieństwu wystąpienia incydentów i ich potencjalnym skutkom, w tym w sferze społecznej i gospodarczej.

Podstawą tego podejścia jest analiza oparta na ryzyku. Organizacja musi przeprowadzić analizę zagrożeń, zidentyfikować swoje kluczowe zasoby (aktywa) i dobrać zabezpieczenia, które w sposób efektywny mitygują zidentyfikowane ryzyka do poziomu akceptowalnego.

Minimalny katalog środków

Artykuł 21 ust. 2 dyrektywy NIS 2 precyzuje minimalny katalog środków, które muszą zostać uwzględnione w systemie zarządzania ryzykiem w cyberbezpieczeństwie. Bazują one na podejściu mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Jak czytamy w artykule 21 ust. 2 tego aktu prawnego, zalicza się do nich: 

  1. politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
  2. obsługę incydentu;
  3. ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  4. bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  5. bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  7. podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  8. polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  9. bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  10. w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Osobista odpowiedzialność zarządu

Nowelizacja ustawy o KSC implementująca dyrektywę NIS 2 wzmacnia również bezpośrednią odpowiedzialność członków zarządu za niewypełnienie obowiązków w zakresie cyberbezpieczeństwa. Organy zarządzające muszą zatwierdzać środki zarządzania ryzykiem oraz nadzorować ich wdrażanie. W przypadku stwierdzenia naruszeń organ nadzorczy może nałożyć karę pieniężną na osobę pełniącą funkcję kierowniczą.

Aby uniknąć odpowiedzialności, członkowie organów zarządzających muszą mieć odpowiednią wiedzę. Dyrektywa NIS 2 nakłada na nich obowiązek regularnego uczestnictwa w szkoleniach, które mają zapewnić umiejętności niezbędne do identyfikacji ryzyk oraz oceny praktyk zarządzania cyberbezpieczeństwem.

W praktyce oznacza to konieczność:

  • wdrożenia sformalizowanych programów szkoleniowych dla zarządu i rady nadzorczej,
  • dokumentowania udziału w szkoleniach jako dowodu zachowania należytej staranności,
  • regularnego uwzględniania tematów związanych z cyberbezpieczeństwem w agendach posiedzeń zarządu,
  • przekształcenia sposobu raportowania przez CISO – z języka technicznego na język ryzyka biznesowego, zrozumiały dla zarządu.

Zarządzanie ryzykiem w cyberbezpieczeństwie - od czego zacząć?

Proces zarządzania ryzykiem rozpoczyna się od precyzyjnego określenia kontekstu funkcjonowania organizacji. Na tym etapie należy zidentyfikować:

  • kluczowe procesy biznesowe i usługi, w szczególności te, które kwalifikują podmiot jako kluczowy lub ważny,
  • obowiązujące wymagania prawne i regulacyjne (oprócz NIS 2 również RODO oraz regulacje sektorowe),
  • interesariuszy – klientów, dostawców, partnerów biznesowych oraz właściwe organy państwowe.

Kolejnym krokiem jest przeprowadzenie szczegółowej inwentaryzacji aktywów. Zgodnie z art. 21 dyrektywy zarządzanie aktywami stanowi element obowiązkowy systemu bezpieczeństwa. Inwentaryzacja powinna obejmować:

  • sprzęt (hardware) i oprogramowanie (software), wraz z wersjami systemów i poziomem wdrożonych poprawek,
  • informacje i dane, sklasyfikowane według poziomu wrażliwości,
  • personel kluczowy – traktowany zarówno jako zasób, jak i potencjalny wektor ryzyka,
  • usługi zewnętrzne oraz dostawców, w tym elementy łańcucha dostaw (supply chain).

Bez pełnej wiedzy o posiadanych zasobach każda analiza ryzyka będzie obciążona błędem fundamentalnym – nie sposób skutecznie chronić tego, czego nie zidentyfikowano.

Identyfikacja i analiza ryzyka

Kolejnym etapem jest identyfikacja zagrożeń i podatności, w której należy uwzględnić:

  • zagrożenia celowe – malware, ransomware, ataki DDoS, inżynierię społeczną, szpiegostwo przemysłowe, sabotaż wewnętrzny,
  • zagrożenia przypadkowe – błędy konfiguracji, pomyłki użytkowników, awarie sprzętu, błędy oprogramowania,
  • zagrożenia środowiskowe – pożary, powodzie, przerwy w dostawie energii, awarie systemów klimatyzacji.

Dla każdego scenariusza należy oszacować:

  • prawdopodobieństwo wystąpienia, oparte na danych historycznych, statystykach branżowych oraz informacjach z obszaru Threat Intelligence,
  • skutek (impact) – wpływ na poufność, integralność i dostępność usług. 

Analiza ryzyka powinna mieć charakter ciągły i podlegać aktualizacji w przypadku zmian w infrastrukturze, pojawienia się nowych zagrożeń lub modyfikacji wymogów regulacyjnych.

Ewaluacja i postępowanie z ryzykiem (Risk Treatment)

Po oszacowaniu poziomu ryzyka organizacja musi określić sposób dalszego postępowania. Dostępne strategie obejmują:

  • mitygację – wdrożenie zabezpieczeń technicznych (np. szyfrowanie, firewall) oraz organizacyjnych (procedury, szkolenia), obniżających ryzyko do poziomu akceptowalnego,
  • unikanie – rezygnację z procesu, technologii lub aktywa obarczonego nadmiernym ryzykiem,
  • transfer – przeniesienie części ryzyka na podmiot trzeci, np. poprzez ubezpieczenie lub outsourcing (przy czym odpowiedzialność prawna nadal spoczywa na organizacji),
  • akceptację – świadomą decyzję kierownictwa o uznaniu ryzyka za dopuszczalne.

Decyzje o akceptacji istotnych ryzyk powinny być formalnie zatwierdzone na poziomie kierownictwa (np. zarządu), aby wykazać sprawowanie należytego nadzoru nad środkami zarządzania ryzykiem. Kluczowym dokumentem potwierdzającym, że organizacja prowadzi działania w sposób metodyczny i uporządkowany jest plan postępowania z ryzykiem, w którym zdefiniowano harmonogram wdrożenia zabezpieczeń oraz osoby odpowiedzialne. 

Ciągłość działania i zarządzanie kryzysowe

Kluczowym celem zarządzania ryzykiem jest utrzymanie ciągłości działania oraz szybki powrót do normalnych operacji. Dyrektywa NIS 2 oraz rozporządzenie wykonawcze 2024/2690 przesuwają akcent z prewencji na odporność (resilience) – zakładają, że incydenty będą występować, a miarą dojrzałości organizacji jest zdolność do ich skutecznego opanowania.

Jednym z kluczowych elementów zapewnienia ciągłości działania, wymaganym przez dyrektywę NIS 2 i doprecyzowanym w rozporządzeniu wykonawczym 2024/2690, jest opracowanie oraz utrzymywanie planu ciągłości działania (BCP) i planu przywrócenia normalnego funkcjonowania po incydencie (DRP). Razem tworzą one spójny model działania, który określa, w jaki sposób organizacja utrzyma lub możliwie szybko odtworzy kluczowe procesy w sytuacji poważnego zakłócenia. Obejmuje on zarówno procedury operacyjne i organizacyjne, jak i zasoby techniczne niezbędne do funkcjonowania w warunkach kryzysowych.

Szerzej na temat BCP oraz DRP piszemy w publikacji pt. „Ciągłość działania jako obowiązek w NIS 2. Jak przygotować BCP i DRP?”

Kryptografia i szyfrowanie

NIS 2 wymaga stosowania polityk kryptograficznych jako jednego z podstawowych środków ograniczania ryzyka. Minimalny zakres polityki powinien obejmować:

  • Szyfrowanie danych w spoczynku (Data at Rest) – dobierane na podstawie klasyfikacji aktywów, w tym pełne szyfrowanie dysków w urządzeniach przenośnych oraz szyfrowanie baz danych i kopii zapasowych.
  • Szyfrowanie danych w transmisji (Data in Transit) – stosowanie odpowiednich protokołów w komunikatorach wewnętrznych oraz wyłączenie przestarzałych algorytmów.
  • Zarządzanie kluczami (Key Management) – bezpieczne generowanie, przechowywanie, rotacja i niszczenie kluczy; utrata klucza jest równoznaczna z utratą dostępu do danych.

Przepisy nie wskazują konkretnych technologii i nie nakazują pełnego szyfrowania wszystkich urządzeń. Wymagany jest poziom ochrony adekwatny do wyników analizy ryzyka.

Podsumowanie 

Dyrektywa NIS 2 i nowelizacja ustawy o KSC podnoszą poprzeczkę w cyberbezpieczeństwie, czyniąc zarządzanie ryzykiem obowiązkiem systemowym, a nie działaniem doraźnym. Organizacje muszą oprzeć ochronę na analizie ryzyka: zidentyfikować procesy krytyczne i aktywa, ocenić zagrożenia oraz wdrożyć proporcjonalne środki z minimalnego katalogu – od obsługi incydentów i ciągłości działania przez bezpieczeństwo łańcucha dostaw i zarządzanie podatnościami po szkolenia, kontrolę dostępu i kryptografię. Kluczowe jest formalne podejmowanie decyzji o postępowaniu z ryzykiem i ich dokumentowanie, w tym poprzez plan wdrożenia zabezpieczeń. Jednocześnie regulacje wzmacniają odpowiedzialność zarządu za nadzór i kompetencje, a nacisk przesuwa się z samej prewencji na odporność, czyli zdolność utrzymania działania i szybkiego odtworzenia usług po incydencie.

Źródła:

  1. Dyrektywa (UE) 2022/2555 Parlamentu Europejskiego i Rady z dnia 14 grudnia 2022 r. (NIS 2), https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32022L2555&from=PL
  2. Rozporządzenie wykonawcze Komisji (UE) 2024/2690 z dnia 17 października 2024 r. https://sip.lex.pl/akty-prawne/dzienniki-UE/rozporzadzenie-wykonawcze-2024-2690-ustanawiajace-zasady-stosowania-72389213 
  3. Trecom, Analiza ryzyka w kontekście NIS 2, https://nis-2.org.pl/wp-content/uploads/2024/06/Analiza-ryzyka.pdf

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Mechanizmy bezpiecznego uwierzytelniania i komunik...
Luty 2026
26
Czwartek
  • PIT 4R
  • PIT 8AR
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. System Zarządzania Bezpieczeństwem Informacji (SZBI) w praktyce
  2. Monitoring wizyjny: RODO, cyberbezpieczeństwo i ochrona danych
  3. Anonimizacja danych – jak poprawnie zabezpieczyć dokumenty firmowe?
  4. Ciągłość działania NIS 2. Jak przygotować plany BCP i DRP?
  5. Zgłaszanie incydentów bezpieczeństwa – jak to zrobić?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Cyberbezpieczeństwo

Mechanizmy bezpiecznego uwierzytelniania i komunikacji - dyrektywa…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości”
Nowa konferencja HR w Polsce - inspiracje, networking i praktyka w centrum Łodzi!
V Jubileuszowa Konferencja „Strategie HR” – Zostań Architektem Biznesu Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów