przejdź
przejdź
  2. Serwis Prawny
  3. Prawo gospodarcze
  4. NIS 2: Jakie środki zarządzania ryzykiem w cyberbezpieczeństwie wdrożyć?

NIS 2: Jakie środki zarządzania ryzykiem w cyberbezpieczeństwie wdrożyć?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Dyrektywa NIS 2 podnosi standardy bezpieczeństwa w UE, nakładając na podmioty kluczowe i ważne obowiązek wdrożenia adekwatnych rozwiązań. Kluczowe stają się odpowiednie środki zarządzania ryzykiem w cyberbezpieczeństwie, które muszą uwzględniać zarówno aspekty techniczne, jak i organizacyjne. Zapewnienie ochrony adekwatnej do zagrożeń i charakteru działalności jest teraz priorytetem, a w artykule szczegółowo omawiamy, jakie konkretne działania należy podjąć.

Zarządzanie ryzykiem

Organy zarządzające podmiotów kluczowych i ważnych muszą zatwierdzać środki zarządzania ryzykiem w cyberbezpieczeństwie, przyjmowane w celu zapewnienia zgodności z dyrektywą NIS 2, oraz nadzorować ich wdrażanie. Organy te mogą zostać pociągnięte do odpowiedzialności za naruszenie przez podmioty powyższych wymogów.

Członkowie organu zarządzającego podmiotów kluczowych i ważnych muszą regularnie się szkolić, aby zdobyć wiedzę i umiejętności niezbędne do rozpoznawania ryzyka, oceny praktyk zarządzania nim w cyberbezpieczeństwie oraz ich wpływu na świadczone usługi. Powinni oni również zachęcać te podmioty do oferowania podobnych szkoleń pracownikom.

Środki zarządzania ryzykiem w cyberbezpieczeństwie

Podmioty kluczowe i ważne mają obowiązek wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych w prowadzonej przez nie działalności lub świadczonych usługach. Środki te mają też służyć zapobieganiu wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Przy uwzględnieniu aktualnej wiedzy, kosztów wdrożenia oraz norm europejskich i międzynarodowych, środki te zapewniają poziom bezpieczeństwa sieci i systemów informatycznych adekwatny do istniejącego ryzyka.

Oceniając proporcjonalność tych środków, należycie uwzględnia się stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.

Przykład 1.

Operator regionalnej sieci energetycznej, jako podmiot kluczowy, wdraża zestaw środków technicznych i organizacyjnych obejmujących m.in. segmentację sieci, systemy wykrywania intruzów, procedury zarządzania podatnościami oraz regularne szkolenia personelu, aby ograniczyć ryzyko zakłóceń w dostawach energii. Przy projektowaniu tych rozwiązań uwzględnia aktualne normy europejskie dotyczące bezpieczeństwa infrastruktury krytycznej oraz analizuje koszty wdrożenia w relacji do poziomu zagrożeń. Ocena proporcjonalności środków obejmuje m.in. analizę potencjalnych skutków społecznych przerwy w dostawie energii oraz prawdopodobieństwo wystąpienia incydentów wynikających z rosnącej liczby cyberataków na sektor energetyczny. W rezultacie operator dostosowuje poziom zabezpieczeń do skali ryzyka, zapewniając ciągłość usług i minimalizując wpływ ewentualnych incydentów na odbiorców.

Środki bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej następujące elementy:

  • politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • obsługę incydentu;
  • ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
  • bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
  • polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
  • polityki i procedury stosowania kryptografii i – w stosownych przypadkach – szyfrowania;
  • bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
  • w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Analizując, które ze środków są odpowiednie, podmioty uwzględniają podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.

Podmioty te muszą również wziąć pod uwagę wyniki skoordynowanych oszacowań ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw.

Podmiot, który stwierdzi, że nie spełnia środków określonych wyżej, powinien jak najszybciej wprowadzić wszelkie istotne, odpowiednie i proporcjonalne środki naprawcze.

Ramy zarządzania ryzykiem

Aby wykryć zagrożenia dla bezpieczeństwa sieci i systemów informatycznych oraz im przeciwdziałać, podmioty objęte wymogami NIS 2 powinny ustanowić i utrzymywać odpowiednie ramy zarządzania ryzykiem. 

W związku z powyższym powinny ustanowić, wdrożyć i monitorować plan postępowania z ryzykiem, który może służyć do określenia i uszeregowania pod względem ważności możliwości i odpowiednich środków. 

Możliwości postępowania z ryzykiem obejmują w szczególności unikanie, ograniczanie lub – w wyjątkowych przypadkach – jego akceptację. Wybór możliwości postępowania z ryzykiem powinien uwzględniać wyniki oceny ryzyka przeprowadzonej przez odpowiedni podmiot i być zgodny z polityką odpowiedniego podmiotu w zakresie bezpieczeństwa sieci i systemów informatycznych. 

Aby nadać skuteczność wybranym możliwościom postępowania z ryzykiem, podmioty powinny zastosować odpowiednie środki.

Testy bezpieczeństwa

Podmioty objęte wymogami NIS 2 powinny regularnie przeprowadzać testy bezpieczeństwa na podstawie specjalnej polityki i procedur, aby sprawdzić, czy środki zarządzania ryzykiem w cyberbezpieczeństwie zostały wdrożone i funkcjonują prawidłowo.

Testy bezpieczeństwa mogą być przeprowadzane na określonych sieciach i systemach informatycznych lub na odpowiednim podmiocie jako całości i mogą obejmować testy automatyczne lub ręczne, testy penetracyjne, skanowanie podatności na zagrożenia, statyczne i dynamiczne testy bezpieczeństwa aplikacji, testy konfiguracji lub audyty bezpieczeństwa.

Podmioty objęte wymogami NIS 2 mogą przeprowadzać testy bezpieczeństwa swoich sieci i systemów informatycznych przy tworzeniu, po konserwacji, modernizacji lub modyfikacji infrastruktury lub aplikacji, które uznają za istotne. 

Wyniki testów bezpieczeństwa powinny stanowić podstawę polityki i procedur odpowiednich podmiotów w celu oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie, a także niezależnych przeglądów ich polityki bezpieczeństwa sieci i informacji.

Procedury zarządzania poprawkami

Aby uniknąć poważnych zakłóceń i szkód spowodowanych wykorzystywaniem niezałatanych luk w zabezpieczeniach sieci i systemów informatycznych, podmioty objęte wymogami NIS 2 powinny określić i wdrożyć odpowiednie procedury zarządzania poprawkami zabezpieczeń, które pasują do stosowanych przez odpowiednie podmioty procedur zarządzania zmianą, podatnościami czy też ryzykiem oraz innych stosownych procedur.

Odpowiednie podmioty powinny zastosować środki proporcjonalne do swoich zasobów, aby zapewnić, że poprawki zabezpieczeń nie będą wprowadzać dodatkowych podatności lub niestabilności.

W przypadku planowanej niedostępności usługi spowodowanej zastosowaniem poprawek zabezpieczeń zachęca się odpowiednie podmioty do należytego informowania klientów z wyprzedzeniem.

Normalizacja

Aby wspierać spójne wdrażanie wymogów bezpieczeństwa, państwa członkowskie, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, zachęcają do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych z punktu widzenia bezpieczeństwa sieci i systemów informatycznych.

Polecamy:

Koszt całkowity zatrudnienia pracownika w 2026 roku - musisz to wiedzieć!

Udogodnienia w internecie dla niepełnosprawnych – ...
Marzec 2026
06
Piątek
  • PIT 11
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Wykreślenie hipoteki z księgi wieczystej - jak to zrobić?
  2. Dodatek mieszkaniowy 2026 - komu przysługuje i jak go dostać?
  3. Pełnomocnictwo do rejestracji samochodu – wzór z omówieniem
  4. Chorobowe przedsiębiorcy a wynagrodzenie za czas niezdolności do pracy w 2026
  5. Urlop dla poratowania zdrowia - kto i kiedy może z niego skorzystać?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prawo gospodarcze

Udogodnienia w internecie dla niepełnosprawnych – obowiązek dla…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

III Forum Efektywność w Produkcji: Ludzie i Procesy
AI HR Forum 2026 – HR jako lider zmiany. W centrum człowiek, w tle technologia!
I Love Marketing & Technology wraca na wiosnę z XXI edycją wydarzenia!
HR WEEK 2026: „HR x AI TEAMING - nowe pytania i scenariusze przyszłości”
Nowa konferencja HR w Polsce - inspiracje, networking i praktyka w centrum Łodzi! Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów