Dyrektywa NIS2 stanowi kluczową regulację Unii Europejskiej, mającą na celu podniesienie poziomu cyberbezpieczeństwa i odporności operacyjnej podmiotów działających w sektorach kluczowych i ważnych.
W porównaniu do pierwszej wersji NIS nowa dyrektywa znacząco wzmacnia obowiązki organizacji, precyzuje oczekiwania dotyczące raportowania incydentów oraz wprowadza osobistą odpowiedzialność członków kierownictwa. Jednocześnie wiele wymagań NIS2 w naturalny sposób wpisuje się w systemy zarządzania zgodne z normami ISO/IEC 27001 (bezpieczeństwo informacji) oraz ISO 22301 (ciągłość działania).
Obie normy stanowią solidną podstawę do spełnienia większości obowiązków regulacyjnych, choć nie zastępują ich całkowicie.
Zarządzanie ryzykiem – wspólny fundament
Warto zwrócić uwagę na kluczowy element wymagań norm ISO i wymagań NIS2 – zarządzanie ryzykiem. Jest to wspólny fundament NIS2, ISO/IEC 27001 i ISO 22301, jednak NIS2 jednoznacznie wskazuje konieczność wdrożenia polityk i procedur analizy ryzyka oraz stosowania proporcjonalnych środków zarządczych i technicznych. Jest to obszar w pełni spójny z wymaganiami ISO/IEC 27001 oraz ISO 22301. Normy zapewniają metodyczną strukturę zarządzania ryzykiem, natomiast NIS2 nadaje im charakter obowiązku regulacyjnego oraz wymusza stosowanie udokumentowanych polityk wraz z mechanizmami oceny ich skuteczności.
Zarządzanie incydentami – ISO daje ramy, NIS2 narzuca konkretne terminy
Kolejnym istotnym elementem, który łączy wymagania norm ISO i NIS2, jest zarządzanie incydentami. W tym przypadku pewna dowolność, jaką posiadają organizacje wdrażające normy ISO w zakresie zgłaszania i obsługi incydentów, w dyrektywie NIS2 zostaje zastąpiona konkretnymi wymogami dotyczącymi czasu reakcji oraz raportowania – w niektórych przypadkach w ciągu 24 lub 72 godzin. To istotna różnica w stosunku do norm, które określają procesy reagowania na incydenty, lecz nie narzucają sztywnych terminów raportowania.
Bezpieczeństwo łańcucha dostaw
Następnym obszarem, w którym wymagania NIS2 są bardziej restrykcyjne, jest bezpieczeństwo łańcucha dostaw. Dyrektywa precyzyjnie określa wymagania dotyczące bezpieczeństwa dostawców, oceny ryzyk w łańcuchu dostaw oraz wymagań bezpieczeństwa wobec partnerów ICT. ISO/IEC 27001 obejmuje ten obszar w sposób ogólny, natomiast NIS2 znacząco go uszczegóławia i czyni obowiązkowym.
Często przy implementacji ISO/IEC 27001 ciągłość działania jest traktowana marginalnie. NIS2 kładzie jednak duży nacisk na zarządzanie ciągłością działania, tworzenie kopii zapasowych, odtwarzanie systemów oraz budowanie odporności operacyjnej. W tym zakresie pomocna jest norma ISO 22301, która opisuje szczegółowy system zapewniania ciągłości działania i pozwala łatwo spełnić większość wymagań dyrektywy. W praktyce niewiele organizacji w pełni rozumie zagadnienia związane z ciągłością działania, a norma ISO 22301 należy do najbardziej wymagających pod względem wdrożenia.
Dokumentacja i polityki zgodne z ISO i NIS2
Warto zwrócić uwagę, że istotnym elementem różniącym normy ISO od NIS2 jest rozbudowany katalog polityk, procedur i dokumentacji dowodowej, które organizacja musi posiadać, aktualizować i być w stanie przedstawić organom nadzorczym. Dyrektywa wprowadza nie tylko wymogi merytoryczne, ale również obowiązek większej formalizacji, a więc jednoznacznego nazwania, zatwierdzenia i udokumentowania wszystkich kluczowych polityk cyberbezpieczeństwa.
Normy ISO od lat promują konieczność utrzymywania dokumentacji systemu zarządzania, jednak ich podejście jest ogólne, elastyczne i w dużej mierze opiera się na interpretacji wymagań, które są na tyle ogólne, że trudno jednoznacznie wykazać ich niespełnienie.
Normy wymagają więc obecności polityk, natomiast NIS2 wymaga konkretnych polityk oraz bardzo szczegółowego systemu gromadzenia dowodów ich stosowania.
Największe różnice między wymaganiami ISO a NIS2 dotyczą szczegółowości i zakresu wymaganych dokumentów, a także obowiązku posiadania dowodów działania (tzw. dowodów operacyjnych). ISO dopuszcza dużą elastyczność w doborze zapisów – NIS2 wymaga ich obligatoryjnie, w formie umożliwiającej organom nadzorczym pełną weryfikację zgodności.
Chociaż normy ISO wymagają zaangażowania najwyższego kierownictwa w budowanie i rozwój systemów zarządzania, definiowania polityki oraz określania ról i odpowiedzialności, dyrektywa NIS2 jako obowiązujący w UE akt prawny w obszarze cyberbezpieczeństwa wprowadza twardy, jednoznaczny i bezpośredni obowiązek zaangażowania kierownictwa oraz osobistą odpowiedzialność członków najwyższych władz organizacji za naruszenia lub zaniedbania w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa.
Jest to zmiana systemowa, która odróżnia NIS2 od jakichkolwiek międzynarodowych standardów, w tym ISO/IEC 27001 i ISO 22301. Zgodność z normami ISO/IEC 27001 oraz ISO 22301 stanowi jednak solidny fundament pod spełnienie większości wymagań dyrektywy NIS2 — najnowszej i najbardziej kompleksowej regulacji UE w zakresie cyberbezpieczeństwa.
ISO jako fundament dla NIS2
Na bazie doświadczeń audytorów badających zgodność organizacji, które wdrożyły systemy zarządzania ISO 22301 i ISO/IEC 27001, a także przeprowadzających audyty w zakresie zgodności z wymaganiami NIS2, wynika, że ISO/IEC 27001 pokrywa ok. 70-80% wymagań NIS2 związanych z zarządzaniem ryzykiem i bezpieczeństwem informacji, a w połączeniu z ISO 22301 (ciągłość działania) całkowite pokrycie może sięgać nawet 80-90%. Oznacza to, że organizacje posiadające dojrzałe systemy zarządzania zgodne z tymi normami znajdują się w uprzywilejowanej pozycji i mogą czuć się znacznie bezpieczniej niż podmioty, które norm ISO nie wdrożyły i opierają się głównie na ogólnych doświadczeniach w zakresie cyberbezpieczeństwa, bezpieczeństwa informacji oraz ciągłości działania.
NIS2 a UKSC
Nowelizacja Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) wdraża unijną dyrektywę NIS2 oraz znacząco rozszerza zakres podmiotów objętych obowiązkami, wprowadzając podział na podmioty kluczowe i ważne. Nowe przepisy wzmacniają kompetencje organów odpowiedzialnych za cyberbezpieczeństwo oraz rozszerzają katalog sektorów, które muszą spełniać zaostrzone wymagania. Nowelizacja została opublikowana w Dzienniku Ustaw 02.03.2026.
Współpraca z SGS
Jeżeli chcą Państwo sprawdzić aktualny poziom zgodności swojej organizacji z wymaganiami NIS2, przeprowadzić audyt Krajowego Systemu Cyberbezpieczeństwa (KSC) lub skorzystać z usług pre-audytów, certyfikacji i szkoleń, zachęcamy do kontaktu z SGS Polska pod adresem mailowym: pl.certyfikacja@sgs.com. Nasi eksperci chętnie doradzą i pomogą przygotować organizację do spełnienia obowiązujących wymagań.
Cezary Zagórski
O SGS
SGS jest światowym liderem w dziedzinie badań, inspekcji i certyfikacji. Działamy w sieci ponad 2500 laboratoriów i biur w 115 krajach, wspieranych przez zespół 99 500 oddanych swojej pracy profesjonalistów. Posiadamy ponad 145 lat doświadczenia w dostarczaniu doskonałych usług – łączymy dokładność i precyzję, które charakteryzują szwajcarskie firmy, by pomagać organizacjom w osiąganiu najwyższych standardów jakości, zgodności i zrównoważonego rozwoju.
Nasze hasło – when you need to be sure – to obietnica podkreślająca nasze przywiązanie do zaufania, rzetelności i niezawodności, które umożliwiają firmom rozwijanie się z pewnością siebie. Z dumą dostarczamy nasze eksperckie usługi jako SGS, wspomagani przez inne nasze zaufane i ściśle wyspecjalizowane marki, takie jak Brightsight, Bluesign, Maine Pointe oraz Nutrasource.
SGS jest firmą notowaną na Szwajcarskiej Giełdzie Papierów Wartościowych oznaczoną symbolem SGSN (ISIN CH1256740924, Reuters SGSN.S, Bloomberg SGSN:SW).