norppa.io
Przewodniki

Przewodnik NIS2 · 7 min

ISO 27001 a NIS2: co Twój SZBI już obejmuje — i luki, których nie

Jeśli masz już ISO/IEC 27001, nie zaczynasz NIS2 od zera — wręcz przeciwnie. Działający SZBI obejmuje większość podstawy z artykułu 21. Ale certyfikacja to nie zgodność: NIS2 dodaje ustawowe obowiązki, których sam SZBI nie spełnia. Ten przewodnik mapuje, co się przenosi, gdzie są prawdziwe luki i jak je zamknąć bez przebudowy tego, co już masz.

Najważniejsze punkty

  • ISO 27001 obejmuje większość środków z art. 21 NIS2 — zarządzanie ryzykiem, kontrolę dostępu, kryptografię, ciągłość, kontrole dostawców — więc to mocny start.
  • Ale certyfikacja to nie zgodność: NIS2 dodaje ustawowe terminy zgłaszania, odpowiedzialność kierownictwa, rejestrację i ciągłe zapewnienie łańcucha dostaw.
  • Największe luki to zwykle obowiązek zgłoszenia w 24/72 godziny i ciągły monitoring stron trzecich, a nie podstawowe kontrole.
  • Zamknij luki na bazie SZBI — nie przebudowuj; zmapuj kontrole z Załącznika A na listę z art. 21 i dodaj to, czego brakuje.

Co Twój SZBI już obejmuje

Podstawa z artykułu 21 NIS2 i ISO/IEC 27001 (z kontrolami z Załącznika A) w dużej mierze się pokrywają. Jeśli Twój SZBI naprawdę działa — nie jest tylko certyfikowany — duża część technicznej i organizacyjnej treści dyrektywy jest już wdrożona:

  • Zarządzanie ryzykiem — proces oceny i postępowania z ryzykiem w Twoim SZBI mapuje się wprost na art. 21(2)(a).
  • Kontrola dostępu i kryptografia — kontrole dostępu i kryptografii z Załącznika A odpowiadają art. 21(2)(i) i (h).
  • Zarządzanie incydentami — Twój proces incydentów obejmuje stronę obsługi z art. 21(2)(b) (po stronie zgłaszania NIS2 dodaje więcej).
  • Ciągłość działania — kontrole kopii zapasowych, odtwarzania i ciągłości mapują się na art. 21(2)(c).
  • Relacje z dostawcami — kontrole dostawców z Załącznika A to fundament, na którym opiera się art. 21(2)(d).

Gdzie NIS2 wykracza poza Twój SZBI

Certyfikacja dowodzi, że istnieje zarządzany system dla określonego zakresu. NIS2 to obowiązek prawny dla całego objętego podmiotu i dodaje obowiązki, których sam certyfikat ISO nie wypełnia:

Ustawowe zgłaszanie incydentów — ISO 27001 wymaga zarządzania incydentami; NIS2 wymaga zgłaszania istotnych organowi krajowemu z zegarem 24 h / 72 h / jednego miesiąca (art. 23). Żaden termin SZBI temu nie odpowiada.

Odpowiedzialność i szkolenie kierownictwa — NIS2 zobowiązuje organ zarządzający do zatwierdzania i nadzoru środków, odbycia szkoleń i osobistej odpowiedzialności (art. 20). ISO prosi o zaangażowanie kierownictwa, nie o odpowiedzialność prawną.

Ciągłe zapewnienie łańcucha dostaw — kontrole dostawców z Załącznika A są w dużej mierze jednorazowe. Art. 21(2)(d) NIS2, czytany z kryterium "odpowiednich środków", popycha ku ciągłemu monitorowaniu ryzyka dostawców.

Rejestracja i zakres — wiele podmiotów musi się zarejestrować u krajowego organu, a NIS2 obejmuje całą objętą organizację niezależnie od wybranego zakresu SZBI.

Rzeczywistość egzekwowania — niezgodność ISO to sprawa między Tobą a jednostką certyfikującą; naruszenie NIS2 może oznaczać wiążące nakazy i kary do 10 mln € lub 2% obrotu (art. 34).

Zamykanie luki bez przebudowy

Efektywna droga traktuje NIS2 jako dodatek na działającym SZBI, a nie program równoległy:

  • Zmapuj kontrole z Załącznika A na listę art. 21(2)(a)–(j) — większość pól będzie już wypełniona.
  • Uruchom przepływ zgłoszeń: kto decyduje o "istotności", kto kontaktuje się z CSIRT, oraz playbook 24/72 godzin.
  • Wprowadź ład NIS2 na poziom zarządu: zatwierdzanie środków, raportowanie nadzorcze i szkolenie kierownictwa (art. 20).
  • Podnieś zapewnienie dostawców z corocznej ankiety do ciągłego monitoringu dla krytycznych dostawców.
  • Potwierdź rejestrację u krajowego organu i że zakres SZBI obejmuje objęte usługi.

Źródło: Dyrektywa (UE) 2022/2555 (NIS2), artykuły 20, 21 i 23 — mapowanie ISO/IEC 27001 ma charakter orientacyjny; potwierdź wiążące wymagania w krajowej ustawie wdrażającej.

Jak pomaga norppa.io

Dwie luki, które SZBI pozostawia najszersze, to dokładnie te, dla których zbudowano norppa.io: ciągłe zapewnienie dostawców i dowody gotowe do zgłoszenia. Każdy monitorowany dostawca jest sprawdzany codziennie w ponad 100 punktach kontrolnych, z ustaleniami przypisanymi do tych samych podpunktów art. 21, którymi już mówi Twój SZBI — dzięki czemu kontrola łańcucha dostaw staje się ciągła, a nie coroczna.

A ponieważ wszystko ma znacznik czasu i jest eksportowalne, dowody wspierające zgłoszenie z art. 23 lub kontrolę nadzorczą leżą obok dokumentacji SZBI, a nie w osobnym silosie. norppa.io uzupełnia ISO 27001; nie powiela go.

Zamknij lukę w łańcuchu dostaw, którą pozostawia Twój SZBI

Zobacz ciągły, zmapowany do NIS2 monitoring dostawców w przykładowym raporcie — dwie minuty.

Zobacz przykładowy raport

Powiązane przewodniki

NIS2 i wymóg łańcucha dostaw — co oznacza w praktyce

NIS2 zobowiązuje podmioty kluczowe i ważne do oceny cyberryzyk w łańcuchu dostaw. Poziomy dostawców, ryzyko czwartej strony, obowiązek zgłoszenia z Art. 23 i na co zwracają uwagę audytorzy.

NIS2 Art. 21(2) — lista kontrolna bezpieczeństwa dla dostawców

Lista kontrolna dla zespołów zakupowych i bezpieczeństwa: co pytać, jakie dowody zbierać i jak reagować, gdy dostawca nie spełnia wymagań. Zawiera propozycje dokumentów potwierdzających.

Ocena cyberzagrożeń dostawcy: co sprawdza automatyczny monitoring NIS2

Wszystkie kategorie kontroli wyjaśnione: ransomware, wycieki dark web, TLS/DNSSEC, bezpieczeństwo cookies, CVE/EPSS, sankcje, czarne listy MX i SAQ. Cykl życia wyników i mapowanie artykułów NIS2.

Kogo dotyczy NIS2? Podmioty kluczowe i ważne, sektory i progi wielkości

Ustal, czy NIS2 dotyczy Ciebie: dwie kategorie, sektory z załączników I/II, progi wielkości, wyjątki niezależne od wielkości i jak łańcuch dostaw wciąga Cię nawet bez wyznaczenia.

Kwestionariusz dostawcy NIS2 (SAQ): o co pytać, jak punktować i darmowy szablon

O co pytać dostawców zgodnie z art. 21 ust. 2 lit. d), jak punktować odpowiedzi i reagować na luki, dlaczego samoocena wymaga weryfikacji, oraz darmowy szablon.

NIS2 a DORA: czym się różnią, gdzie się pokrywają i który dotyczy Ciebie

Czym różnią się i pokrywają dwa reżimy UE, dlaczego DORA to lex specialis dla podmiotów finansowych, który dotyczy Ciebie, i co oba oznaczają dla ryzyka stron trzecich.

NIS2 a odpowiedzialność kierownictwa: co muszą wiedzieć zarząd i kadra zarządzająca

Czego NIS2 oczekuje od organu zarządzającego: obowiązki zatwierdzania i nadzoru, osobista odpowiedzialność (art. 20), szkolenia, wskaźniki raportowania do zarządu i kary z art. 34.

Zgłaszanie incydentów NIS2: terminy 24 i 72 godzin wyjaśnione

Czym jest istotny incydent, harmonogram z artykułu 23 (wczesne ostrzeżenie 24 h, zgłoszenie 72 h, raport końcowy w miesiąc) i kiedy incydent dostawcy staje się Twoim obowiązkiem.