Przejdź do treści
dyrektywaNIS2

Blog

NIS2 vs ISO 27001 — czy certyfikat wystarczy do zgodności

„Mamy ISO 27001 z 2019 r., więc NIS2 nie powinno być problemem” — to drugie zdanie, które najczęściej pada w pierwszej rozmowie z zarządem mierzącym się z wymogami NIS2. Krótka odpowiedź: certyfikat pokrywa około 70–80% wymagań Art. 21, ale brakujące 20–30% dotyka obszarów najbardziej karanych przez organ właściwy. Niżej macierz luk i ścieżka uzupełnienia.

Aktualizacja: 8 min czytania

Autor:Dariusz ZającLead vCISO, Cyber Alterity

Dwa różne reżimy — dwa różne cele

ISO 27001 to norma dobrowolna opisująca System Zarządzania Bezpieczeństwem Informacji (SZBI). Certyfikat wydawany przez akredytowaną jednostkę certyfikującą potwierdza, że firma wdrożyła SZBI zgodnie z normą i utrzymuje go w cyklu audytów nadzoru.

NIS2 (Dyrektywa (UE) 2022/2555) — i jej polska transpozycja przez nowelizację KSC — to akt prawny powszechnie obowiązujący dla 18 sektorów Załączników I i II. Nie wymaga certyfikatu; wymaga wdrożenia konkretnych obowiązków, raportowania incydentów i poddania się nadzorowi organu właściwego. Pełen kontekst — Czym jest dyrektywa NIS2.

Różnica fundamentalna: ISO 27001 mówi jak zarządzać bezpieczeństwem informacji w sposób systematyczny. NIS2 mówi co ma zostać wdrożone i komu firma odpowiada za to wdrożenie. Te dwa pytania się przecinają, ale nie są tożsame.

Macierz pokrycia — Art. 21 NIS2 vs ISO 27001:2022

Art. 21 NIS2 nakłada dziesięć minimalnych środków technicznych i organizacyjnych. Pełna analiza i mapowanie na ISO 27001 Annex A w pillarze Obowiązki techniczne NIS2. W skrócie pokrycie wygląda następująco:

  • Środek 1 (analiza ryzyka i polityki SZBI) — pokryty w 100% przez ISO 27001 (klauzule 6.1 i 5.2).
  • Środek 2 (obsługa incydentów) — pokryty w ~80% (ISO Annex A 5.24–5.27). Brakuje terminologii NIS2 (incydent istotny) i terminów kaskady 24h/72h/1 miesiąc.
  • Środek 3 (ciągłość działania i zarządzanie kryzysowe) — pokryty w ~85% (ISO Annex A 5.29–5.30). Brakuje wymogu okresowych testów w ujęciu wymaganym przez Art. 21(2)(c).
  • Środek 4 (bezpieczeństwo łańcucha dostaw) — pokryty w ~50% (ISO Annex A 5.19–5.23). NIS2 wymaga znacząco więcej: klauzule kontraktowe, scoring, periodyczna ocena relacji. Szczegółowo w artykule Łańcuch dostaw w NIS2 — Art. 21(2)(d).
  • Środek 5 (bezpieczeństwo nabytych, rozwijanych i utrzymywanych sieci i systemów informacyjnych) — pokryty w ~90% (ISO Annex A 8.25–8.34, secure development).
  • Środek 6 (ocena skuteczności środków) — pokryty w 100% (ISO klauzule 9.1–9.2, monitorowanie i audyty wewnętrzne).
  • Środek 7 (higiena cyberbezpieczeństwa i szkolenia) — pokryty w ~80% (ISO Annex A 6.3 świadomość, 6.5 zarządzanie uwierzytelnianiem). Brakuje wymogu Art. 20 dotyczącego zarządu.
  • Środek 8 (kryptografia i kontrola dostępu) — pokryty w 100% (ISO Annex A 8.5–8.12, 8.24).
  • Środek 9 (bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu, zarządzanie aktywami) — pokryty w 100% (ISO Annex A 5.9–5.18, 6.1–6.6, 8.1–8.4).
  • Środek 10 (uwierzytelnianie wieloskładnikowe, ciągłe uwierzytelnianie, szyfrowane komunikacje) — pokryty w ~85% (ISO Annex A 8.5, 8.24). NIS2 wprowadza wymóg MFA znacząco szerszy — co do zasady dla każdego dostępu zdalnego.

Średnia ważona pokrycia: ~85% środków technicznych Art. 21 jest adresowanych przez SZBI wdrożone zgodnie z ISO 27001:2022. Pozostałe ~15% wymaga uzupełnień — głównie w obszarze łańcucha dostaw, MFA i terminologii incydentów. Pełny wiersz-po-wierszu rozkład 10 środków Art. 21 na konkretne kontrole Annex A z analizą luk rezydualnych.

Gdzie ISO 27001 NIE wystarczy — trzy luki najbardziej karane

Macierz powyżej dotyczy środków technicznych. Poza nią są trzy obszary, w których ISO 27001 nie daje żadnego pokrycia. To one są praktycznie zawsze przedmiotem pierwszych kontroli organu właściwego.

Luka 1 — Art. 20 NIS2 (governance organu zarządzającego)

NIS2 wymaga, by organy zarządzające (zarząd, a w spółkach z radą nadzorczą — także RN) zatwierdziły środki z Art. 21 i nadzorowały ich wdrożenie. Ponadto członkowie tych organów muszą przechodzić regularne szkolenia z cyberbezpieczeństwa. Norma ISO 27001 wymaga zaangażowania „najwyższego kierownictwa” w klauzuli 5, ale nie precyzuje szczegółowości tego zaangażowania ani nie wymaga formalnego szkolenia członków zarządu. Szczegółowo — artykuł Szkolenia zarządu w NIS2 — Art. 20.

Luka 2 — Art. 23 NIS2 (raportowanie do CSIRT)

Art. 23 NIS2 wprowadza precyzyjną kaskadę raportowania istotnych incydentów: wczesne ostrzeżenie w 24 godziny, raport incydentu w 72 godziny, raport końcowy w 1 miesiąc. Adresatem jest właściwy polski CSIRT (NASK, GOV, MON). ISO 27001 (Annex A 5.24–5.26) wymaga obsługi i raportowania incydentów, ale nie zna kaskady czasowej ani adresatów spoza organizacji. Pełna analiza w pillarze Raportowanie incydentów do CSIRT.

Luka 3 — Art. 12a polskiego KSC (regres do 600% wynagrodzenia)

Projektowany Art. 12a polskiego KSC wprowadza osobistą odpowiedzialność członków zarządu za niewdrożenie środków NIS2 — z regresem do 600% miesięcznego wynagrodzenia członka zarządu odpowiedzialnego za zaniechanie. ISO 27001 jest normą, nie aktem prawnym, i nie ma mechanizmu analogicznego. Audytor ISO oceni jakość SZBI; sąd cywilny oceni odpowiedzialność za szkodę. Te dwa procesy są rozłączne. Szczegółowo — Art. 12a KSC i kary za NIS2.

ISO 27001:2022 vs 2013 — czy stary certyfikat wystarczy

Międzynarodowy IAF Mandatory Document 25 określił przejście z ISO 27001:2013 na ISO 27001:2022 — okres przejściowy zakończył się 31 października 2025 r. Po tej dacie certyfikaty 2013 przestały być uznawane. W praktyce: w 2026 r. każda firma chcąca powołać się na ISO 27001 ma już certyfikat w wersji 2022.

Różnica między 2013 a 2022 jest istotna dla pokrycia NIS2. Annex A wersji 2022 ma 93 środki w 4 grupach tematycznych (organizacyjne, dla ludzi, fizyczne, technologiczne) — zamiast 114 środków w 14 kategoriach w wersji 2013. Zmieniona struktura lepiej odpowiada nowoczesnym zagrożeniom (cloud, threat intelligence, secure coding, zarządzanie tożsamością chmurową). Firmy, które przeszły na 2022 w 2024 r. lub 2025 r., mają już istotnie lepsze pokrycie wymagań Art. 21 NIS2.

Praktyczna ścieżka — od ISO 27001 do zgodności z NIS2

Dla firm certyfikowanych na ISO 27001:2022 ścieżka uzupełnienia do pełnej zgodności z NIS2 ma typowo cztery etapy.

  1. Audyt rozbieżności (gap analysis). Zmapowanie polityk i procedur z SZBI na dziesięć środków Art. 21 + obowiązki Art. 20, Art. 23 i Art. 12a. Wykorzystanie macierzy z tego artykułu jako punktu startowego. Czas: 5–10 dni roboczych dla średniej firmy.
  2. Uzupełnienie procedury obsługi incydentów o kaskadę 24h/72h/1 miesiąc, klasyfikację incydentu istotnego w rozumieniu Art. 23 NIS2, kanały zgłoszeń do CSIRT NASK/GOV/MON i — dla podmiotów rejestrowanych w S46 — integrację z systemem S46. Czas: 4–6 tygodni.
  3. Uzupełnienie procedur łańcucha dostaw o klauzule kontraktowe z Art. 21(2)(d), scoring dostawców MSP/MSSP/chmurowych i okresową rewizję dostawców krytycznych. Czas: 2–3 miesiące (dłużej dla firm z dużym portfelem umów).
  4. Wdrożenie programu szkoleń zarządu spełniającego Art. 20 — częstotliwość roczna, dokumentacja audytowa, materiały dostosowane do roli (zarząd, kadra kierownicza, IT, OT). Czas: jednorazowo 2–4 tygodnie, potem cykl roczny.

Łącznie — dla firmy mającej dojrzałe SZBI w wersji ISO 27001:2022 — uzupełnienie do pełnej zgodności z NIS2 jest projektem 4–6 miesięcy. Bez certyfikatu ISO start od zera byłby projektem 12–18 miesięcznym.

Polski kontekst — PCA i akredytowane jednostki certyfikujące

W Polsce akredytacją jednostek certyfikujących ISO 27001 zajmuje się Polskie Centrum Akredytacji (PCA), członek IAF. Lista akredytowanych jednostek jest publicznie dostępna w bazie PCA. Z perspektywy organu właściwego dla NIS2: certyfikat ISO 27001 wydany przez jednostkę akredytowaną przez PCA (albo inny europejski organ uznawany przez IAF Multilateral Recognition Arrangement) jest istotnym dowodem dojrzałości SZBI w ewentualnym postępowaniu kontrolnym — choć formalnie nie zwalnia z obowiązku spełnienia wymagań ustawy.

W projektowanej nowelizacji ustawy o KSC pojawia się system oceny zgodności dla niektórych klas podmiotów. Szczegółowy kształt — w tym możliwa rola certyfikatów ISO 27001 jako uznawanego dowodu zgodności — pozostaje przedmiotem prac legislacyjnych.

Czy warto certyfikować się na ISO 27001 wyłącznie pod NIS2

Pytanie pada często wśród firm średnich w zakresie NIS2, które dotąd ISO nie miały. Z naszej praktyki — odpowiedź zależy od dwóch czynników. Po pierwsze: czy firma już dziś ma klientów B2B wymagających certyfikatu (lub pyta o niego w kwestionariuszach DDQ). Po drugie: czy w branży, w której firma działa, certyfikat ISO 27001 staje się de facto standardem rynkowym (energetyka, IT/MSP, ochrona zdrowia). Jeżeli tak — certyfikacja opłaca się niezależnie od NIS2 i daje przy okazji bardzo solidną podstawę pod uzupełnienia opisane wyżej. Jeżeli nie — wdrożenie środków Art. 21 bez formalnego certyfikatu jest tańsze i wystarczające dla samej zgodności z NIS2.

Najczęstszy błąd 2026 r. brzmi: „mamy ISO 27001 sprzed pięciu lat, wystarczy". Cztery zastrzeżenia. (1) Jeżeli to certyfikat 2013, formalnie wygasł 31 października 2025 r. (2) Jeżeli wersja 2022, pokrywa techniczne środki, ale nie Art. 20, Art. 23 i Art. 12a. (3) Jeżeli SZBI nie był aktywnie utrzymywany (audyty nadzoru), faktyczne pokrycie jest dziś niższe niż na papierze. (4) Certyfikat nie zwalnia z obowiązku wdrożenia rejestru w S46 ani z kaskady raportowania do CSIRT.

Co dalej

Sugerujemy zacząć od porównania własnego SZBI z macierzą pokrycia tego artykułu, a następnie z dokładną listą środków z pillaru Obowiązki techniczne NIS2. Marka Cyber Alterity prowadzi bezpłatny 20-minutowy audyt rozbieżności ISO 27001 × NIS2 — szybką weryfikację, ile z opisanych wyżej luk dotyczy konkretnej organizacji i o ile uzupełnienie da się skrócić, jeżeli firma już ma żywe SZBI.

Umów konsultację