Filozofia Art. 21 — „all-hazards approach"
Najważniejsza zmiana światopoglądowa względem poprzedniej dyrektywy NIS: Art. 21 NIS2 mówi o ryzyku „all-hazards", czyli całościowym podejściu do zagrożeń fizycznych i cyfrowych. Środowisko techniczne, fizyczne i organizacyjne traktuje się jako jeden ekosystem ryzyka. To istotne dla firm z sektorów OT (produkcja, energetyka, transport), gdzie cyberatak może spowodować pożar, awarię procesu produkcyjnego albo zagrożenie życia.
Drugi fundament Art. 21 to proporcjonalność. Dyrektywa explicite mówi, że środki mają być adekwatne do ryzyka uwzględniając wielkość firmy, prawdopodobieństwo wystąpienia incydentów, ich potencjalny wpływ — w tym społeczny i gospodarczy — oraz state of the art, czyli aktualny stan wiedzy technicznej. To otwiera pole do negocjacji z organem właściwym: mała firma produkcyjna nie musi mieć SOC 24/7, jeżeli udowodni, że proporcjonalnie do ryzyka wystarczają inne rozwiązania.
Dziesięć minimalnych środków — Art. 21 ust. 2
Dyrektywa wymienia je w ust. 2 lit. a–j. Poniższa lista jest parafrazą — rekomendujemy lekturę oryginału przed projektem wdrożenia. Każdy środek zmapowaliśmy na odpowiednie kontrole ISO 27001 Annex A wydanie 2022 — to skraca pracę projektową firmom, które już mają wdrożony SZBI.
Art. 21 ust. 2 · środek 1
Polityka zarządzania ryzykiem informacyjnym
ISO 27001 Annex A.5.1, A.5.4, A.5.7
Sformalizowana polityka, którą zatwierdza zarząd. Określa, kto identyfikuje i ocenia ryzyko, jak często, w jakim trybie i kto akceptuje ryzyko rezydualne. Bez polityki — żaden inny środek techniczny nie jest wiarygodny dla kontroli, bo brakuje śladu decyzyjnego.
Art. 21 ust. 2 · środek 2
Obsługa incydentów
ISO 27001 Annex A.5.24–A.5.27
Procedura detekcji, klasyfikacji, reagowania i raportowania incydentów. Musi obejmować role 24/7, eskalację do zarządu i raportowanie do CSIRT w terminach 24 h, 72 h i 1 miesiąca (omawiamy w pillarze Raportowanie do CSIRT).
Art. 21 ust. 2 · środek 3
Ciągłość działania, kopie zapasowe i zarządzanie kryzysowe
ISO 27001 Annex A.5.29–A.5.30, A.8.13–A.8.14
BCP, DRP i polityka kopii zapasowych. Najczęstszym powodem długich przestojów po ataku ransomware jest brak realnie odtwarzalnych kopii. Wymóg testów odtworzeniowych co najmniej raz w roku.
Art. 21 ust. 2 · środek 4
Bezpieczeństwo łańcucha dostaw
ISO 27001 Annex A.5.19–A.5.23
Zarządzanie ryzykiem cyberbezpieczeństwa kluczowych dostawców. Klauzule umowne wymuszające zgłaszanie incydentów u dostawcy, prawo do audytu, wymagania dotyczące ich własnych certyfikatów. Najtrudniejszy operacyjnie obowiązek, opisany szczegółowo w blogu — Łańcuch dostaw NIS2 Art. 21(2)(d).
Art. 21 ust. 2 · środek 5
Bezpieczeństwo nabywania, rozwoju i utrzymania sieci i systemów
ISO 27001 Annex A.8.25–A.8.30
Procedury Secure SDLC. W praktyce: testy bezpieczeństwa kodu, code review, separacja środowisk dev/test/prod, zarządzanie podatnościami w cyklu wytwórczym. Dla podmiotów, które same nie tworzą oprogramowania — kontrola tych procesów u dostawców.
Art. 21 ust. 2 · środek 6
Polityki i procedury oceny skuteczności środków
ISO 27001 Annex A.9.1, klauzule 9.1–9.3 normy głównej
Mechanizmy pomiaru skuteczności — KPI, KRI, regularne audyty wewnętrzne, przeglądy zarządcze. Nie wystarczy wdrożyć — trzeba mierzyć, czy wdrożone środki działają.
Art. 21 ust. 2 · środek 7
Podstawowa higiena cyberbezpieczeństwa i szkolenia
ISO 27001 Annex A.6.3, A.7.4, A.8.5
Szkolenia całej kadry, w szczególności zarządu (Art. 20 NIS2). Częstotliwość: co najmniej raz w roku dla pracowników liniowych, raz na pół roku dla zarządu. Testy phishingowe co najmniej kwartalnie.
Art. 21 ust. 2 · środek 8
Kryptografia i zarządzanie kluczami
ISO 27001 Annex A.8.24
Polityka kryptograficzna. Wymóg szyfrowania danych w spoczynku i w tranzycie, podejście post-quantum w roadmapie, zarządzanie kluczami z separacją obowiązków.
Art. 21 ust. 2 · środek 9
Bezpieczeństwo personelu, kontrola dostępu i zarządzanie zasobami
ISO 27001 Annex A.5.15–A.5.18, A.8.1–A.8.4
Mechanizmy IAM, zasada minimalnych uprawnień, przeglądy dostępu, klauzule poufności w umowach, procedury onboardingu i offboardingu. Bardzo często zaniedbywane: konta serwisowe i konta z uprawnieniami administracyjnymi.
Art. 21 ust. 2 · środek 10
MFA, ciągłe uwierzytelnianie, bezpieczne kanały komunikacji
ISO 27001 Annex A.8.5, A.8.21
Wieloskładnikowe uwierzytelnianie dla kont uprzywilejowanych i dostępu zdalnego, ciągłe (kontekstowe) uwierzytelnianie tam, gdzie to możliwe, oraz bezpieczna komunikacja w obrębie firmy (zaszyfrowana telefonia, e-mail z S/MIME lub PGP w określonych przypadkach).
Czym jest „state of the art" w realiach polskiego przemysłu
Pojęcie state of the art pojawia się w Art. 21 i sprawia najwięcej trudności interpretacyjnych. W praktyce sądowej Niemiec — gdzie pojęcie funkcjonuje od dawna, m.in. w IT-Sicherheitsgesetz — oznacza poziom dojrzałości technicznej, który jest dostępny komercyjnie, sprawdzony w środowisku produkcyjnym, ale niekoniecznie najnowszy. To poziom „dobrej praktyki branżowej" — wyższy od minimum prawnego, ale niższy od stanu badawczego.
Dla polskiej fabryki przemysłowej w 2026 r. state of the art oznacza zatem m.in.: dedykowany firewall przemysłowy NGFW z inspekcją protokołów OT, segmentację sieci wedle modelu Purdue, SIEM lub przynajmniej centralne logowanie zdarzeń, EDR na stacjach roboczych, MFA dla kont uprzywilejowanych, regularne testy penetracyjne i kopie zapasowe odtwarzane co najmniej raz w roku. To nie wymaga inwestycji rzędu milionów złotych — ale wymaga uporządkowanego planu, nie ad hoc.
Jak mapowanie na ISO 27001 skraca pracę
Firmy, które mają wdrożony System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodny z ISO 27001, mają od 60% do 80% obowiązków NIS2 zaadresowanych już teraz. Pozostałe 20–40% to zazwyczaj:
- Formalny obowiązek raportowania do CSIRT — ISO 27001 zostawia tę kwestię otwartą, NIS2 narzuca konkretne terminy i format.
- Łańcuch dostaw — ISO 27001 Annex A.5.19–A.5.23 wymaga zarządzania bezpieczeństwem dostawców, ale NIS2 Art. 21(2)(d) jest bardziej rygorystyczny i obejmuje obowiązek aktywnej oceny ryzyka, nie tylko klauzul umownych.
- Szkolenia zarządu — ISO 27001 obejmuje świadomość ogólną pracowników; Art. 20 NIS2 wprost wymaga regularnych szkoleń organów zarządzających.
- Dokumentacja proporcjonalności — ISO 27001 wymaga uzasadnienia decyzji o niewdrażaniu kontroli (Statement of Applicability), ale w NIS2 ten dokument staje się materialnym dowodem przed organem właściwym.
Najczęstsze błędy w interpretacji Art. 21
Sekwencja wdrożenia — co zrobić najpierw
Praktycznie żadna polska firma średniej wielkości nie wdraża całych dziesięciu środków równolegle. Sensowna sekwencja, którą stosuje większość projektów wdrożeniowych:
- Pierwszy miesiąc: polityka zarządzania ryzykiem, inwentaryzacja zasobów, mapa procesów krytycznych.
- Drugi i trzeci miesiąc: procedura obsługi incydentów, BCP i DRP, kopie zapasowe oraz testy odtworzeniowe.
- Czwarty–szósty miesiąc: kontrola dostępu, MFA, kryptografia, łańcuch dostaw — równolegle.
- Siódmy–dwunasty miesiąc: dojrzałość — mierniki, audyty wewnętrzne, szkolenia, dokumentacja proporcjonalności.
Roczny plan ten — jeżeli zostanie realnie wykonany — daje stan, który przed kontrolą organu właściwego można uzasadnić jako proporcjonalny i adekwatny do ryzyka. To zazwyczaj wystarcza, by uniknąć kary nawet po incydencie.
Co dalej
Kiedy mają Państwo zarys dziesięciu środków, kolejnym krokiem jest opanowanie raportowania incydentów — to obszar, w którym pierwsze kary w UE pojawiły się najszybciej. Szczegółową procedurę 24 h / 72 h / 1 miesiąc opisujemy w pillarze Raportowanie do CSIRT. Jeżeli wdrożenie wszystkich środków własnymi siłami brzmi niewykonalnie — usługa Alterity Solutions (NIS2 as a Service) obejmuje całość tej listy w modelu abonamentowym.