Skąd mapowanie — atrybucja źródła
Krzyż referencyjny NIS2 ↔ ISO/IEC 27001:2022 pochodzi z publicznego narzędzia BSI Group „NIS2 względem ISO/IEC 27001 — Narzędzie do mapowania" (bilingual PL/EN, 5 stron). BSI Group jest brytyjską jednostką certyfikującą ISO, akredytowaną przez UKAS, i jednym z autorów pierwszej wersji standardu. Wybraliśmy ich mapowanie dlatego, że wskazuje konkretne klauzule normy głównej (5.2, 6.1.2, 6.1.3, 7.3, 7.4, 8.2, 8.3, 9.1–9.3) obok kontroli Załącznika A — czego zwykłe „NIS2 vs Annex A” zestawienia nie robią. Atrybucja: BSI Group, kontakt redakcyjny narzędzia [email protected].
Pełny materiał źródłowy jest publicznie dystrybuowany przez BSI w celach edukacyjnych. Sugerujemy go każdej organizacji, która już prowadzi SZBI zgodny z ISO/IEC 27001:2022 i chce wykazać luki do wymogów NIS2.
Filozofia obowiązków — „all-hazards approach”
NIS2 wymaga podejścia „all-hazards” — środki techniczne mają uwzględniać zagrożenia fizyczne i cyfrowe jako jeden ekosystem ryzyka. Drugi fundament to proporcjonalność: dyrektywa wprost mówi, że środki mają być adekwatne do wielkości firmy, prawdopodobieństwa wystąpienia incydentów, ich potencjalnego wpływu społeczno-gospodarczego oraz aktualnego stanu wiedzy technicznej (state of the art). To pole do negocjacji z organem właściwym — mała firma produkcyjna nie musi mieć SOC 24/7, jeżeli udokumentuje, że inne środki są proporcjonalne do jej profilu ryzyka.
Art. 20 — Governance (obowiązek zarządczy)
Art. 20 NIS2 nakłada na organy zarządzające osobistą odpowiedzialność za zatwierdzenie środków zarządzania ryzykiem oraz nadzór nad ich wdrożeniem. BSI mapuje ten artykuł na sześć kontroli Załącznika A normy ISO/IEC 27001:2022, plus jedną klauzulę szkoleniową:
| Wymóg NIS2 | ISO/IEC 27001:2022 |
|---|---|
| Art. 20 — Governance / odpowiedzialność organu zarządzającego | A.5.1 Polityki bezpieczeństwa informacji; A.5.31 Wymagania prawne, ustawowe, regulacyjne i kontraktowe; A.5.34 Prywatność i ochrona danych osobowych (PII); A.5.35 Niezależny przegląd bezpieczeństwa informacji; A.5.36 Zgodność z politykami, regułami i standardami; A.6.3 Świadomość, edukacja i szkolenia z bezpieczeństwa. |
Źródło mapowania: BSI Group, narzędzie NIS2 ↔ ISO/IEC 27001 s. 2.
Polski Art. 12a KSC wzmacnia tę warstwę — wprowadza osobistą odpowiedzialność członków zarządu i regres do 600 procent wynagrodzenia. Szczegółowo opisujemy ten mechanizm w pillarze Art. 12a i kary.
Art. 21 ust. 2 — dziesięć minimalnych środków (lit. a–j)
NIS2 wymienia środki w ust. 2 lit. a–j. Każdy z nich poniżej ma przypisaną listę konkretnych klauzul i kontroli ISO/IEC 27001:2022 według mapowania BSI Group. W rezultacie organizacja, która ma wdrożony SZBI, może odczytać tabelę dwustronnie — od strony NIS2 („co dyrektywa wymaga?”) oraz od strony ISO („które kontrole już mamy zaadresowane?”).
Governance
lit. (a) polityki ryzyka + (f) ocena skuteczności
Art. 21 ust. 2 · lit. a · lit. f
(a) Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych
ISO/IEC 27001 klauzule 5.2, 6.1.2, 6.1.3, 8.2, 8.3 + Annex A.5.1
Sformalizowana polityka bezpieczeństwa informacji + udokumentowany proces oceny i postępowania z ryzykiem. Klauzule 6.1.2–6.1.3 wymagają obu procesów — identyfikacji ryzyka i wyboru reakcji (mitigate / accept / transfer / avoid). Klauzule 8.2–8.3 wymagają ich faktycznego wykonania w cyklu.
(f) Polityki i procedury oceny skuteczności środków zarządzania ryzykiem
ISO/IEC 27001 klauzule 9.1, 9.2, 9.3 + Annex A.5.35, A.5.36
Monitorowanie, pomiar, analiza i ocena (9.1), audyt wewnętrzny (9.2), przegląd zarządu (9.3) plus niezależny przegląd bezpieczeństwa (A.5.35) i zgodność z politykami (A.5.36). Wymóg „udowodnij, że to działa” — nie wystarcza wdrożenie.
Operations
lit. (b) incydenty + (c) ciągłość działania
Art. 21 ust. 2 · lit. b · lit. c
(b) Obsługa incydentów
Annex A.5.24, A.5.25, A.5.26, A.5.27, A.5.28, A.6.8, A.8.16
Planowanie i przygotowanie do reakcji na incydenty (A.5.24), ocena zdarzeń i podejmowanie decyzji (A.5.25), reakcja (A.5.26), wnioski po zdarzeniu (A.5.27), zbieranie dowodów (A.5.28), raportowanie zdarzeń (A.6.8), monitorowanie (A.8.16). Cykl detect → respond → learn.
(c) Ciągłość działania — zarządzanie kopiami, DRP i zarządzanie kryzysowe
Annex A.5.29, A.5.30, A.8.13, A.8.14, A.8.15, A.8.16
Bezpieczeństwo informacji w czasie zakłócenia (A.5.29), gotowość ICT do ciągłości działania (A.5.30), kopie zapasowe i ich nadmiarowość (A.8.13–A.8.14), logowanie (A.8.15) oraz monitorowanie (A.8.16). Kopia nieprzetestowana nie liczy się jako kopia.
Architecture & Tech
lit. (e) SDLC + (h) kryptografia + (j) MFA
Art. 21 ust. 2 · lit. e · lit. h · lit. j
(e) Bezpieczeństwo nabywania, rozwoju i utrzymania systemów — w tym obsługa podatności
Annex A.5.20, A.5.24, A.5.37, A.6.8, A.8.8, A.8.9, A.8.20, A.8.21
Klauzule kontraktowe z dostawcami (A.5.20), planowanie obsługi incydentów (A.5.24), udokumentowane procedury operacyjne (A.5.37), raportowanie zdarzeń (A.6.8), zarządzanie podatnościami technicznymi (A.8.8), zarządzanie konfiguracją (A.8.9), bezpieczeństwo sieci (A.8.20) i usług sieciowych (A.8.21).
(h) Polityki i procedury kryptografii oraz szyfrowania
Annex A.8.24
Jedna kontrola — A.8.24 „Use of cryptography”. Mapowanie BSI jest tu wyraźnie minimalistyczne, bo wymaga ono przekrojowej polityki kryptograficznej obejmującej dane w spoczynku, w tranzycie i zarządzanie kluczami, którą organizacja sama dostosowuje do swojego ryzyka.
(j) Wieloskładnikowe / ciągłe uwierzytelnianie i bezpieczne kanały komunikacyjne
Annex A.5.14, A.5.16, A.5.17
Bezpieczne przekazywanie informacji (A.5.14), zarządzanie tożsamością (A.5.16), informacje uwierzytelniające (A.5.17). MFA jest wymagana dla kont uprzywilejowanych i zdalnego dostępu; ciągłe uwierzytelnianie (continuous authentication) — tam gdzie jest dostępne. Bezpieczne kanały głosowe / wideo / SMS — gdy adekwatne.
People & Supply Chain
lit. (g) cyberhigiena + (i) HR + (d) łańcuch dostaw
Art. 21 ust. 2 · lit. d · lit. g · lit. i
(g) Podstawowe praktyki cyberhigieny i szkolenia z cyberbezpieczeństwa
ISO/IEC 27001 klauzule 7.3, 7.4 + Annex A.5.15, A.5.16, A.5.18, A.5.24, A.6.3, A.6.5, A.6.8, A.8.2, A.8.3, A.8.5, A.8.7, A.8.9, A.8.13, A.8.15, A.8.19, A.8.22
Najszerszy katalog kontroli ISO 27001 w mapowaniu BSI — 18 pozycji. Świadomość (7.3) + komunikacja (7.4); kontrola dostępu i tożsamości (A.5.15–A.5.18); szkolenia (A.6.3); odpowiedzialności po rozwiązaniu stosunku pracy (A.6.5); konta uprzywilejowane (A.8.2); ochrona przed malware (A.8.7); zarządzanie konfiguracją i instalacją oprogramowania (A.8.9, A.8.19); segregacja sieci (A.8.22).
(i) Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami
Annex A.5.9, A.5.10, A.5.11, A.5.15, A.5.16, A.5.17, A.5.18, A.6.1, A.6.2, A.6.4, A.6.5, A.6.6
Inwentaryzacja zasobów i ich własność (A.5.9), akceptowalne użycie (A.5.10), zwrot zasobów (A.5.11); pełny stos IAM (A.5.15–A.5.18); ekran kandydatów (A.6.1), warunki zatrudnienia (A.6.2), proces dyscyplinarny (A.6.4), obowiązki po rozwiązaniu umowy (A.6.5), klauzule poufności / NDA (A.6.6).
(d) Bezpieczeństwo łańcucha dostaw
Annex A.5.19, A.5.20, A.5.21, A.5.22, A.5.23
Bezpieczeństwo w relacjach z dostawcami (A.5.19), klauzule bezpieczeństwa w umowach (A.5.20), zarządzanie bezpieczeństwem łańcucha ICT (A.5.21), monitorowanie i przegląd usług dostawców (A.5.22), bezpieczeństwo usług chmurowych (A.5.23). Strukturalną ocenę pojedynczego dostawcy wykonuje Klasyfikator dostawców NIS2.
Dziesięć minimalnych środków z Art. 21 ust. 2 NIS2 (lit. a–j), pogrupowanych w cztery domeny bezpieczeństwa. Mapowanie na klauzule i kontrole ISO/IEC 27001:2022 — źródło: BSI Group.
Art. 23 — obowiązki raportowe
NIS2 Art. 23 wprowadza trójstopniowy reżim raportowania incydentów: wczesne ostrzeżenie w ciągu 24 godzin, ocenę incydentu w ciągu 72 godzin oraz sprawozdanie końcowe w ciągu miesiąca. BSI mapuje ten artykuł na dwie kontrole ISO/IEC 27001 Annex A:
| Wymóg NIS2 | ISO/IEC 27001:2022 |
|---|---|
| Art. 23 — obowiązki raportowe (24 h / 72 h / 1 miesiąc) | A.5.14 Przekazywanie informacji; A.6.8 Raportowanie zdarzeń bezpieczeństwa informacji. |
Źródło mapowania: BSI Group, narzędzie NIS2 ↔ ISO/IEC 27001 s. 5.
Tu istnieje istotna luka: ISO/IEC 27001 nie wymusza terminu ani formatu raportu do organu zewnętrznego — A.6.8 mówi wyłącznie o wewnętrznym kanale. Pełną procedurę raportowania do polskich CSIRT, ze wskazaniem terminów i pól sprawozdania, opisujemy w pillarze Raportowanie do CSIRT.
Art. 24 — europejskie schematy certyfikacji
Art. 24 NIS2 zachęca podmioty do korzystania z europejskich schematów certyfikacji cyberbezpieczeństwa (EUCC, EUCS, EU5G itd.) przy wyborze produktów i usług ICT. BSI mapuje ten artykuł na jedną kontrolę — A.5.20 (klauzule bezpieczeństwa w umowach z dostawcami) — co podkreśla, że certyfikacja jest narzędziem weryfikacji dostawcy, a nie samodzielnym obowiązkiem podmiotu.
Pokrycie ISO 27001 — co realnie skraca pracę
Organizacje z wdrożonym SZBI zgodnym z ISO/IEC 27001:2022 mają istotną część obowiązków NIS2 zaadresowaną na poziomie kontroli. Mapowanie BSI Group pokazuje skalę pokrycia konkretnymi kontrolami, ale jednocześnie odsłania cztery obszary, w których ISO sam w sobie nie wystarcza:
- Terminy raportowania do organu zewnętrznego. ISO/IEC 27001 wymaga procesu raportowania zdarzeń (A.6.8) ale zostawia jego adresata otwartym. NIS2 Art. 23 narzuca terminy 24 h / 72 h / 1 miesiąc i konkretny kanał (system S46 + CSIRT NASK / CSIRT GOV / CSIRT MON).
- Aktywna ocena ryzyka łańcucha dostaw. A.5.19–A.5.23 dotyczą procesów, ale Art. 21 ust. 2 lit. d NIS2 jest bardziej rygorystyczny — wymaga sformalizowanej metodyki oceny ryzyka pojedynczego dostawcy. Nasz Klasyfikator dostawców NIS2 to odpowiedź na to rozszerzenie.
- Szkolenia organu zarządzającego. A.6.3 obejmuje świadomość pracowniczą; Art. 20 NIS2 wprost wymaga, by członkowie organu zarządzającego odbyli szkolenia i nadzorowali wdrożenie. Polski Art. 12a KSC dorzuca regres do 600 procent wynagrodzenia za zaniechanie.
- Dokumentacja proporcjonalności. ISO/IEC 27001 wymaga Deklaracji Stosowania (Statement of Applicability, klauzula 6.1.3 d) — ale to dokument wewnętrzny. W NIS2 staje się materialnym dowodem przed organem właściwym w razie kontroli lub incydentu.
Co dalej
Gdy mają Państwo zarys dziesięciu środków Art. 21 plus Art. 20, 23 i 24 — kolejny krok to opanowanie procedury raportowania incydentów. Szczegółową procedurę 24 h / 72 h / 1 miesiąc opisujemy w pillarze Raportowanie do CSIRT. Jeżeli Państwa organizacja nie ma jeszcze SZBI zgodnego z ISO/IEC 27001:2022, naturalnym krokiem jest analiza luk wobec mapowania BSI — można wtedy zacząć od kontroli o najszerszym pokryciu (Art. 21 lit. g „cyberhigiena” — 18 kontroli ISO, w tym kontrola dostępu, IAM, ochrona przed malware, segregacja sieci).
Pełne narzędzie BSI w wersji bilingual (PL/EN) można otrzymać kontaktując się bezpośrednio z BSI Group ([email protected]). Jeżeli wdrożenie wszystkich środków własnymi siłami jest niewykonalne — usługa Cyber Alterity (NIS2 as a Service) prowadzi całość w modelu abonamentowym.