Glosariusz Kluczowych Terminów Dyrektywy NIS2

Dlaczego warto znać te pojęcia?

Dyrektywa NIS2 stawia przed organizacjami szereg nowych wymogów z zakresu cyberbezpieczeństwa. Zrozumienie specjalistycznych terminów używanych w regulacjach i wytycznych NIS2 jest kluczowe dla menedżerów, specjalistów IT oraz ekspertów ds. cyberbezpieczeństwa odpowiedzialnych za zgodność z tymi przepisami.

Poniższy glosariusz został opracowany z myślą o ułatwieniu tego zadania – zawiera zwięzłe, techniczne, ale przystępne definicje najważniejszych pojęć związanych z NIS2. Każdy termin wyjaśniono w kontekście regulacyjnym i praktycznym, często z podaniem przykładu zastosowania przy wdrażaniu wymagań dyrektywy.

Zapraszamy do lektury tego leksykonu NIS2 – od podmiotów kluczowych i ważnych, przez zarządzanie ryzykiem i bezpieczeństwo łańcucha dostaw, aż po obowiązki raportowania incydentów w określonych ramach czasowych. Ten przewodnik pomoże w szybkim odświeżeniu wiedzy oraz zapewni wspólny język dla zespołów pracujących nad zapewnieniem zgodności z NIS2.

Ten artykuł jest częścią serii NIS2 – Jak być zgodnym, w której krok po kroku omawiamy wymagania dyrektywy NIS2, zarządzanie ryzykiem, raportowanie incydentów i wdrożenie zgodności w organizacjach.

Kluczowe terminy związane z NIS2

Akt o cyberodporności (Cyber Resilience Act, CRA)

Unijne rozporządzenie CRA ustanawiające wymagania cyberbezpieczeństwa dla produktów z elementami cyfrowymi. Jego celem jest podniesienie ogólnego poziomu bezpieczeństwa takich produktów na rynku wewnętrznym UE – m.in. poprzez promowanie secure-by-design i uwzględnianie kwestii bezpieczeństwa przy wyborze i użytkowaniu urządzeń oraz oprogramowania. CRA wzmacnia znaczenie norm cyberbezpieczeństwa dla producentów i dostawców technologii, wprowadzając jednolite obowiązkowe zasady (np. dotyczące obsługi podatności i aktualizacji). Regulacja ta uzupełnia ekosystem unijnych przepisów (obok NIS2, RODO, DORA) i ma wzmocnić cyberodporność produktów cyfrowych jako fundament gospodarki cyfrowej.

CSIRT (Computer Security Incident Response Team)

Specjalistyczny zespół reagowania na incydenty bezpieczeństwa komputerowego. Każde państwo członkowskie UE powołało krajowy zespół CSIRT odpowiedzialny za obsługę zgłoszeń incydentów, analizę zagrożeń oraz wsparcie organizacji w sytuacji cyberkryzysu. Zgodnie z NIS2, podmioty kluczowe i ważne muszą współpracować z właściwym CSIRT – m.in. zgłaszać poważne incydenty we wskazanych terminach i stosować się do zaleceń zespołu podczas reagowania na incydent. CSIRT pełni rolę pomostu między zgłaszającą organizacją a organami nadzorczymi, pomagając ograniczyć skutki ataku oraz koordynować działania obronne.

DORA (Digital Operational Resilience Act)

DORA to rozporządzenie UE dotyczące cyfrowej odporności operacyjnej sektora finansowego. Jego celem jest wzmocnienie stabilności operacyjnej instytucji finansowych wobec zagrożeń cyfrowych – m.in. poprzez ujednolicenie zarządzania ryzykiem ICT, obowiązkowe raportowanie incydentów ICT oraz regularne testowanie systemów pod kątem odporności. DORA obejmuje nie tylko banki i firmy ubezpieczeniowe, ale także kluczowych dostawców usług ICT (np. usług chmurowych) dla sektora finansowego. W praktyce DORA uzupełnia wymagania NIS2 w obszarze finansowym, wprowadzając szczegółowe wymogi dla instytucji nadzorowanych przez organy finansowe. Przykładowo, bank objęty DORA będzie musiał raportować poważny incydent zarówno zgodnie z procedurami DORA, jak i spełnić ogólne obowiązki notyfikacyjne wynikające z NIS2, zapewniając spójność działań zgodnych z obiema regulacjami.

Dyrektywa NIS1 (Network and Information Security Directive 1)

Pierwsza unijna dyrektywa dotycząca bezpieczeństwa sieci i informacji, czyli poprzedniczka NIS2. Dyrektywa NIS1 (2016/1148) ustanowiła podstawowe wymogi cyberbezpieczeństwa dla określonych sektorów i usług kluczowych we wszystkich krajach UE. Był to pierwszy krok w kierunku ujednolicenia standardów ochrony infrastruktury krytycznej i usług cyfrowych w Unii. Z czasem okazało się jednak, że ewoluujący krajobraz zagrożeń wymaga aktualizacji przepisów – stąd NIS1 została zastąpiona przez NIS2, która poszerza zakres podmiotów i zaostrza wymagania względem oryginalnej dyrektywy.

Dyrektywa NIS2 (Network and Information Security Directive 2)

Aktualna dyrektywa UE mająca na celu wzmocnienie cyberbezpieczeństwa w szerokim spektrum sektorów uznanych za krytyczne lub istotne dla społeczeństwa. NIS2 rozszerza zakres poprzedniej dyrektywy (NIS1) i wprowadza surowsze wymogi m.in. w obszarze zarządzania ryzykiem, bezpieczeństwa dostawców i raportowania incydentów. Pod dyrektywę podlegają podmioty kluczowe i ważne z sektorów takich jak energia, transport, finanse, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna i inne. NIS2 ustanawia również krótkie terminy zgłaszania poważnych incydentów (24/72 godziny) oraz przewiduje większą odpowiedzialność kadry kierowniczej za zgodność z wymogami. Stanowi to fundament unijnego podejścia do cyberbezpieczeństwa, zobowiązując organizacje do proaktywnego podnoszenia poziomu ochrony sieci i informacji.

ENISA (European Union Agency for Cybersecurity)

Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) – agencja UE powołana do wspierania państw członkowskich i organizacji w doskonaleniu cyberbezpieczeństwa. ENISA odgrywa kluczową rolę w kształtowaniu europejskiej polityki bezpieczeństwa informacji i dostarcza praktyczne wytyczne oraz publikacje ułatwiające spełnienie wymogów takich regulacji jak NIS2. Przykładowo, ENISA opracowuje wytyczne dotyczące zarządzania ryzykiem, dobre praktyki w zabezpieczaniu łańcucha dostaw, a także schematy certyfikacji cyberbezpieczeństwa (na mocy Cybersecurity Act). Dla organizacji objętych NIS2, zasoby ENISA (np. raporty o zagrożeniach czy poradniki implementacyjne) mogą być cenną pomocą w osiągnięciu zgodności z dyrektywą.

Obowiązek zgłaszania incydentów (24h/72h)

Wymóg prawny nałożony przez NIS2, zobowiązujący podmioty objęte dyrektywą do zgłaszania poważnych incydentów bezpieczeństwa w ściśle określonych ramach czasowych. Zazwyczaj oznacza to, że wstępne powiadomienie o incydencie należy przekazać właściwemu organowi lub zespołowi CSIRT w ciągu 24 godzin od wykrycia zdarzenia, zaś pełny raport uzupełniający – do 72 godzin. Celem tak szybkiego raportowania jest umożliwienie organom centralnym oceny sytuacji i podjęcia działań zaradczych na poziomie krajowym lub unijnym. W praktyce organizacja musi opracować procedury monitorowania i meldowania incydentów, aby dotrzymać terminów – np. posiadać całodobowe (24/7) zespoły monitorujące oraz gotowe szablony raportów. Warto pamiętać, że konkretne wymagania raportowe mogą nieznacznie różnić się w poszczególnych państwach (na podstawie prawa krajowego wdrażającego NIS2), jednak minimalne standardy 24h/72h obowiązują w całej UE.

Podmioty kluczowe (essential entities)

Organizacje o krytycznym znaczeniu dla funkcjonowania gospodarki i społeczeństwa, zidentyfikowane jako “essential entities” w dyrektywie NIS2. Do podmiotów kluczowych zalicza się m.in. dostawców kluczowej infrastruktury i usług: np. przedsiębiorstwa energetyczne, największe instytucje finansowe (banki), operatorów transportowych, szpitale i systemy opieki zdrowotnej, infrastrukturę cyfrową (jak kluczowe centra danych) czy organy administracji rządowej. Podmioty kluczowe podlegają najbardziej rygorystycznym wymogom NIS2 – muszą wdrożyć zaawansowane środki techniczne i organizacyjne, raportować incydenty we wskazanych terminach oraz liczyć się z surowymi kontrolami i karami za brak zgodności. Wynika to z faktu, że incydent dotyczący takiego podmiotu może mieć szeroki wpływ społeczno-gospodarczy (np. przerwa w dostawie prądu na dużą skalę). Przykład: operator krajowej sieci energetycznej będzie uznany za podmiot kluczowy i musi spełniać wymogi NIS2 z najwyższą starannością.

Podmioty ważne (important entities)

Organizacje świadczące istotne usługi dla społeczeństwa lub gospodarki, które jednak nie są zaklasyfikowane jako “kluczowe” – określane w NIS2 jako “important entities”. Zazwyczaj są to średnie lub duże firmy, których działalność ma znaczący wpływ, ale ewentualna awaria miałaby nieco mniejszy zasięg oddziaływania niż w przypadku podmiotów kluczowych. Przykłady to np. producenci komponentów dla infrastruktury krytycznej, duże firmy logistyczne czy operatorzy usług pocztowych i kurierskich. Podmioty ważne również podlegają wymogom NIS2 (muszą wdrożyć polityki bezpieczeństwa, zarządzać ryzykiem, raportować incydenty etc.), jednak nadzór nad nimi może być nieco mniej intensywny niż nad podmiotami kluczowymi. Nie oznacza to zwolnienia z odpowiedzialności – organizacje te nadal muszą utrzymywać wysoki poziom cyberbezpieczeństwa i mogą podlegać karom za brak zgodności, ponieważ ich zakłócenie również wpływa na ciągłość działania ważnych usług.

RASCI (Responsibility Assignment Matrix)

Macierz RASCI to rozszerzona wersja klasycznej macierzy RACI, służącej do przypisywania ról i odpowiedzialności w zadaniach lub procesach. Skrót RASCI oznacza pięć ról: Responsible (osoba odpowiedzialna za wykonanie zadania), Accountable (osoba końcowo rozliczana za rezultat), Support (osoba/rola wspierająca wykonanie zadania), Consulted (osoba konsultowana) i Informed (osoba informowana). W praktyce macierz RASCI pomaga jasno określić “kto za co odpowiada” w ramach projektu lub wdrożenia – np. przy implementacji NIS2 w organizacji. Dzięki dodaniu roli Support macierz odzwierciedla osoby wspierające głównego wykonawcę (np. członkowie zespołu pomagający przy realizacji określonego obowiązku). Stosowanie RASCI zapobiega lukom i nadmiarowym przypisaniom odpowiedzialności – co jest szczególnie ważne przy złożonych programach zgodności, gdzie uczestniczy wiele działów (IT, bezpieczeństwo, prawny, biznes). Przykładowo, przy opracowaniu procedury zgłaszania incydentów NIS2, macierz RASCI może wskazać, że: dział bezpieczeństwa jest Responsible za przygotowanie procedury, członek zarządu Accountable za jej zatwierdzenie, dział prawny Consulted w kwestii zgodności z prawem, a wszyscy pracownicy Informed o nowych zasadach.

RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych, GDPR)

RODO to unijne rozporządzenie 2016/679 dotyczące ochrony danych osobowych i prywatności. Jest to kompleksowy akt prawny regulujący, w jaki sposób organizacje w UE mogą przetwarzać dane osobowe, ustanawiający m.in. zasady ochrony danych i prawa osób, których dane dotyczą. RODO obowiązuje we wszystkich krajach Unii bezpośrednio, ujednolicając standardy ochrony danych osobowych. Choć RODO koncentruje się na prywatności i danych osobowych, ma punkty styczne z NIS2 – np. w zakresie notyfikacji naruszeń. Incydent bezpieczeństwa będący wyciekiem danych osobowych może podlegać jednocześnie obowiązkowi zgłoszenia do organu ochrony danych (UODO) w ciągu 72 godzin (wymóg RODO) oraz zgłoszeniu jako incydent do CSIRT zgodnie z NIS2. W praktyce oznacza to, że organizacje muszą koordynować procedury spełniające obie regulacje, aby zapewnić zarówno ochronę danych, jak i ciągłość działania systemów.

Środki techniczne i organizacyjne

Zbiorcze określenie wdrażanych zabezpieczeń technicznych oraz procedur organizacyjnych, które służą ograniczeniu zidentyfikowanych ryzyk cyberbezpieczeństwa do akceptowalnego poziomu. Dyrektywa NIS2 wymaga, aby podmioty objęte jej zakresem stosowały adekwatne środki bezpieczeństwa, kierując się podejściem opartym na ryzyku. Przykłady środków technicznych to m.in. zapory sieciowe (firewalle), systemy wykrywania włamań, szyfrowanie danych czy mechanizmy backupu, a środków organizacyjnych – polityki bezpieczeństwa, proces zarządzania dostępem, szkolenia uświadamiające dla pracowników, procedury reagowania na incydenty czy plany ciągłości działania. Kluczem jest dopasowanie tych środków do skali i rodzaju ryzyk danej organizacji. NIS2 podkreśla, że bezpieczeństwo nie może ograniczać się do samych technologii – niezbędna jest także organizacyjna gotowość, jasny podział odpowiedzialności oraz kultura bezpieczeństwa wśród personelu.

Zarządzanie ryzykiem (risk management)

Proces identyfikowania, analizowania i kontrolowania zagrożeń oraz podatności, które mogą negatywnie wpłynąć na systemy informacyjne organizacji. W kontekście NIS2 zarządzanie ryzykiem obejmuje regularną ocenę ryzyk (cyber risk assessment) oraz podejmowanie odpowiednich działań ograniczających zidentyfikowane ryzyka poprzez środki techniczne i organizacyjne. Dyrektywa wymaga, aby podmioty objęte NIS2 systematycznie przeprowadzały analizy ryzyka – np. co roku lub przy istotnych zmianach w systemach – i dokumentowały ich wyniki wraz z planami postępowania z ryzykiem. Na podstawie oceny priorytetyzuje się inwestycje w zabezpieczenia (np. wzmacnia ochronę najważniejszych usług). Przykładem wdrożenia zarządzania ryzykiem jest utworzenie w firmie rejestru ryzyk cyberbezpieczeństwa, który zawiera listę potencjalnych zagrożeń (atak ransomware, awaria zasilania, błąd ludzki), ocenę ich wpływu i prawdopodobieństwa oraz przypisane działania zapobiegawcze/reagujące. NIS2 kładzie nacisk, by zarządzanie ryzykiem było ciągłym, proaktywnym procesem, a nie jednorazowym ćwiczeniem – organizacje muszą monitorować zmiany w środowisku zagrożeń i aktualizować swoje strategie ochrony.

Dowody zgodności (compliance evidence)

Wszelkie materiały dowodowe i dokumentacja świadczące o tym, że organizacja spełnia wymagania dyrektywy NIS2. Dowody zgodności są kluczowe podczas audytów i kontroli – umożliwiają wykazanie przed regulatorami, że odpowiednie polityki, procedury i środki bezpieczeństwa zostały wdrożone w praktyce. Przykłady takich dowodów to: protokoły ze szkoleń z zakresu cyberbezpieczeństwa (lista uczestników, daty i zakres tematyczny), dokumenty polityk bezpieczeństwa wraz z podpisami osób zatwierdzających, raporty z analiz ryzyka, rejestry incydentów i sposobu ich obsługi, wyniki testów penetracyjnych i wdrożonych poprawek, czy certyfikaty zgodności (np. ISO 27001) posiadane przez organizację. Istotne jest również utrzymywanie konfiguracji bazowych systemów i ich zmian – np. zapis aktualizacji i łat bezpieczeństwa – jako dowód dbałości o ciągłe doskonalenie zabezpieczeń. NIS2 nakłada obowiązek prowadzenia takiej dokumentacji, ponieważ “jeśli coś nie jest udokumentowane, nie zostało zrobione” – brak dowodów zgodności może być traktowany na równi z brakiem faktycznych działań.

Bezpieczeństwo łańcucha dostaw (supply chain security)

Zapewnienie bezpieczeństwa na wszystkich etapach dostarczania usług i produktów, z uwzględnieniem podmiotów trzecich (dostawców, kontrahentów, podwykonawców). NIS2 podkreśla, że organizacje muszą dbać nie tylko o własne systemy, ale również oceniać i zarządzać ryzykiem wynikającym z współpracy z zewnętrznymi dostawcami. Bezpieczeństwo łańcucha dostaw obejmuje m.in.: weryfikację kontrahentów pod kątem ich praktyk cyberbezpieczeństwa, wprowadzanie wymogów i klauzul bezpieczeństwa do umów z dostawcami, monitorowanie zgodności dostawców z ustalonymi standardami oraz planowanie alternatyw na wypadek przerwania ciągłości dostaw (np. awarii u kluczowego usługodawcy chmurowego). Przykładem działania w tym obszarze może być audyt bezpieczeństwa dostawców IT lub wymóg posiadania certyfikatu ISO 27001 przez firmy zewnętrzne przetwarzające nasze dane. Dyrektywa NIS2 kładzie duży nacisk na ten aspekt, gdyż atak na słabsze ogniwo łańcucha (np. poprzez zhakowanie oprogramowania dostawcy) może zagrozić nawet najlepiej zabezpieczonej organizacji. Dlatego kluczowe jest uzyskanie widoczności w łańcuchu dostaw – posiadanie informacji, z kim organizacja współpracuje i jakie ryzyka się z tym wiążą – oraz uwzględnienie dostawców w strategii zarządzania ryzykiem.

Podsumowanie

Powyższy glosariusz obejmuje wybrane pojęcia kluczowe dla zrozumienia i implementacji dyrektywy NIS2. Znajomość tych terminów pomoże w skutecznej komunikacji między zespołami odpowiedzialnymi za cyberbezpieczeństwo i zgodność z regulacjami, a także ułatwi śledzenie najnowszych wytycznych UE (np. dokumentów ENISA czy aktów delegowanych do NIS2). W razie potrzeby pogłębienia wiedzy, warto sięgać do oficjalnych materiałów (dyrektywa NIS2, akty powiązane jak DORA czy Cyber Resilience Act) oraz naszego opracowania, czyli cyklu NIS2 – Jak być zgodnym. Zapewnienie zgodności z NIS2 to proces ciągły – od opanowania terminologii zaczyna się budowanie solidnych podstaw dalszych działań.

Seria „NIS2 – Jak być zgodnym” powstała na podstawie publikacji open access „NIS2 – How to Be Compliant v1.3” autorstwa Wojciecha Ciemskiego (Zenodo, 2025). Materiał stanowi praktyczny przewodnik po wdrażaniu dyrektywy NIS2 w organizacjach zgodnie z jej artykułami 21 i 23.