Czy ISO/IEC 27001 Zapewnia Zgodność Z NIS2?

Wstęp: ISO 27001 a NIS2 – dobra baza to za mało

Certyfikat ISO 27001 stanowi solidną bazę bezpieczeństwa informacji, jednak sam w sobie nie gwarantuje pełnej zgodności z dyrektywą NIS2. ISO 27001 pokrywa co prawda większość wymagań techniczno-organizacyjnych, ale nie spełnia szeregu obowiązków prawnych NIS2, takich jak formalna identyfikacja podmiotów i nadzór państwowy czy raportowanie incydentów w ścisłych terminach (24h/72h) oraz osobista odpowiedzialność zarządu. Innymi słowy – certyfikat ISO 27001 ≠ zgodność z NIS2. Poniżej wyjaśniamy różnice między dobrowolnym standardem ISO a obowiązkową regulacją prawną NIS2, wskazujemy co ISO zapewnia, a co trzeba uzupełnić, by organizacja była w pełni zgodna z NIS2.

ISO 27001 – czym jest i czego dotyczy

ISO/IEC 27001 to międzynarodowa norma definiująca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Opiera się na podejściu opartym na ryzyku i ciągłym doskonaleniu (cykl PDCA), określając polityki, procedury i kontrole bezpieczeństwa potrzebne do ochrony poufności, integralności i dostępności informacji. Jest to standard dobrowolny i certyfikowalny – niezależna jednostka może potwierdzić zgodność naszego ISMS z normą, co buduje zaufanie klientów i partnerów. ISO 27001 jest uniwersalny: stosuje się do organizacji dowolnej wielkości i branży na całym świecie. Struktura normy obejmuje wymagania systemowe (m.in. kontekst organizacji, zaangażowanie kierownictwa, ocena ryzyka, doskonalenie) oraz załącznik z katalogiem 93 szczegółowych środków bezpieczeństwa. Dzięki temu ISO 27001 narzuca rygor w zarządzaniu bezpieczeństwem, ale nie jest przepisem prawnym – organizacje wdrażają go dobrowolnie, aby podnieść swoją dojrzałość bezpieczeństwa i często uzyskać przewagę konkurencyjną.

NIS2 – nowy obowiązek prawny i wymagania dla firm

Dyrektywa NIS2 (Network and Information Systems Directive 2) to akt prawny UE, który wszedł w życie w styczniu 2023 r., nakładając na wybrane podmioty obowiązek podniesienia cyberbezpieczeństwa. Do października 2024 r. państwa członkowskie (w tym Polska) mają implementować NIS2 do prawa krajowego. Zgodność z NIS2 nie jest dobrowolna – to wymóg prawny dla tzw. podmiotów kluczowych i istotnych z ~15 sektorów (m.in. energetyka, transport, finansowy, zdrowie, infrastruktura cyfrowa oraz dostawcy usług cyfrowych). Kryterium podlegania dyrektywie to rodzaj świadczonych usług (wymienionych w załącznikach NIS2) oraz skala działalności (średnie i duże przedsiębiorstwa).

Nowe wymagania NIS2 są znacznie bardziej szczegółowe niż poprzednia dyrektywa NIS. Obejmują m.in.: obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa, utrzymania ciągłości działania, zabezpieczenia łańcucha dostaw ICT, zarządzania podatnościami oraz systematycznego monitorowania i wykrywania zagrożeń. Kluczową zmianą jest nacisk na obowiązki zarządu – najwyższe kierownictwo musi aktywnie nadzorować bezpieczeństwo, zatwierdzać polityki, a nawet odbywać szkolenia z cyberbezpieczeństwa. Niezastosowanie się do NIS2 grozi poważnymi konsekwencjami prawnymi, w tym karami finansowymi (dla podmiotów kluczowych do 10 mln € lub 2% globalnych obrotów) oraz sankcjami osobistymi dla kadry kierowniczej (np. czasowe zawieszenie w obowiązkach przy rażących naruszeniach). Co ważne, NIS2 wprowadza także rygorystyczne wymagania w zakresie raportowania incydentów: każdy poważny incydent bezpieczeństwa musi być zgłoszony właściwym organom w ciągu 24 godzin od wykrycia, a szczegółowy raport incydentalny należy przekazać w ciągu 72 godzin. Dodatkowo, po opanowaniu incydentu wymagane będzie sprawozdanie końcowe (np. po miesiącu). Te terminy 24h/72h stanowią ogromne wyzwanie organizacyjne, wymuszając posiadanie świetnie działających procedur reagowania na incydenty i szybkiego informowania organów.

Podsumowując, NIS2 to twarde prawo – nakazuje konkretnym firmom podjęcie działań i rozlicza z efektów (m.in. poprzez nadzór ze strony państwa i raportowanie). ISO 27001 natomiast jest ramą dobrych praktyk, którą NIS2 wprawdzie rekomenduje (dyrektywa w preambule zachęca do stosowania standardów z rodziny ISO 27000), ale sama w sobie narzuca dodatkowe obowiązki wykraczające poza zakres ISO.

Dlaczego sam ISO 27001 nie wystarczy do NIS2?

Mając certyfikat ISO 27001, organizacja dysponuje już dojrzałym systemem bezpieczeństwa – jednak to wciąż za mało, by automatycznie spełnić NIS2. Powody są następujące:

• ISO to standard, NIS2 to prawo: ISO 27001 jest dobrowolny i brak zgodności nie niesie bezpośrednich sankcji prawnych. NIS2 jest obowiązkowe – niezgodność grozi karami i odpowiedzialnością prawną. Certyfikat ISO nie zwalnia więc z przestrzegania wymogów dyrektywy. W praktyce w większości krajów UE organy nadzoru nie uznają certyfikatu ISO jako automatycznego dowodu zgodności z NIS2 (choć np. Belgia rozważa częściowe uznawanie certyfikatu). Każda organizacja podlegająca NIS2 musi wykazać zgodność niezależnie od posiadanych certyfikatów.
• Zakres zastosowania: ISO 27001 może obejmować dowolny zakres (np. wybrane systemy czy oddziały). NIS2 dotyczy całej działalności istotnej dla funkcjonowania usług kluczowych – jeśli certyfikat ISO nie pokrywa wszystkich krytycznych procesów, trzeba ten zakres rozszerzyć. Regulatorzy mogą wymagać, by ISMS objął całą organizację wraz z zależnymi spółkami. Sam certyfikat wydany na węższy zakres nie pokryje wymagań NIS2, które odnoszą się do ogółu usług niezbędnych.
• Brak wymagań prawno-formalnych w ISO: ISO 27001 skupia się na wewnętrznym zarządzaniu bezpieczeństwem, nie reguluje kwestii formalnych narzucanych przez prawo. NIS2 natomiast wymaga np. oficjalnej klasyfikacji i rejestracji podmiotu u właściwego organu, przekazywania mu informacji o swojej infrastrukturze krytycznej i regularnych sprawozdań o stanie cyberbezpieczeństwa. ISO nie wymaga notyfikowania się do żadnych organów – to aspekt, który organizacja musi dodatkowo zaadresować, jeśli podlega NIS2.
• Raportowanie incydentów 24h/72h: Jedna z największych luk – ISO 27001 nie nakazuje zgłaszania incydentów organom zewnętrznym w określonych ramach czasowych. ISO wymaga posiadania procesu zarządzania incydentami bezpieczeństwa, ale jest on nastawiony na wewnętrzne potrzeby organizacji. Dyrektywa NIS2 wprowadza obowiązek szybkiej notyfikacji poważnych incydentów właściwym instytucjom (np. CSIRT). To zupełnie nowy wymiar, którego sam ISO nie pokrywa. Firmy muszą zatem ustanowić procedury zapewniające zdolność przekazania wstępnego zgłoszenia w 24h i pełnego raportu w 72h od wykrycia incydentu – łącznie z odpowiednimi kanałami komunikacji i przeszkoleniem personelu. Bez tego, nawet doskonały ISMS zgodny z ISO, nie spełni kluczowego wymogu NIS2 w zakresie współpracy z organami państwa.
• Odpowiedzialność zarządu: ISO 27001 oczywiście wymaga zaangażowania kierownictwa (tzw. leadership w normie) i przydzielenia ról bezpieczeństwa, ale nie przewiduje osobistej odpowiedzialności prawnej członków zarządu za naruszenia. NIS2 explicite nakłada na zarządy obowiązek nadzoru nad cyberbezpieczeństwem i przewiduje sankcje (łącznie z odpowiedzialnością karną lub administracyjną) za zaniedbania. Dlatego organizacje muszą upewnić się, że ich rady nadzorcze i zarządy rozumieją wymagania NIS2, uczestniczą w szkoleniach i formalnie zatwierdzają działania (polityki, plany) związane z bezpieczeństwem. Sama certyfikacja ISO tego nie gwarantuje – potrzebne jest świadome włączenie najwyższego kierownictwa w program zgodności z NIS2.

Podsumowując, ISO 27001 nie zastępuje NIS2, bo NIS2 rozszerza wymagania o obszary prawne, organizacyjne i czasowe, których standard nie obejmuje. Certyfikat potwierdza posiadanie solidnego systemu ochrony informacji, ale dla pełnej zgodności z prawem trzeba spełnić dodatkowe warunki określone w dyrektywie.

Co ISO 27001 pokrywa z wymagań NIS2?

Choć ISO 27001 to nie to samo co NIS2, warto podkreślić, że wdrożony ISMS znacząco ułatwia dostosowanie się do NIS2. Szacuje się, że posiadanie ISO 27001 pokrywa większość (nawet ~90%) wymagań NIS2 dotyczących cyberbezpieczeństwa. Sama ENISA wskazała standardy ISO 27000 jako rekomendowaną podstawę dla podmiotów objętych NIS2. Jakie elementy NIS2 są zatem pokryte dzięki ISO 27001?

• Polityki bezpieczeństwa i analiza ryzyka: NIS2 wymaga posiadania polityk analizy ryzyka i polityki bezpieczeństwa systemów informacyjnych. ISO 27001 nakazuje identyfikację ryzyk, ich ocenę i opracowanie planu postępowania z ryzykiem, a także ustanowienie Polityki Bezpieczeństwa Informacji. Organizacja certyfikowana ma więc zdefiniowane zasady oceny ryzyka i zatwierdzone przez kierownictwo dokumenty polityki – co wprost odpowiada artykułowi 21(2) lit. a NIS2.
• Środki techniczne i organizacyjne (Art. 21 NIS2): Dyrektywa wymienia katalog środków, które podmiot musi wdrożyć, m.in.: obsługa incydentów, ciągłość działania i disaster recovery, kopie zapasowe, bezpieczeństwo łańcucha dostaw, bezpieczne rozwijanie systemów, kontrola dostępu, higiena cyber (np. zarządzanie uprawnieniami, aktualizacje), szyfrowanie, bezpieczeństwo personelu, uwierzytelnianie wieloskładnikowe, itp. – to wszystko jest adresowane przez kontrole ISO 27001/27002. Przykładowo:
  • Plan reagowania na incydenty i rejestr incydentów (wymóg NIS2 art. 21(2)(b)) odpowiadają kontroli A.5.24–5.26 Zarządzanie incydentami w ISO.
  • Wymogi ciągłości działania, backupów i odtwarzania (21(2)(c)) pokrywają się z planami ciągłości i odbudowy IT oraz polityką backupów w ISO (kontrole A.5.29, A.5.30, A.8.13, A.8.14).
  • Bezpieczeństwo dostawców (21(2)(d)) odzwierciedlają kontrole A.5.19–5.23 Zarządzanie bezpieczeństwem w relacjach z dostawcami.
  • Bezpieczny rozwój i zarządzanie podatnościami (21(2)(e)) pokrywają liczne kontrole techniczne ISO, m.in. A.8.8 Zarządzanie podatnościami, A.8.26 Bezpieczne projektowanie systemów, A.8.28 Bezpieczne kodowanie, A.8.9 Konfiguracja i zarządzanie zmianami.
  • Wymóg zapewnienia systemu kontroli dostępu, zarządzania zasobami i tożsamością (21(2)(i) i (j)) odpowiada kontrolom ISO z zakresu zarządzania tożsamością i uprawnieniami (A.5.15–5.17) oraz inwentaryzacji aktywów i ich ochrony, a także wymogowi uwierzytelniania wieloskładnikowego (co wynika z kontroli A.8.5 i zaleceń normy).
  • Szkolenia bezpieczeństwa (21(2)(g)): ISO wymaga szkoleń i podnoszenia kompetencji (klauzula 7.2 i kontrola A.6.3) – więc programy świadomości dla pracowników i managementu również będą już obecne.
• Mechanizmy weryfikacji i doskonalenia: NIS2 obliguje do oceny skuteczności wdrożonych środków (21(2)(f)). ISO narzuca monitorowanie, pomiary, audyty wewnętrzne i przeglądy zarządzania – co spełnia wymóg ciągłego nadzoru nad bezpieczeństwem. Posiadając ISO, organizacja ma udokumentowane raporty z pomiarów, audytów i przeglądów, które można przedstawić organom jako dowód nadzoru.

Krótko mówiąc, wdrożony ISO 27001 pokrywa praktycznie wszystkie merytoryczne wymagania NIS2 z art. 21 (wg analizy – 25 z 26 wymienionych wymagań ma odpowiednik w ISO). Jedynym wyjątkiem jest plan zarządzania kryzysowego, który w ISO 27001:2022 nie występuje expressis verbis (można go jednak uzupełnić np. zgodnie z ISO 22301). Dzięki ISO organizacja dysponuje też kompletną dokumentacją (polityki, procedury, rejestry) i ścieżką audytową, co bardzo ułatwia wykazanie spełnienia wymogów w razie kontroli organu.

Bazując na ISO, firma ma więc fundamenty zgodności z NIS2 – pozostaje zidentyfikować i wypełnić te luki, które leżą poza zakresem normy.

Co trzeba dodać poza ISO, aby spełnić NIS2?

Aby organizacja z certyfikatem ISO 27001 mogła w pełni spełnić prawo NIS2, powinna podjąć dodatkowe działania uzupełniające. Oto kluczowe elementy poza ISO, na które trzeba zwrócić uwagę:

• Analiza luk (gap assessment) względem NIS2: Po pierwsze, warto przeprowadzić gap assessment – szczegółowe porównanie wymagań dyrektywy z istniejącym ISMS. Celem jest zidentyfikowanie, które obszary są już zgodne dzięki ISO, a gdzie występują braki wymagające działań. Taka analiza luk pozwoli przygotować plan uzupełnienia brakujących elementów. Najlepiej oprzeć się na mapowaniu wymagań art. 20 i 21 NIS2 do kontrol ISO (dostępne w materiałach ENISA lub innych przewodnikach) i na tej bazie określić konkretne kroki do zgodności.
• Procedury raportowania incydentów 24h/72h: Jak wspomniano, to obszar nieuwzględniony w ISO. Należy ustanowić (i przećwiczyć) procedurę zgłaszania incydentów spełniającą wymogi NIS2. Oznacza to wyznaczenie osób do kontaktu z CSIRT/organem, zdefiniowanie kanałów komunikacji i formatów raportów oraz zapewnienie, że incydenty będą oceniane bardzo szybko (niemal “w trybie 24/7”) pod kątem kryteriów istotności. Organizacja powinna opracować wewnętrzne instrukcje “krok po kroku”, aby od momentu wykrycia incydentu w ciągu kilkunastu godzin przekazać wymagane informacje do właściwych służb. Warto też przetestować ten proces (np. poprzez symulacje ataków) – tak, by mieć pewność dotrzymania terminów. Bez tak przygotowanego mechanizmu, nawet świetny zespół bezpieczeństwa może mieć trudność z wyrobieniem się w 24 godziny.
• Formalna zgodność i dokumentacja prawna: ISO nie zajmuje się wymogami formalnymi administracji, więc organizacja musi sama zadbać o: oficjalne zgłoszenie do rejestru podmiotów NIS2 (gdy ustawa krajowa tego wymaga), aktualizowanie informacji o firmie wymaganych przez organ nadzorczy, przygotowanie okresowych raportów zgodności (np. rocznych raportów o stanie bezpieczeństwa, jeśli lokalne prawo je wprowadzi). Dobrze jest również monitorować krajowe akty wykonawcze – np. w Polsce nowelizacja ustawy o KSC doprecyzuje, jakie dokumenty i kiedy trzeba będzie przekazywać. Te obowiązki administracyjne leżą poza systemem ISO i często spoczywają na dziale prawnym lub compliance organizacji – niemniej, muszą zostać wdrożone równolegle do działań czysto technicznych.
• Szkolenia i świadomość zarządu: NIS2 wymaga, by członkowie zarządu rozumieli zagrożenia cyber i ich obowiązki. Audyt NIS2 (np. ze strony organu) może w praktyce zweryfikować, czy najwyższe kierownictwo angażuje się w temat. Warto więc zapewnić dedykowane szkolenia dla zarządu (co najmniej raz na rok) oraz formalnie włączyć punkt dotyczący cyberbezpieczeństwa do agendy posiedzeń zarządu i rady nadzorczej. Dodatkowo, decyzje zarządcze związane z bezpieczeństwem (akceptacja ryzyka, zatwierdzenie polityk, budżet na zabezpieczenia) powinny być protokołowane – tak, by móc wykazać w razie kontroli, że zarząd wywiązuje się z obowiązków nadzorczych. Tego typu dowody zaangażowania top managementu wykraczają poza to, co sprawdza audytor ISO, ale mogą okazać się kluczowe przy audycie zgodności z NIS2.
• Plan zarządzania kryzysowego: Jak wspomniano, ISO 27001 nie narzuca posiadania odrębnego planu kryzysowego, za to NIS2 kładzie nacisk na przygotowanie organizacji na incydenty o dużej skali i kryzysy. Warto zatem uzupełnić ISMS o scenariusze kryzysowe – np. co firma zrobi w razie poważnego ataku, który paraliżuje usługi na szeroką skalę. Taki plan kryzysowy powinien uzupełniać plany ciągłości działania z ISO i określać komunikację kryzysową, współpracę z organami państwa i mediami w razie incydentu. Choć nie jest to wyraźnie wyszczególnione w ISO 27001, opracowanie Planu Reagowania Kryzysowego będzie dobrą praktyką i może być wręcz oczekiwane przez regulatorów (wynika to z ducha NIS2, który mówi o odporności na incydenty o znaczącym wpływie).

Na koniec należy podkreślić, że utrzymanie zgodności z NIS2 to proces ciągły. Podobnie jak ISO wymaga ciągłego doskonalenia, tak i NIS2 zakłada stałe monitorowanie ryzyka, raportowanie zmian i reagowanie na nowe zagrożenia. Organizacja powinna cyklicznie audytować swoją zgodność z NIS2 (np. corocznie przeprowadzać wewnętrzny audyt NIS2 lub zlecić go zewnętrznemu ekspertowi) – nawet jeśli posiada już certyfikat ISO. Taki audyt sprawdzi, czy wszystkie dodatkowe wymagania (raportowanie, formalności, zaangażowanie zarządu itp.) są realizowane na bieżąco.

Podsumowanie

Posiadanie ISO 27001 to świetny punkt wyjścia i daje około 70–90% pokrycia wymogów NIS2, ale certyfikat nie wystarczy, by spełnić prawo. NIS2 stawia przed organizacjami dodatkowe obowiązki – prawne, proceduralne i czasowe – których nie obejmuje standard ISO. Firmy objęte dyrektywą muszą więc proaktywnie uzupełnić swoje ISMS, przeprowadzając gap assessment, wdrażając brakujące procedury (zwłaszcza raportowanie 24h/72h) oraz angażując najwyższe kierownictwo w nadzór nad cyberbezpieczeństwem.

Jeśli Twoja organizacja jest już certyfikowana na ISO 27001, potraktuj to jako mocny fundament – lecz teraz wykonaj kolejny krok. Nie czekaj na wejście w życie kar, tylko już teraz sprawdź zgodność z NIS2 i wprowadź konieczne usprawnienia. W praktyce oznacza to: przegląd systemu pod kątem wymogów dyrektywy, aktualizację polityk i planów, przeszkolenie zespołu i kadry zarządzającej oraz przygotowanie się na raportowanie incydentów.

NIS2 ma na celu podniesienie ogólnego poziomu cyberbezpieczeństwa – wykorzystaj więc posiadane struktury ISO, aby szybko doszlusować do tych nowych regulacji. Zacznij działać już dziś: przeprowadź audyt zgodności z NIS2, opracuj plan dostosowania i zabezpiecz swoją firmę zarówno od strony technicznej, jak i formalno-prawnej. Tylko takie kompleksowe podejście zapewni pełną zgodność z NIS2 oraz zwiększy odporność organizacji na współczesne cyberzagrożenia. Powodzenia!

Bibliografia

• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32022L2555
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016L1148
• https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32024R2690
• https://www.iso.org/standard/iso-iec-27000-family
• https://www.iso.org/standard/82875.html
• https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance
• https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
• https://advisera.com/articles/nis2-cir-2024-2690-digital-infrastructure-companies/
• https://www.ceeyu.io/resources/blog/is-iso-27001-enough-for-nis-2-compliance
• https://www.pwc.nl/en/insights-and-publications/themes/risk-regulation/new-european-nis2-directive-stricter-requirements-for-cyber-security.html
• https://www.enisa.europa.eu/publications/mapping-of-oes-security-requirements-to-specific-sectors