X

O Nas

Kontakt

  • +48 12 210 02 82
  • biuro@devology.pl
    Jak przygotować organizację na NIS2? Technologia to dopiero początek.

    Dyrektywa NIS2 znacząco podnosi poprzeczkę w zakresie cyberbezpieczeństwa dla podmiotów kluczowych i ważnych w całej Unii Europejskiej. Obejmuje nie tylko operatorów infrastruktury krytycznej, ale też szereg firm z sektorów takich jak energetyka, transport, zdrowie, IT, produkcja czy usługi cyfrowe.

    I bardzo dobrze.

    Przez lata cyberbezpieczeństwo było w wielu organizacjach traktowane jak koszt, który „może kiedyś się przyda”. Albo jak temat, który odkłada się do czasu pierwszego poważnego incydentu. NIS2 kończy tę epokę. Zarządy przestają mieć wybór.

    Ale jest też druga strona medalu.

    Dyrektywa mówi co należy osiągnąć. Znacznie rzadziej mówi jak. Brakuje konkretnych przykładów, technicznych scenariuszy i takiego poziomu szczegółowości, który pozwala CIO czy CTO wziąć checklistę i wdrożyć gotowe rozwiązania.

    Dlatego poniżej pokazujemy nie teorię, a fundamenty, które realnie działają w infrastrukturze. To obszary, które w praktyce budują odporność organizacji. I przy okazji pozwalają spokojniej spać podczas audytu.

    Spis treści

    1. Mikrosegmentacja sieci: koniec z „otwartą autostradą”

    Jednym z kluczowych wymagań NIS2 jest wdrożenie środków technicznych ograniczających ryzyko rozprzestrzeniania się incydentów. W praktyce oznacza to koniec z siecią, w której po włamaniu atakujący może poruszać się niemal bez ograniczeń.

    Mikrosegmentacja to:

    • brak ogólnych reguł typu „cała podsieć → cały serwer”,
    • polityki definiowane w modelu: host źródłowy → host docelowy:port,
    • restrykcyjny dostęp administracyjny (SSH, RDP) wyłącznie z wyznaczonych stanowisk,
    • pełne uzasadnienie biznesowe dla każdej reguły.

    Im bardziej granularne i świadomie zaprojektowane reguły, tym mniejsza powierzchnia ataku.

    Z naszego doświadczenia: w większości firm firewall zawiera reguły, których nikt nie analizował od 5–10 lat. NIS2 wymusza coś bardzo zdrowego: regularny przegląd i czyszczenie polityk bezpieczeństwa. To nie jest nadgorliwość. To higiena.

    ilustracja przedstawiająca koncepcje składowych na bezpieczeństwo IT

    2. Firewall NGFW przestaje być tylko murem

    Nowoczesny firewall klasy NGFW to dziś coś znacznie więcej niż bariera perymetryczna. Dobrze skonfigurowane rozwiązanie powinno oferować IPS/IDS, kontrolę aplikacji, filtrowanie URL, inspekcję ruchu szyfrowanego (SSL/TLS) oraz integrację z systemami tożsamości.

    W kontekście NIS2 firewall staje się elementem aktywnej detekcji zagrożeń.

    I tu pojawia się ważna rzecz: samo posiadanie urządzenia klasy NGFW nie oznacza zgodności z dyrektywą. Liczy się konfiguracja, monitoring, reagowanie. To różnica między „mamy sprzęt” a „mamy realną kontrolę”.

    3. Backup offsite – bo ransomware nie pyta o zgodę

    NIS2 wymaga zapewnienia ciągłości działania oraz zdolności odtworzeniowych. Backup przechowywany wyłącznie w tej samej serwerowni to iluzja bezpieczeństwa.

    Dobre praktyki obejmują:

    • kopie w lokalizacji geograficznie odseparowanej (offsite),
    • odpowiednią retencję,
    • mechanizmy immutable (ochrona przed modyfikacją),
    • regularne testy odtworzeniowe.

    I tutaj dochodzimy do jednego z największych mitów IT: „backup działa, bo nie pokazuje błędów”. Test odtworzeniowy to jedyny dowód, że organizacja naprawdę odzyska dane po incydencie. Podczas audytów to właśnie brak testów wychodzi najczęściej.

    NIS2 nie mówi dokładnie, jak testować. Ale odpowiedzialność za skuteczność wskazuje jednoznacznie.

    4. IAM, SSO, MFA – koniec z kontami „admin/admin”

    Rozproszone konta lokalne w systemach to koszmar zarówno audytowy, jak i bezpieczeństwa. Minimalny standard, który dziś powinien być normą, to: centralne zarządzanie użytkownikami (Active Directory / LDAP), SSO, obowiązkowe MFA, natychmiastowa dezaktywacja kont przy zmianie roli lub odejściu pracownika i absolutny zakaz kont współdzielonych.

    NIS2 mocno akcentuje rozliczalność działań. Jeśli nie wiesz, kto wykonał operację w systemie – masz problem.

    5. Centralne logowanie i monitoring.

    Dyrektywa wymaga zdolności wykrywania i reagowania na incydenty. To oznacza centralny system zbierania logów (SIEM lub rozwiązanie równoważne), integrację kluczowych systemów, monitoring w czasie rzeczywistym i formalne ścieżki eskalacji.

    Rozproszone logi na serwerach to nie monitoring. To archiwum, do którego zagląda się po fakcie.

    NIS2 nie mówi, że musisz mieć konkretny produkt. Ale jasno mówi, że masz być w stanie wykryć incydent i go zgłosić. Bez centralnej korelacji zdarzeń jest to po prostu nierealne.

    6. Technologia to za mało – zarząd też jest w grze

    Jedna z największych zmian, jakie wprowadza NIS2, dotyczy odpowiedzialności kadry zarządzającej. Bez analizy ryzyka IT, rejestru aktywów, klasyfikacji danych, formalnej polityki bezpieczeństwa i procedur reagowania na incydenty – nie ma mowy o zgodności.

    Co więcej: zarząd nie może już powiedzieć „to sprawa działu IT”.

    I to uważamy za jedną z najlepszych rzeczy, jakie wnosi NIS2. Cyberbezpieczeństwo przestaje być technicznym detalem. Staje się elementem odpowiedzialności biznesowej.

    ilostracja przedstawiająca koncepcje budowy cyberbezpieczeństwa w infrastrukturze

    NIS2 było potrzebne. Ale to dopiero początek.

    Uważamy, że NIS2 to krok w dobrą stronę. Zbyt wiele kluczowych organizacji traktowało podstawowe zasady cyberbezpieczeństwa jako opcjonalne.

    Jednocześnie dyrektywa jest napisana na wysokim poziomie ogólności. To oznacza, że łatwo popaść w nadinterpretację, łatwo zrobić za mało, a najłatwiej stworzyć „papierową zgodność”. Dyrektywa mówi: „wdrożenie odpowiednich środków technicznych i organizacyjnych”. Nie mówi: „ustaw firewall tak, segmentuj sieć tak, testuj backup co kwartał”.

    I właśnie w tej przestrzeni powstaje największe ryzyko chaosu. Zgodność z NIS2 nie polega na zakupie jednego rozwiązania ani wypełnieniu checklisty. To proces budowania dojrzałości bezpieczeństwa.

    Poniżej pokazujemy, jak do tego podejść  wraz z realnymi scenariuszami incydentów, które ilustrują, co się dzieje, gdy fundamentów brakuje.

    Scenariusz 1: Ransomware w sieci bez segmentacji

    Organizacja niedojrzała

    Pracownik otwiera zainfekowany załącznik. Malware uzyskuje dostęp do stacji roboczej. Brak mikrosegmentacji sprawia, że atakujący przemieszcza się lateralnie, skanuje sieć, dociera do serwera plików, a następnie do kontrolera domeny. W ciągu kilku godzin zaszyfrowana jest większość infrastruktury.

    Efekt: przestój operacyjny, brak dostępu do systemów, negocjacje pod presją czasu i obowiązek raportowania incydentu zgodnie z NIS2.

    Organizacja dojrzała

    Mikrosegmentacja ogranicza ruch. Dostęp administracyjny możliwy tylko z dedykowanych stacji. IPS wykrywa podejrzaną aktywność. SIEM generuje alert. Backup offsite umożliwia odtworzenie środowiska.

    Incydent nadal jest poważny. Ale nie jest egzystencjalną katastrofą.

    Scenariusz 2: Konto administratora bez MFA

    Organizacja niedojrzała

    Administrator używa tego samego hasła w kilku systemach. Brak MFA. Dochodzi do wycieku danych uwierzytelniających. Atakujący loguje się legalnie i z perspektywy systemów wszystko wygląda normalnie. Brak centralnego monitoringu powoduje, że incydent wykrywany jest po tygodniach. W międzyczasie wyciekają dane, tworzone są nowe konta, modyfikowane są konfiguracje.

    Organizacja dojrzała

    Obowiązkowe MFA. Dostęp uprzywilejowany monitorowany. Centralny system logów wykrywa nietypową lokalizację logowania. Konto zostaje zablokowane.

    Różnica? Nie w technologii. W standardzie jej stosowania.

    Scenariusz 3: Backup, który „miał działać”

    Organizacja niedojrzała

    Backup wykonywany lokalnie, bez testów odtworzeniowych. Ransomware szyfruje również repozytorium kopii. Próba przywrócenia kończy się błędem. Okazuje się, że ostatnia kompletna kopia ma 3 miesiące, a czas odtworzenia przekracza akceptowalny poziom biznesowy.

    To moment, w którym zaczyna się prawdziwy kryzys.

    Organizacja dojrzała

    Backup offsite z mechanizmami immutable. Testy odtworzeniowe co kwartał. Jasno zdefiniowane RPO i RTO. Odtworzenie całej infrastruktury trwa 24–48 godzin. Organizacja ponosi straty, ale przetrwa.

    Strategiczna samoocena gotowości na NIS2

    Jeżeli jesteś członkiem zarządu lub odpowiadasz za obszar strategiczny, odpowiedz uczciwie na poniższe pytania:

    1. Czy znamy nasze kluczowe aktywa i systemy?
    2. Czy mamy aktualną analizę ryzyka IT?
    3. Czy wiemy, które dane są krytyczne dla ciągłości działania?
    4. Czy posiadamy formalny plan reagowania na incydenty?
    5. Czy przeprowadzaliśmy symulację incydentu w ostatnich 12 miesiącach?
    6. Czy backup był testowany w kontrolowanym scenariuszu?
    7. Czy wszystkie konta uprzywilejowane są objęte MFA?
    8. Czy mamy centralny monitoring zdarzeń bezpieczeństwa?
    9. Czy wiemy, ile czasu zajmie pełne odtworzenie kluczowych systemów?
    10. Czy zarząd otrzymuje cykliczne raporty dotyczące cyberbezpieczeństwa?
    11. Czy analizujemy ryzyko związane z dostawcami?
    12. Czy jesteśmy gotowi zgłosić incydent w wymaganym czasie?

    Jeżeli na kilka z tych pytań odpowiedź brzmi „nie wiem”, to już jest sygnał ostrzegawczy.

    Zgodność to efekt uboczny dobrze zaprojektowanej infrastruktury

    Organizacje, które segmentują sieć, kontrolują dostęp, testują backup, monitorują środowisko, zarządzają ryzykiem i angażują zarząd  nie tylko spełniają wymagania NIS2 ale realnie ograniczają ryzyko przestoju, wycieku danych i kosztownych incydentów.

    I dokładnie tak powinno się na to patrzeć.

    NIS2 to nie projekt regulacyjny. To projekt odporności organizacji.

    Kontakt

    Biuro:
    ul.Dworska 117
    32-051 Ochodza

    Dział obsługi klienta:
    +48 12 210 02 82

    Email:
    biuro@devology.pl

    NIP: 9442294894
    REGON: 541794350

    Najnowsze wpisy

    zdjęcie przedstawiające mężczyzne pracującego nad cyberbezpieczeństwem - NIS2

    Jak przygotować organizację na NIS2? Technologia to

    25 lutego, 2026

    Co to jest Konteneryzacja

    25 lutego, 2026

    Copyright ©DEVOLOGY all rights reserved.

    Devology
    Polityka prywatności

    Ta strona korzysta z ciasteczek oraz skryptów analitycznych, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne. Aby zapoznać się z naszą polityką prywatności, kliknij tutaj.