Jednym z pierwszych pytań, gdy organizacja stwierdzi, że NIS2 ją dotyczy, jest: „co konkretnie musimy przygotować?”. Dyrektywa i ustawa o KSC nie narzucają jednej listy plików do wyprodukowania — wymagają wdrożenia systemu zarządzania bezpieczeństwem. Ale w praktyce ten system opiera się na dokumentach. Poniżej zestawienie, co powinno powstać i dlaczego.
Polityka bezpieczeństwa informacji
To dokument fundacyjny — opisuje, dlaczego organizacja zarządza bezpieczeństwem, jakie są cele, zakres i zasady ogólne. Nie musi być długi. Ważne, żeby był zatwierdzony przez kierownictwo i realnie odzwierciedlał to, co organizacja robi. Dokument czysto formalny, niespójny z praktyką, nie spełnia wymagań.
Analiza ryzyka
NIS2 wymaga systematycznej identyfikacji i oceny ryzyk dla sieci i systemów informatycznych. Analiza powinna obejmować: inwentarz aktywów (systemy, dane, infrastruktura), zidentyfikowane zagrożenia i podatności, ocenę prawdopodobieństwa i skutków oraz decyzje dotyczące postępowania z ryzykiem.
Analiza ryzyka nie jest jednorazowym dokumentem — powinna być aktualizowana co najmniej raz w roku oraz po istotnych zmianach w środowisku IT lub organizacji.
Plan postępowania z ryzykiem
Uzupełnienie analizy: konkretne działania, terminy i osoby odpowiedzialne za redukcję ryzyk. Plan powinien być realny — jeśli zawiera 40 punktów bez priorytetów i właścicieli, jest dokumentem dla audytora, nie narzędziem zarządzania.
Procedury reagowania na incydenty
Organizacja musi mieć udokumentowany sposób wykrywania incydentów, ich klasyfikacji oraz eskalacji. Kluczowe elementy:
- definicja incydentu i jego poziomów (poważny, istotny, krytyczny)
- ścieżka eskalacji — kto jest powiadamiany i kiedy
- obowiązek zgłoszenia do CSIRT — w ciągu 24 godzin wstępne powiadomienie, w ciągu 72 godzin raport
- dokumentacja po incydencie (post-mortem / lessons learned)
Termin 24/72 godzin na zgłoszenie incydentu do właściwego CSIRT (w Polsce: CSIRT NASK, CSIRT GOV lub CSIRT MON zależnie od sektora) to jeden z twardszych wymogów operacyjnych NIS2.
Polityki zarządzania dostępem
Dokumentacja określająca, kto ma dostęp do jakich systemów, na jakiej podstawie i jak dostęp jest przyznawany, modyfikowany i odbierany. Obejmuje to m.in. zasadę least privilege, zarządzanie kontami uprzywilejowanymi (administratorzy, konta serwisowe) oraz procedurę offboardingu pracowników.
Polityka kopii zapasowych i ciągłości działania
Wymagania NIS2 obejmują zarządzanie ciągłością działania, co w praktyce oznacza: udokumentowaną strategię backupu (co, jak często, gdzie przechowywane, jak długo), zdefiniowane cele RTO (Recovery Time Objective) i RPO (Recovery Point Objective) dla krytycznych systemów oraz plan odtworzenia działania po poważnym incydencie.
Dokumentacja bezpieczeństwa łańcucha dostaw
NIS2 wprost wymaga zarządzania ryzykiem dostawców. W praktyce oznacza to:
- rejestr kluczowych dostawców usług IT i ICT
- ocenę ich poziomu bezpieczeństwa (np. przez kwestionariusz lub wymagania umowne)
- klauzule bezpieczeństwa w umowach z dostawcami
Nie trzeba audytować każdego dostawcy — ale organizacja powinna umieć wykazać, że ryzyko dostawcze jest świadomie zarządzane.
Ewidencja szkoleń i świadomości
NIS2 wymaga, aby pracownicy byli świadomi zagrożeń i zasad cyberhigieny. Wystarczy udokumentować: co i kiedy było realizowane, kto uczestniczył. Może to być e-learning, spotkanie z zespołem, newsletter — ważna jest regularność i możliwość potwierdzenia.
Rejestr incydentów
Każdy istotny incydent powinien być odnotowany: data, opis, klasyfikacja, podjęte działania, wynik. Rejestr jest podstawą raportowania do CSIRT i dowodem systematyczności dla ewentualnego audytu nadzorczego.
Ile czasu zajmuje przygotowanie tych dokumentów?
Dla małej lub średniej organizacji, która zaczyna od zera, realny czas to 6–10 tygodni przy zaangażowaniu wewnętrznym i wsparciu zewnętrznym. Dłużej, jeśli organizacja nie ma zinwentaryzowanych systemów i danych — bo wtedy analiza ryzyka poprzedzona jest żmudną pracą odkrywczą.
Warto zacząć od diagnozy: co już istnieje (często jest więcej, niż się wydaje), czego brakuje i co wymaga tylko aktualizacji. To skraca drogę i pozwala skupić wysiłek tam, gdzie naprawdę jest luka.