Strona główna Blog NIS2 a ISO 27001
Standardy

NIS2 a ISO 27001: Jaka jest różnica i czy potrzebujesz obu?

Maj 2026
BALTUM Bureau
6 min czytania

Jeśli Twoja organizacja posiada certyfikat ISO 27001, wykonałeś już poważną pracę w zakresie bezpieczeństwa informacji. Dysponujesz udokumentowanym systemem zarządzania, rejestrem ryzyka, zdefiniowanymi zabezpieczeniami i regularnymi audytami. Gdy zatem NIS2 weszła w życie we wszystkich państwach członkowskich UE, pojawiło się naturalne pytanie: czy naprawdę musimy robić więcej?

Szczera odpowiedź brzmi: tak — ale mniej, niż mogłoby się wydawać. ISO 27001 i NIS2 mają wiele wspólnego, lecz NIS2 wprowadza obowiązki regulacyjne wykraczające poza jakiekolwiek dobrowolne ramy. Dokładne zrozumienie istniejących luk pozwoli Ci skoncentrować wysiłki i zasoby w sposób efektywny.

Co Obejmuje ISO 27001

ISO 27001 to międzynarodowy standard dla Systemów Zarządzania Bezpieczeństwem Informacji (SZBI). W swojej istocie wymaga od organizacji:

  • Zdefiniowania zakresu SZBI i jego kontekstu
  • Przeprowadzania systematycznych ocen ryzyka i wdrażania planów postępowania z ryzykiem
  • Zastosowania zestawu 93 zabezpieczeń z Załącznika A (obejmujących polityki bezpieczeństwa, kontrolę dostępu, kryptografię, bezpieczeństwo fizyczne, zarządzanie incydentami, relacje z dostawcami i inne)
  • Utrzymywania udokumentowanych dowodów i przeprowadzania audytów wewnętrznych
  • Prowadzenia przeglądów zarządczych i wykazywania ciągłego doskonalenia

Przy prawidłowym wdrożeniu ISO 27001 tworzy dojrzały, oparty na ryzyku program bezpieczeństwa. Jest to dokładnie ten rodzaj fundamentu, którego NIS2 oczekuje. W rzeczywistości Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) uznała ISO 27001 za użyteczny punkt odniesienia dla zgodności z NIS2.

Co NIS2 Dodaje Ponad ISO 27001

NIS2 (Dyrektywa UE 2022/2555) nie jest dobrowolnym standardem — jest wiążącym prawem UE. Wprowadza obowiązki, których żadne ramy certyfikacyjne, niezależnie od ich rygorystyczności, nie mogą zastąpić. Kluczowe uzupełnienia obejmują:

Odpowiedzialność Kierownictwa

NIS2 nakłada na najwyższe kierownictwo osobistą odpowiedzialność za poziom cyberbezpieczeństwa organizacji. Organy zarządzające mogą ponosić osobistą odpowiedzialność za poważne zaniedbania, w tym czasowe zakazy pełnienia funkcji kierowniczych. ISO 27001 zachęca do „zaangażowania najwyższego kierownictwa", ale nie nakłada żadnych osobistych konsekwencji prawnych.

Obowiązkowe Terminy Zgłaszania Incydentów

NIS2 wymaga od objętych nią podmiotów zgłaszania poważnych incydentów właściwemu organowi krajowemu (VOK) w ciągu 24 godzin (wczesne ostrzeżenie) i 72 godzin (pełne powiadomienie o incydencie). Sprawozdanie końcowe należy złożyć w ciągu jednego miesiąca. Zabezpieczenia zarządzania incydentami w ISO 27001 są zorientowane procesowo — nie nakładają konkretnych terminów zgłaszania do organów regulacyjnych.

Wymagania Sektorowe

NIS2 organizuje obowiązki według sektorów (energia, transport, zdrowie, infrastruktura cyfrowa itp.) i rozróżnia Podmioty Kluczowe i Ważne, stosując różne poziomy kar i intensywność nadzoru. ISO 27001 jest neutralny sektorowo.

Bezpieczeństwo Łańcucha Dostaw

Choć Załącznik A do ISO 27001 zawiera zabezpieczenia dotyczące dostawców, Artykuł 21 NIS2 wymaga bardziej kompleksowego podejścia do ryzyka łańcucha dostaw — w tym oceny praktyk bezpieczeństwa bezpośrednich dostawców i ich poddostawców, z udokumentowanymi dowodami.

75–80%

technicznych i organizacyjnych zabezpieczeń NIS2 jest już pokrytych przez dobrze wdrożony SZBI ISO 27001

Pokrywanie się: Gdzie ISO 27001 Już Pomaga

Dobra wiadomość dla organizacji posiadających certyfikat ISO 27001 jest znacząca. Badania i praktyczne doświadczenie sugerują, że 75–80% zabezpieczeń wymaganych przez Artykuł 21 NIS2 jest już uwzględnionych przez dobrze wdrożony SZBI. Obejmuje to:

  • Procesy zarządzania ryzykiem i oceny ryzyka
  • Kontrolę dostępu i zarządzanie tożsamością
  • Polityki kryptografii i szyfrowania
  • Procedury reagowania na incydenty i ich obsługi
  • Zarządzanie aktywami i ich klasyfikację
  • Zarządzanie podatnościami i zarządzanie poprawkami
  • Bezpieczeństwo fizyczne i środowiskowe
  • Bezpieczeństwo zasobów ludzkich i szkolenia uświadamiające
  • Planowanie ciągłości działania i odtwarzania po awarii
  • Zarządzanie ryzykiem dostawców i stron trzecich (podstawowe)
Podsumowanie dotyczące pokrywania się: Jeśli posiadasz certyfikat ISO 27001, a Twój SZBI jest rzeczywiście dojrzały (nie tylko formalny), jesteś w dobrej pozycji. Ukierunkowana ocena luk NIS2 wskaże dokładnie, co pozostaje do zrobienia — i zazwyczaj wymaga to znacznie mniej wysiłku niż zaczynanie od zera.

Co Nadal Musisz Zrobić — Nawet Mając ISO 27001

Certyfikat ISO 27001 nie zwalnia z obowiązku zgodności z NIS2. Poza wypełnieniem ewentualnych luk w zabezpieczeniach technicznych, organizacje objęte dyrektywą muszą zająć się:

Formalną Rejestracją w Ramach NIS2

W zależności od państwa(-w) członkowskiego(-ich) UE, w którym działasz, możesz być zobowiązany do formalnej rejestracji w Właściwym Organie Krajowym (VOK). Rejestracja ta jest obowiązkiem prawnym odrębnym od jakiejkolwiek certyfikacji.

Procedury Zgłaszania Incydentów Organom Regulacyjnym

Istniejące procedury reagowania na incydenty zgodne z ISO 27001 muszą zostać zaktualizowane, aby uwzględniały łańcuch zgłaszania specyficzny dla NIS2: kto powiadamia VOK, jakie informacje są zawarte i w jakich terminach. Jest to luka proceduralna, którą niewiele wdrożeń ISO 27001 uwzględnia.

Świadomość i Szkolenie Kierownictwa

NIS2 wyraźnie wymaga, aby organy zarządzające zatwierdzały i przyjmowały odpowiedzialność za środki cyberbezpieczeństwa organizacji. Oznacza to, że najwyższe kierownictwo potrzebuje ustrukturyzowanego szkolenia z zakresu obowiązków wynikających z NIS2 — nie tylko uświadamiania, ale udokumentowanego zrozumienia i formalnego zatwierdzenia.

Dokumentowanie Dowodów Zgodności

W przeciwieństwie do ISO 27001, który jest audytowany przez jednostkę certyfikującą, zgodność z NIS2 jest nadzorowana przez krajowe organy regulacyjne, które mogą zażądać dowodów w dowolnym momencie. Dokumentacja i poziom zgodności muszą być gotowe na potrzeby regulacyjne, a nie tylko audytowe.

Wnioski: Solidny Fundament — z Konkretnymi Lukami

ISO 27001 jest naprawdę wartościowy dla zgodności z NIS2 — to nie jest kwestia „miło mieć", to istotny akcelerator. Organizacje z dojrzałym SZBI znajdą zgodność z NIS2 osiągalną dzięki skoncentrowanym, ukierunkowanym wysiłkom, a nie kompletnej przebudowie.

Jednak kluczowym słowem jest „ukierunkowany". Istniejące luki — odpowiedzialność kierownictwa, zgłaszanie incydentów w ciągu 24/72h, rejestracja w VOK i wymagania sektorowe — nie są trywialne. Wymagają konkretnych zmian proceduralnych i zaangażowania kierownictwa.

Najbardziej efektywną ścieżką naprzód jest ustrukturyzowana ocena luk NIS2, która mapuje istniejące zabezpieczenia ISO 27001 względem wymagań Artykułu 21 NIS2 i precyzyjnie wskazuje, co należy dodać, zaktualizować lub sformalizować.

Poznaj Swoje Dokładne Luki

BALTUM Bureau oferuje ustrukturyzowane oceny luk NIS2 dla organizacji posiadających certyfikat ISO 27001. Mapujemy Twoje istniejące zabezpieczenia względem wymagań NIS2 i dostarczamy jasny, priorytetyzowany plan działania — bez zbędnych treści, tylko wyniki.

Skontaktuj się z BALTUM Bureau w sprawie Oceny Luk
Powrót do Bloga 5 Kroków do Zgodności z NIS2