Cybersec Update: Czy wdrożenie norm ISO powoduje, że firma będzie spełniała wymagania z NIS2/KSC2?
Wiele firm, które posiadają certyfikaty ISO 27001 i 22301, żyje w przekonaniu, że są już gotowe na NIS2. To niebezpieczne złudzenie, które może kosztować nie tylko wysokie kary, ale również odpowiedzialność zarządu. Przedstawiamy, co się zmieniło w projekcie ustawy i dlaczego samo ISO to za mało.
ISO 27001 a NIS2 – co się stało z przepisem o zwolnieniu?
W kwietniu 2024 roku, w pierwszej wersji projektu ustawy wdrażającej NIS2, pojawił się zapis, który mógł znacząco ułatwić życie wielu organizacjom. Przepis ten stanowił wprost, że wymóg wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI/ISMS) uznaje się za spełniony, jeżeli posiadany przez organizację SZBI jest zgodny z Polską Normą PN-EN ISO/IEC 27001 (dot. bezpieczeństwa informacji) oraz PN-EN ISO/IEC 22301 (dot. ciągłości działania).
Jednak od tego czasu żadna z kolejnych wersji projektu, włącznie z ostatnią, zatwierdzoną przez rząd 21.10.2025, nie zawierała już takiego przepisu. Czyli nie będzie podstawy prawnej do zwolnienia z wdrożenia NIS2 tych podmiotów, które mają certyfikaty zgodności ze wspomnianymi normami ISO.
Krótka odpowiedź brzmi więc: zdecydowanie nie, ale może pomóc.
Dlaczego posiadanie ISO 27001 i 22301 może pomóc?
Wspomniane normy tworzą pewien szkielet wymagań dla SZBI, które co do założeń, a nawet poszczególnych konkretnych rozwiązań, są zbieżne z normami NIS2/KSC2. Oba systemy bazują na szacowaniu ryzyka (risk based approach), oba też wymagają posiadania m.in. polityki bezpieczeństwa informacji, odpowiednich polityk tematycznych, planów ciągłości działania i innych zabezpieczeń na wypadek utraty danych lub dostępu do nich (np. wskutek ataku ransomware).
Czego nie obejmują normy ISO w kontekście NIS2/KSC2?
Te podobieństwa nie są jednak wystarczające do zapewnienia zgodności z nowymi regulacjami. NIS2/KSC2 zawiera też szereg wymagań, które nie są ujęte we wspomnianych normach ISO. Są to m.in.:
- wymagania co do raportowania incydentów cyberbezpieczeństwa – ustawodawca definiuje i kategoryzuje rodzaje incydentów bezpieczeństwa oraz podaje konkretne ramy czasowe i inne obowiązki co do sposobu raportowania;
- wymagania co do roli i odpowiedzialności kierownictwa organizacji (w spółkach kapitałowych będzie to zarząd) – nowe przepisy mocno akcentują obowiązki kierownictwa, a także sankcje za ich niedopełnienie;
- konkretne ramy czasowe dla przeprowadzania audytów bezpieczeństwa i szkoleń;
- obowiązki rejestracji i aktualizowania danych w wykazie podmiotów ważnych i kluczowych;
- obowiązki co do współpracy z innymi podmiotami krajowego systemu cyberbezpieczeństwa – właściwymi CSIRT, organami nadzoru i innymi podmiotami ważnymi oraz kluczowymi.
Co należy zrobić, jeśli masz ISO, a musisz wdrożyć NIS2?
W rezultacie, nawet jeśli ma się wdrożone normy ISO 27001 i 22301, należy w terminach przewidzianych w ustawie podjąć odpowiednie działania celem weryfikacji spełnienia wymogów NIS2/KSC2 oraz wdrożyć właściwe środki.
A co konkretnie i kiedy należy zrobić – zapraszamy na kolejną odsłonę cyklu.
