Spis treści:
- Co określa norma?
- Rosnąca presja regulacyjna
- Raportowanie incydentów
- Na celowniku cyberprzestępców
- Stary problem w nowej skali
- Systemowe zarządzanie bezpieczeństwem informacji
- Uporządkowanie odpowiedzialności i procesów
- Największe bariery
- Na co nie ma gwarancji?
- Budowanie świadomości
- Tarcza czy ozdoba?
Norma ISO 27001 w urzędach zaczyna być coraz częściej brana na poważnie, ale rzadko wynika z własnej woli kierownictwa. Ta zmiana podejścia wymuszona jest bowiem dyrektywą NIS 2, która od stycznia 2026 r. obowiązuje w polskim porządku prawnym.
Jeszcze pięć lat temu na pytanie o ISO 27001 w urzędzie większość pracujących tam informatyków odpowiadała, że „to temat dla banków i dużych korporacji”. Dziś sytuacja wygląda zgoła inaczej. CERT Polska zarejestrował w 2025 r. ponad 273 tys. potwierdzonych incydentów cyberbezpieczeństwa, co oznacza wzrost o ponad 144%, licząc rok do roku. Administracja publiczna w Polsce, według raportu ENISA Threat Landscape 2025, znalazła się w pierwszej piątce najczęściej atakowanych organizacji samorządowych w Unii Europejskiej i odpowiada za około 15% incydentów w tej kategorii. Trudno w takich warunkach traktować normę, która od dwudziestu lat porządkuje obszar bezpieczeństwa informacji, jako rzecz drugorzędną.
Jednakże doświadczenie wielu jednostek pokazuje, że sam certyfikat to za mało. Najwyższa Izba Kontroli (dalej: NIK) w kontrolach z 2025 r. wykazała, że aż 71% skontrolowanych jednostek samorządu terytorialnego miało krytyczne luki w bezpieczeństwie, w tym brak izolowanych kopii zapasowych, brak centralnego zarządzania bezpieczeństwem informacji czy nieaktualne oprogramowanie. Część z tych podmiotów miała wcześniej wdrożone elementy normy lub powoływała się na nią w dokumentacji. Co zatem poszło nie tak i czy ISO 27001 ma w ogóle sens w realiach polskiej administracji?
Co określa norma?
ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla Systemu Zarządzania Bezpieczeństwem Informacji (dalej: SZBI). W odróżnieniu od wytycznych, które dotyczą technicznych aspektów cyberbezpieczeństwa, nie mówi ona, jaki firewall kupić ani ile znaków powinno liczyć hasło. Definiuje natomiast ramy, w których organizacja sama identyfikuje swoje aktywa informacyjne, ocenia zagrożenia i podatności, a następnie dobiera adekwatne do nich zabezpieczenia organizacyjne, fizyczne oraz techniczne. Aktualne wydanie z 2022 r. zawiera 93 zabezpieczenia pogrupowane w czterech kategoriach: organizacyjnej, pracowniczej, fizycznej i technicznej.
Aspektem tej normy, który często umyka uwadze, jest jej podejście procesowe. ISO 27001 nie jest listą kontrolną do odhaczenia w trakcie audytu, lecz cyklem planowania, wdrażania, mierzenia skuteczności oraz korygowania procesów i zabezpieczeń. Dlatego norma ta dotyczy ochrony nie tyle systemów informatycznych, ile sposobów, w jaki nimi zarządzamy. To różnica fundamentalna, bo pozwala dostosować ją do realnie występujących zagrożeń, a te w urzędzie miasta, w ZUS-ie i w ministerstwie wyglądają zupełnie inaczej.
Norma jest dobrowolna, ale – i to należy podkreślić – jednocześnie najszerzej rozpoznawalna w sektorze publicznym. Z tego powodu staje się językiem, którym jednostki publiczne porozumiewają się z dostawcami, audytorami i regulatorem. Jej znaczenie rośnie też dlatego, że kolejne polskie i unijne akty prawne posługują się jej terminologią i mechanizmami jako punktem odniesienia.
Rosnąca presja regulacyjna
Mapa wymagań prawnych dotyczących bezpieczeństwa informacji w administracji publicznej w ostatnich dwóch latach radykalnie się skomplikowała. Punktem odniesienia pozostaje rozporządzenie w sprawie Krajowych Ram Interoperacyjności (dalej: KRI), nakazujące podmiotom realizującym zadania publiczne stosowanie polityki bezpieczeństwa, bazującej w dużej mierze na dorobku rodziny norm ISO 27000. Do tego dochodzi rodo z obowiązkami w obszarze ochrony danych osobowych oraz ustawa o krajowym systemie cyberbezpieczeństwa (dalej: uoksc), która za sprawą nowelizacji wdrażającej dyrektywę NIS 2 objęła setki nowych podmiotów.
Sama dyrektywa NIS 2 zalicza administrację publiczną do podmiotów kluczowych, czyli tych objętych najsurowszym rygorem. Wymaga ona m.in. udokumentowanego zarządzania ryzykiem, formalnych procesów obsługi incydentów, kontroli nad bezpieczeństwem łańcucha dostaw IT, a także raportowania zdarzeń do CSIRT-ów w ściśle określonych terminach (24 godziny na zgłoszenie wstępne, 72 godziny na ocenę, 30 dni na sprawozdanie końcowe). Każdy z tych obowiązków znajduje swoje odzwierciedlenie w konkretnych klauzulach normy ISO/IEC 27001:2022 – ocenie ryzyka (klauzule 6.1.2 i 6.1.3), zarządzaniu incydentami (zabezpieczenie 5.24 z Aneksu A), bezpieczeństwie relacji z dostawcami (zabezpieczenia 5.19–5.22) czy gotowości ICT do kontynuacji działalności (5.30).
Dlatego w wielu opracowaniach branżowych normę 27001 traktuje się dziś jako „warstwę organizacyjną”, metodę spięcia różnych obowiązków prawnych w jeden spójny system. Certyfikat ISO 27001 nie zwalnia automatycznie z odpowiedzialności za zgodność z NIS 2 czy KRI, ale dostarcza gotowej struktury, do której można podłączyć wymagania szczegółowe. Z perspektywy urzędu oznacza to oszczędność nieraz wielu miesięcy pracy. Z perspektywy organu nadzorującego przekłada się to na prostszą weryfikację, czy podmiot rzeczywiście ma uporządkowane procesy, czy tylko zbiór odrębnych dokumentów.
Trzeba dodać, że równolegle do NIS 2 w różnych obszarach wdrażane są kolejne regulacje pozostające w mniejszym lub większym związku z działalnością jednostek publicznych. Chodzi tu o rozporządzenie DORA dla sektora finansowego, AI Act z wymogami oceny ryzyka systemów sztucznej inteligencji, a także Cyber Resilience Act dotyczący produktów z elementami cyfrowymi. Wszystkie one wpisują się w ten sam paradygmat mierzalnego, audytowalnego zarządzania ryzykiem. Norma 27001 jest tu naturalnym fundamentem.
Raportowanie incydentów
Przed wejściem w życie znowelizowanej uoksc obowiązek zgłaszania incydentów był dla wielu jednostek samorządowych de facto martwy. Brak narzędzi do wykrywania zdarzeń, niejasna odpowiedzialność i przekonanie, że „nas to nie dotyczy” skutecznie hamowały działania. Po objęciu administracji publicznej reżimem NIS 2 sytuacja zasadniczo się zmieniła. Termin wstępnego zgłoszenia liczy się teraz w godzinach, a nie tygodniach, a kierownictwo podmiotu odpowiada osobiście za realizację obowiązków.
Oznacza to, że urząd musi mieć nie tylko procedurę obsługi incydentów, ale także mechanizmy ich detekcji – logowanie, monitoring, zdolność korelowania zdarzeń i klasyfikacji ich pod kątem dotkliwości. To dokładnie te wymagania, które od dawna opisuje norma 27001 w klauzuli 8 (operacyjność) i w zabezpieczeniach z Aneksu A. Bez nich raportowanie do CSIRT-u sektorowego staje się fikcją. Zgłoszenie wpływa za późno albo nie wpływa wcale, bo nikt w organizacji o zdarzeniu nawet nie wie.
Inny efekt nowych regulacji to przesunięcie ciężaru z działań doraźnych w stronę ciągłego zarządzania ryzykiem. Wcześniej obsługa incydentu była najczęściej projektem awaryjnym. Ktoś z działu IT zostawiał bieżące zadania, gasił pożar, po czym wszyscy wracali do normalnej pracy. NIS 2 i ISO 27001 wymagają myślenia w kategoriach cyklu. Po każdym zdarzeniu następuje analiza przyczyn źródłowych, wnioski wracają do oceny ryzyka, ryzyko aktualizuje plany zabezpieczeń. Bez tego sprzężenia zwrotnego organizacja chronicznie popełnia te same błędy, tylko każda kolejna odsłona kosztuje więcej.
Na celowniku cyberprzestępców
Raport ENISA Threat Landscape 2025 nie pozostawia złudzeń – administracja publiczna, obok transportu, jest dziś jednym z najczęściej obieranych przez hakerów celów. Polska sytuuje się w czołówce ze względu na współczesne uwarunkowania geopolityczne. Prorosyjskie grupy, wspierane lub inspirowane przez służby Federacji Rosyjskiej, prowadzą wzmożoną kampanię ataków DDoS na strony rządowe, samorządowe i wojskowe. Falowo eskalują one wraz z wydarzeniami politycznymi, ogłoszeniem nowych pakietów pomocy dla Ukrainy, decyzjami NATO czy debatami w Sejmie.
DDoS, mimo medialnego rozgłosu, najczęściej powoduje ograniczone szkody operacyjne, strona urzędu jest niedostępna przez kilka godzin, ale wewnętrzne systemy działają normalnie. Inaczej mają się sprawy z atakami ransomware. Tylko w 2025 r. CERT Polska obsłużył 30 zgłoszeń tego rodzaju ataków w podmiotach publicznych, z czego połowa dotyczyła samorządów. Skutki bywają dotkliwe. Niektóre urzędy musiały na kilka tygodni przejść na „obsługę papierową”, wstrzymano wydawanie dokumentów, sparaliżowana została obsługa interesantów. Najgłośniejsze ostatnie incydenty dotknęły m.in. Urząd Gminy Obrazów i Urząd Miasta Myszków, gdzie napastnicy nie tylko zaszyfrowali dane, ale grozili ich publikacją.
Trzecim wektorem, ilościowo dominującym, jest phishing. ENISA szacuje, że odpowiada on dziś za blisko 60% incydentów inicjujących, tzn. takich, które otwierają napastnikom drogę do dalszej akcji w sieci. Co istotne, ponad 80% kampanii phishingowych wspieranych jest narzędziami sztucznej inteligencji. Wiadomości są dziś napisane bez błędów językowych, dostosowane do kontekstu organizacji (wykorzystują nazwiska przełożonych, daty rzeczywistych spotkań, wewnętrzną nomenklaturę), a deepfaki potrafią podszywać się pod głos czy obraz współpracownika.
Skalę zjawiska oddają również liczby z polskiego sprawozdania pełnomocnika rządu do spraw cyberbezpieczeństwa za 2025 r. Zespoły CSIRT odnotowały w nim ponad 682 tys. zgłoszeń i blisko 273 tys. potwierdzonych incydentów. Sama administracja publiczna zgłosiła w ubiegłym roku 5111 zdarzeń, co oznacza prawie połowiczny przyrost rok do roku. Liczby te pokazują, że w dyskusji o ISO 27001 nie chodzi o zgodność z papierami, lecz o odporność podstawowych usług państwa.
Stary problem w nowej skali
W praktyce dochodzi do paradoksalnej sytuacji, w której jednostka może mieć imponująco rozbudowaną dokumentację polityki bezpieczeństwa informacji, a w rzeczywistości stosować wspólne hasła w pokoju, trzymać backupy na tym samym serwerze co dane produkcyjne i nie mieć jakiegokolwiek monitoringu zdarzeń w sieci. To zjawisko często określa się mianem „papierowego bezpieczeństwa”, czyli procedur, które istnieją wyłącznie po to, by przejść audyt lub spełnić wymóg formalny w przetargu.
Certyfikację traktuje się wówczas jako jednorazowy projekt – zewnętrzny konsultant przygotowuje pakiet polityk i procedur, organizacja przechodzi audyt drugiej strony, a o normie zapomina się do następnego audytu. Skuteczna realizacja ISO 27001 wymaga ciągłej pracy operacyjnej, przeglądów ryzyka przeprowadzanych co najmniej raz w roku, audytów wewnętrznych, monitorowania zabezpieczeń i okresowych przeglądów zarządzania. Bez tego dokumentacja po kilkunastu miesiącach zaczyna rozmijać się z rzeczywistością.
Zaplecze, w którym miałaby się ta praca odbywać, jest w wielu jednostkach symboliczne. Z badań ENISA „NIS Investments 2024” wynika, że organizacje objęte zakresem dyrektywy NIS 2 przeznaczają średnio 9% budżetów IT na bezpieczeństwo informacji. W polskim sektorze publicznym wskaźnik ten często nie zbliża się do średniej. Jednocześnie udział etatów przeznaczonych cyberbezpieczeństwu w ogólnej liczbie pracowników IT spada od kilku lat. Jeden informatyk obsługujący jednocześnie systemy biurowe, sieci, drukarki, monitoring i sterowniki przemysłowe to obraz znany niemal z każdej gminy.
Do tego dochodzi kultura organizacyjna. W urzędzie, w którym sekretarz nie postrzega cyberbezpieczeństwa jako swojej odpowiedzialności, polityki SZBI są w naturalny sposób spychane do działu IT. Według ISO 27001 natomiast bezpieczeństwo informacji to obowiązek najwyższego kierownictwa. Bez przesunięcia odpowiedzialności na poziom dyrektora generalnego, prezydenta miasta czy wójta nawet najlepiej napisana polityka pozostanie martwym dokumentem.
Systemowe zarządzanie bezpieczeństwem informacji
Pierwsza i najważniejsza zmiana, którą wnosi norma, polega na przejściu od działań punktowych do modelu systemowego. Jednostka publiczna przestaje reagować na incydenty i obowiązki w trybie projektowym, np. zamawiamy firewall, robimy szkolenie z rodo, kupujemy backup. Zamiast tego buduje system zarządzania bezpieczeństwem informacji, w którym wszystkie te elementy stają się składowymi spójnej całości, zbudowanej wokół oceny ryzyka.
SZBI obejmuje co najmniej kilka obszarów decydujących o odporności urzędu. Należą do nich zarządzanie ryzykiem (regularna identyfikacja aktywów, ocena podatności, klasyfikacja ryzyka i wybór adekwatnych zabezpieczeń), zarządzanie incydentami (wykrywanie, klasyfikacja, reakcja, raportowanie, analizy poincydentalne), zarządzanie ciągłością działania (plany ciągłości działania, scenariusze awaryjne, testy odtworzeniowe), zarządzanie dostępem (kontrola tożsamości, uprawnienia, uwierzytelnianie wieloskładnikowe) oraz zarządzanie politykami bezpieczeństwa, w tym zasadami pracy zdalnej, które w wielu jednostkach po pandemii nie zostały formalnie uregulowane.
Ważna jest tu kolejność. W modelu SZBI najpierw wykonuje się ocenę ryzyka, dopiero później dobiera zabezpieczenia. To różni go od wcześniejszych podejść, w których wspólnie z dostawcą wybierano zaawansowany system cyberbezpieczeństwa, antywirusa i kolejne licencje, nie wiedząc, czy faktycznie odpowiadają one na realne zagrożenia dla jednostki. W SZBI każda decyzja inwestycyjna powinna być uzasadniona pozycją w rejestrze ryzyk, a każde zabezpieczenie mieć swój cel i swojego właściciela.
Uporządkowanie odpowiedzialności i procesów
Drugą zaletą normy, często niedocenianą, jest wymuszenie jasnego podziału ról. Najwyższe kierownictwo musi formalnie ustanowić politykę bezpieczeństwa i przyjąć odpowiedzialność za jej skuteczność. Pracownicy IT odpowiadają za wdrożenie zabezpieczeń technicznych, ale nie za samą kwalifikację ryzyk – to zadanie kierowników departamentów merytorycznych, którzy są właścicielami przetwarzanych u nich informacji. Użytkownicy końcowi otrzymują obowiązki związane z higieną codziennej pracy z systemami IT, zgłaszaniem podejrzanych wiadomości, ochroną stanowisk, stosowaniem się do polityki dostępu. Tymczasem w polskich urzędach bardzo często okazuje się, że w razie incydentu nie wiadomo, kto powinien podjąć decyzje o tym, czy odłączyć segment sieci, czy wstrzymać pracę systemu rejestracji wniosków, czy zgłosić sprawę do prokuratury.
Podejście audytowe, które narzuca norma, dodaje do tego mechanizm weryfikacji. Audyty wewnętrzne (klauzula 9.2) prowadzą niezależni od audytowanego procesu pracownicy lub konsultanci. Ich celem nie jest znajdowanie błędów, lecz dostarczenie obiektywnej informacji zwrotnej kierownictwu, czy SZBI rzeczywiście działa.
Sercem ISO 27001 pozostaje cykl PDCA (Plan-Do-Check-Act) – Zaplanuj, Wykonaj, Sprawdź, Działaj. Etap planowania to roczne cele bezpieczeństwa, plan działań i ocena ryzyka. Etap wykonania: wdrożenie polityk, szkoleń, zabezpieczeń. Etap sprawdzenia dotyczy mierzenia wskaźników, audytów i testów. Etap działania skupia się na wnioskach, działaniach korygujących i aktualizacji polityk.
Mechanizm ten pozwala odejść od podejścia projektowego. Bezpieczeństwo informacji przestaje być jednorazową inwestycją i staje się procesem, który ma określony budżet, właściciela i mierzalne efekty. Wskaźniki, które organizacje dojrzałe w tym obszarze raportują zarządowi, są zwykle pragmatyczne i dotyczą średniego czasu wykrycia incydentu, średniego czasu reakcji, liczby przeprowadzonych szkoleń i odsetek pracowników, którzy je ukończyli, a także liczby zidentyfikowanych podatności i czasu ich zamykania czy liczby wewnętrznych audytów w roku.
Zasadnicze pytanie, które kierownictwo urzędu powinno sobie zadawać, brzmi: czy potrafimy podać te liczby? Jeśli nie, to ISO 27001 prawdopodobnie nie funkcjonuje w trybie ciągłego doskonalenia. Często bywa tak, że po pierwszym audycie certyfikacyjnym organizacja „dostraja się” jeszcze przez kilka miesięcy, po czym wraca do dawnych przyzwyczajeń. Aby uniknąć tego scenariusza, audyty wewnętrzne powinny być planowane na cały trzyletni cykl certyfikacji i obejmować wszystkie obszary normy priorytetyzowane przez ryzyko, a nie alfabetycznie.
Największe bariery
Ten wątek już się przewijał w poprzednich fragmentach artykułu, ale zbierzmy problemy stojące na drodze do faktycznego wdrożenia ISO 27001 w jednym miejscu.
Niedobór specjalistów
Pierwszą i ciężko usuwalną barierą jest brak rąk do pracy. Z badania ENISA wynika, że 89% organizacji objętych NIS 2 spodziewa się konieczności powiększenia zespołu w obszarach architektury i operacji cyberbezpieczeństwa, ale jednocześnie 32% zgłasza problemy z rekrutacją specjalistów. W polskiej administracji publicznej różnica wynagrodzeń pracowników IT względem sektora prywatnego jest tak duża, że do wielu jednostek nie wpływają sensowne zgłoszenia.
Skutek znamy z raportów NIK-u i CSIRT-u NASK – jeden informatyk odpowiada za sieci, sterowniki przemysłowe (np. SCADA wodociągów), drukarki, monitoring i obsługę kilkunastu lokalizacji. Jak w takich warunkach prowadzić ocenę ryzyka zgodnie z ISO 27001? Nie da się, jeżeli nie wesprzemy go zewnętrznym audytorem albo nie podzielimy pracy między kilka jednostek. Programy takie jak „Cyberbezpieczny Samorząd” (1,3 mld zł dla 2807 jednostek samorządu terytorialnego w 2025 r.) częściowo zasypują tę lukę, ale dotyczą głównie inwestycji jednorazowych. Koszty utrzymania etatów, szkoleń, narzędzi monitorujących pozostają po stronie samorządu.
Brak kompetencji
Drugą stroną problemu kompetencyjnego są kierownicy. ISO 27001 stawia wysokie wymagania kadrze zarządzającej, która musi rozumieć, czym jest ryzyko bezpieczeństwa informacji, jak czytać raport audytu wewnętrznego, kiedy uruchomić plan ciągłości działania. W praktyce dyrektor administracyjny urzędu miasta nigdy nie był do tego przygotowywany. Brak profesjonalnego środowiska, w którym te kompetencje dałoby się zdobyć i szlifować, jest barierą nie mniej ważną niż brak specjalistów.
Przestarzała infrastruktura
Kłopotem jest też stan używanego środowiska teleinformatycznego. Wiele samorządów korzysta z systemów objętych przed laty kontraktem outsourcingowym, których aktualizacja wymaga negocjacji z dostawcą i wymiany licencji. Duża część systemów działa na serwerach z systemami operacyjnymi, dla których skończyło się oficjalne wsparcie, a mimo to są produkcyjnie wykorzystywane, bo migracja oznaczałaby zatrzymanie obsługi mieszkańców.
Z perspektywy normy 27001 sytuacja taka jest sygnałem wysokiego ryzyka, które albo trzeba akceptować świadomie (z dokumentacją i kompensującymi zabezpieczeniami), albo wycofywać zgodnie z planem. W rzeczywistości większość jednostek po prostu nie ma takiego planu. Brak kopii zapasowych przechowywanych offline, brak segmentacji sieci, brak inwentaryzacji aktywów – to obserwacje powtarzające się w niemal każdej kontroli NIK-u z ostatnich lat. ENISA wskazuje, że 60% incydentów obsłużonych w UE wynika z wykorzystania znanych luk, których, z różnych względów, nie załatano.
Dług bezpieczeństwa, podobnie jak dług techniczny, ma swoje odsetki. Im dłużej jest ignorowany, tym wyższa staje się opłata, którą organizacja zapłaci, gdy zostanie zaatakowana. Wdrożenie ISO 27001 jest dla wielu jednostek właściwie pierwszym momentem, w którym ten dług zostaje rzetelnie skatalogowany i wyceniony. Często jest to szok dla kierownictwa, ale bez tego kroku nie da się zaplanować racjonalnej drogi wyjścia.
Kultura organizacyjna urzędów
Trzecia bariera jest najbardziej miękką i najtrudniejszą do usunięcia. To utrwalone przekonanie, że „bezpieczeństwo przeszkadza w pracy”. W urzędzie, w którym petent czeka w kolejce, a urzędnik zmaga się z dziesięcioma systemami dziedzinowymi, każda dodatkowa procedura, wieloskładnikowe uwierzytelnianie, regularna zmiana hasła, blokada portu USB, są postrzegane jako utrudnienie. Reakcją bywa kreatywne obchodzenie reguł, takie jak wspólne logowanie do systemu, zapisane hasła pod klawiaturą czy e-maile służbowe przekierowywane na prywatny adres.
Phishing wykorzystuje dokładnie ten kontekst. Pracownik, który przez lata uczył się „kombinować” wbrew politykom bezpieczeństwa IT, jest w naturalny sposób podatny na prośbę o szybką zmianę hasła, kliknięcie linku w wiadomości z „aktualizacją systemu” czy autoryzację transakcji „na polecenie dyrektora”. Statystyki dostępne m.in. w raportach firmy Fortinet to potwierdzają – 90% ataków zaczyna się dziś od człowieka, a nie od luki w oprogramowaniu. Niedoszacowanie tego ryzyka jest dramatyczne. Kierownictwo wielu urzędów wciąż traktuje szkolenia z cyberbezpieczeństwa jako rzecz drugoplanową.
Norma ISO 27001 nie usuwa tej bariery sama z siebie, ale daje narzędzia. Wymaga wprowadzenia programu świadomości bezpieczeństwa (zabezpieczenie 6.3 z Aneksu A), regularnych szkoleń, mierzenia ich efektywności. W jednostkach, w których program ten jest realizowany na profesjonalnym poziomie z symulowanymi kampaniami phishingowymi, krótkimi modułami e-learningu i regularnymi briefingami, widoczna jest zmiana zachowań.
Na co nie ma gwarancji?
ISO/IEC 27001:2022 odpowiada bezpośrednio na większość wymagań NIS 2 dotyczących technicznych i organizacyjnych środków cyberochrony. Ocena ryzyka, polityki bezpieczeństwa, zarządzanie dostawcami, plany ciągłości działania, kontrola dostępu, zabezpieczenia kryptograficzne, fizyczna ochrona aktywów – wszystkie te obszary znajdziemy w Aneksie A normy. Wraz z normą ISO 22301, która dotyczy zarządzania ciągłością, otrzymujemy zestaw pokrywający praktycznie pełne spektrum operacyjnych środków wymaganych przez dyrektywę.
Nie oznacza to jednak automatycznej zgodności. Norma jest narzędziem ogólnym, a NIS 2 zawiera wymagania specyficzne. Najważniejsze z nich to terminy raportowania incydentów, które muszą zostać wpisane w wewnętrzne procedury, oraz osobista odpowiedzialność członków organu zarządzającego, w tym obowiązek odbycia szkoleń z cyberbezpieczeństwa. Drugi obszar to współpraca z krajowymi zespołami CSIRT i regulatorami sektorowymi. Norma o tym nie mówi, bo nie jest aktem prawa krajowego.
Oznacza to, że jednostka publiczna, która otrzymała certyfikat 27001, powinna traktować zgodność z NIS 2 jako uzupełnienie swojego SZBI o szczegóły wynikające z polskiej uoksc, w tym o obowiązki wobec NASK i resortu cyfryzacji. Z kolei jednostka, która ISO 27001 nie wdrożyła, będzie musiała budować podobną strukturę od podstaw i to w czasie znacznie krótszym, niż wymaga tego pełna certyfikacja.
Najistotniejsza zmiana, którą wnosi NIS 2, dotyczy kierownictwa. Dotychczasowe regulacje zostawiały odpowiedzialność za cyberbezpieczeństwo na poziomie operacyjnym, najczęściej w dziale IT lub u Inspektora Ochrony Danych. Według dyrektywy unijnej to członkowie organu zarządzającego podmiotu kluczowego muszą zatwierdzić środki zarządzania ryzykiem, nadzorować ich wdrożenie i mogą zostać osobiście pociągnięci do odpowiedzialności za uchybienia. Sankcje administracyjne dla firm mogą dochodzić do 10 mln euro lub 2% rocznego obrotu, oczywiście dla podmiotów publicznych skala kar może być inna, ale sama odpowiedzialność osobista pozostaje.
Z punktu widzenia ISO 27001 nie jest to żadna nowość. Norma od początku kładzie nacisk na zaangażowanie kierownictwa (klauzula 5) i wymaga, aby polityka bezpieczeństwa była formalnie ustanowiona tak, aby cele bezpieczeństwa były mierzalne, a wyniki ich realizacji mogły być prezentowane na przeglądach zarządzania. Kierownictwo musi więc otrzymywać regularne raporty o stanie bezpieczeństwa informacji, które zawierają dane o wynikach analizy ryzyka, najważniejszych incydentach, postępach w realizacji planów naprawczych itp. Format tych raportów powinien być dostosowany do odbiorcy (wskaźniki biznesowe, a nie surowe logi), a częstotliwość dopasowana do rytmu organizacji (zazwyczaj kwartalnie). To ten cykl odróżnia jednostkę zarządzającą ryzykiem od jednostki, która ma jedynie dokumentację SZBI.
Budowanie świadomości
Trzeci obszar, w którym NIS 2 i ISO 27001 się pokrywają, to obowiązek budowania świadomości bezpieczeństwa. Dyrektywa wymaga, aby wszyscy pracownicy podmiotów objętych jej zakresem odbywali regularne szkolenia, a kadra zarządzająca, dodatkowo, szkolenia specjalistyczne. W praktyce program szkoleniowy w urzędzie powinien obejmować kilka warstw. Po pierwsze szkolenie wstępne dla nowo zatrudnionych, obejmujące politykę haseł, korzystanie z poczty służbowej, ochronę stanowiska pracy. Po drugie coroczne szkolenia odświeżające, najlepiej zakończone testem wiedzy. Po trzecie kampanie tematyczne reagujące na bieżące zagrożenia, np. falę phishingu wykorzystującego sztuczną inteligencję, fałszywe wezwania od służb skarbowych, nowe schematy socjotechniczne. Po czwarte symulacje phishingowe, których wynik traktuje się jako miernik dojrzałości organizacji, a nie jako podstawę do karania pracowników.
Bardzo ważna jest tu zasada, by szkolenia nie były wyłącznie obowiązkiem, lecz częścią codziennej kultury pracy. W jednostce, w której dyrektor publicznie omawia ostatni incydent (anonimizowany w sposób zabezpieczający ofiarę), pracownicy szybciej zgłaszają podejrzane sytuacje. W jednostce, gdzie zgłoszenie phishingu kończy się reprymendą, takich zgłoszeń nie będzie wcale, a tym samym mechanizm wczesnego ostrzegania, którego wymaga NIS2 i ISO 27001, przestanie działać.
Tarcza czy ozdoba?
Doświadczenia z polskich urzędów pokazują wyraźnie, kiedy ISO 27001 działa w sposób realny. Pierwszy warunek to faktyczne i konsekwentne zaangażowanie kierownictwa najwyższego szczebla. Bezpieczeństwo informacji musi być stałym punktem porządku obrad zarządu, mieć swój budżet, mieć swojego właściciela na poziomie członka kierownictwa.
Drugi warunek to traktowanie analizy ryzyka jako żywego dokumentu. Powinna być aktualizowana przy każdej istotnej zmianie, takiej jak nowy system, nowy dostawca, nowa lokalizacja, nowy typ zagrożenia ujawniony przez CSIRT. Wyniki analizy muszą przekładać się na decyzje inwestycyjne i operacyjne. Trzeci warunek to poważny program audytów wewnętrznych – dobrze wykonany dostarcza więcej wartości niż audyt certyfikacyjny. W urzędach, które włączają do programu audytów wewnętrznych testy techniczne (skany podatności, kontrolne testy phishingowe, weryfikacje konfiguracji), poziom dojrzałości rośnie wyraźnie szybciej.
Ostatni warunek to inwestycja w ludzi. Bez kompetentnej kadry, zarówno specjalistów, jak i świadomych użytkowników, każda technologia z czasem przestaje działać.
Na drugim biegunie znajdują się jednostki, w których certyfikat istnieje, ale nie wiąże się z realną pracą nad bezpieczeństwem. Wzorzec jest powtarzalny – norma zostaje wdrożona pod konkretny przetarg lub pod presją nadzorczą, pakiet dokumentacji zostaje przygotowany przez konsultanta zewnętrznego, audyt przebiega pomyślnie, po czym wraca się do codziennej rutyny. Po dwóch latach okazuje się, że polityki nie zostały ani razu zaktualizowane, audyty wewnętrzne nie są wykonywane, a w razie incydentu nikt nie potrafi sięgnąć do procedury, o której istnieniu wie tylko jedna osoba w organizacji.
Częstą oznaką takiego stanu rzeczy jest brak monitoringu zabezpieczeń. Organizacja wdrożyła kontrole z Aneksu A, ale nie sprawdza ich skuteczności. Istnieje polityka kopii zapasowych, lecz nikt nigdy nie testował odtworzenia danych. Istnieją procedury reakcji na incydent, ale nie były od trzech lat ćwiczone. Istnieje rejestr ryzyk, ale ostatnia zmiana w nim datuje się na pierwszy audyt certyfikacyjny.
Drugą oznaką jest brak realnych szkoleń. Pracownicy podczas kursu e-learningowego klikają „Dalej” na kolejnych slajdach, ale nie są w stanie podać najważniejszych zasad polityki haseł dla własnej jednostki. Test phishingowy, jeśli kiedykolwiek się odbył, miał charakter pokazowy. Trzecią oznaką jest brak jakiejkolwiek reakcji zapobiegawczej – incydent wywołany naruszeniem polityki nie kończy się żadnym działaniem zaradczym, bo „każdemu się może zdarzyć”.
W takiej jednostce certyfikat ISO 27001 jest ozdobą. Daje przewagę w przetargu i komfort psychiczny kierownictwu, ale nie zwiększa odporności na rzeczywisty atak. Co gorsza, może wprowadzać fałszywe poczucie bezpieczeństwa, które osłabia czujność. Atak ransomware na taki urząd zazwyczaj kończy się katastrofalnie, bo brakuje wszystkiego, co miało do niego nie dopuścić – segmentacji, kopii zapasowych, planów odtworzeniowych, zdolności do szybkiej decyzji.
Norma ISO 27001 nie jest cudownym środkiem na cyberataki ani biurokratyczną fanaberią. Jest narzędziem, którego skuteczność zależy w całości od tego, jak zostanie użyte. Polska administracja publiczna w ostatnich miesiącach znalazła się w sytuacji, w której użycie tego narzędzia przestaje być opcją. NIS 2, znowelizowana uoksc, presja organów nadzorczych i sama dynamika cyberzagrożeń sprawiają, że każda jednostka publiczna musi mieć uporządkowany SZBI, a norma 27001 jest najlepiej udokumentowanym i najbardziej kompleksowym sposobem na jego zbudowanie.
Autor
Marcin Bieńkowski
Autor jest niezależnym dziennikarzem zajmującym się propagowaniem nauki i techniki.