Dlaczego sama dokumentacja nie wystarczy
Przez wiele lat szereg organizacji przyzwyczaiło się do modelu zgodności regulacyjnej, w którym głównym celem było przygotowanie odpowiednich polityk, procedur i regulaminów, bez przeprowadzenia wcześniejszych, pogłębionych, analiz biznesowych. W wielu obszarach compliance, taki model służył często przede wszystkim wykazaniu formalnego spełnienia wymogów prawnych. W przypadku nowych regulacji dotyczących cyberbezpieczeństwa, w tym również dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14.12.2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniającej rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylającej dyrektywę (UE) 2016/1148 (Dz.Urz. UE L z 2022 r. Nr 333, s. 80; dalej: NIS2) oraz ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2026 r. poz. 20; dalej: CyberbezpU), takie podejście jest jednak niewystarczające – niezbędne jest wykazanie praktycznego wykonywania poszczególnych obowiązków, wynikających z nowych regulacji.
Nowe regulacje nie koncentrują się wyłącznie na posiadaniu dokumentacji, lecz ich celem jest budowa rzeczywistej odporności organizacji na incydenty cyberbezpieczeństwa. Oznacza to, że w przypadku kontroli organ nadzorczy będzie oceniał nie tylko to, czy dana organizacja posiada np. procedurę zarządzania incydentami, formalnie zatwierdzoną i przyjętą przez organ zarządzający podmiotu, lecz przede wszystkim zweryfikuje, czy organizacja potrafi w skuteczny sposób wykrywać, obsługiwać, zgłaszać i dokumentować incydenty.
W praktyce często występują dwa skrajne modele funkcjonowania organizacji. Pierwszy to tzw. „papierowy compliance”. Przejawia się tym, że organizacja posiada komplet dokumentów przygotowanych zazwyczaj przez zewnętrznego konsultanta, jednak procedury te nie funkcjonują w codziennej działalności. Pracownicy nie znają swoich obowiązków, organ zarządzający nie otrzymuje raportów np. w zakresie cyberbezpieczeństwa, a polityki i procedury aktualizowane są wyłącznie przed audytem lub kontrolą.
Drugi skrajny model to organizacja posiadająca pewne zdolności operacyjne, ale pozbawiona formalnego uporządkowania i udokumentowania procesów. Pracownicy reagują na incydenty, wykonują kopie zapasowe czy aktualizują systemy, jednak wewnątrz podmiotu nie funkcjonują formalne polityki, procedury, rejestry ani ślady audytowe pozwalające wykazać zgodność z wymaganiami regulacyjnymi. Takie podejście również nie spełnia wymogów NIS2 i CyberbezpU.
W rzeczywistości regulator oczekuje połączenia obu elementów. Dokumentacja ma opisywać funkcjonujące procesy, a procesy mają być realizowane zgodnie z dokumentacją.
Od polityki do systemu zarządzania
Jednym z najważniejszych błędów popełnianych podczas wdrożeń jest traktowanie dokumentacji jako celu samego w sobie. Tymczasem dokumenty, takie jak polityka bezpieczeństwa czy procedura zarządzania podatnościami, są jedynie narzędziami wspierającymi funkcjonowanie systemu zarządzania bezpieczeństwem informacji.
Podejście prezentowane zarówno przez NIS2, jak i uznane standardy, takie jak National Institute of Standards and Technology NIST CSF 2.0, ISO/IEC 27001 czy ISO 22301, zakłada funkcjonowanie zamkniętego cyklu zarządzania, obejmującego planowanie, wdrażanie, monitorowanie i doskonalenie środków bezpieczeństwa.
W praktyce oznacza to konieczność objęcia działaniami między innymi analizy ryzyka, zarządzania podatnościami, obsługi incydentów, ciągłości działania, odtwarzania po awarii, bezpieczeństwa ze strony zewnętrznych dostawców ICT, zarządzania dostępem, szkoleń i budowania świadomości, monitorowania środowiska teleinformatycznego. Każdy z tych obszarów musi być nie tylko opisany, lecz także możliwy do zmierzenia i audytowania.
Czerwone flagi widoczne podczas audytu lub kontroli
Doświadczenia z audytów bezpieczeństwa oraz kontroli organów nadzoru (pod reżimem poprzedniej ustawy o KSC), rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), czy też rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14.12.2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniającego rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 (Dz.Urz. UE L z 2022 r. Nr 333, s. 1; dalej: DORA) pokazują, że istnieje kilka sygnałów alarmowych, które niemal natychmiast wskazują na rozbieżność pomiędzy dokumentacją a rzeczywistością.
Klasycznym przykładem jest procedura zarządzania incydentami bez rejestru incydentów. Organizacja deklaruje gotowość do reagowania na zdarzenia, jednak nie potrafi przedstawić ani jednego zgłoszenia, analizy przyczyn źródłowych czy działań naprawczych. Audytor lub zespół kontrolujący zaczyna wówczas zadawać szczegółowe pytania, czy proces rzeczywiście istnieje.
Podobny problem dotyczy zarządzania podatnościami. Dokumentacja przewiduje aktualizację krytycznych podatności w określonym terminie, ale raporty ze skanerów pokazują niezałatane luki sprzed kilku miesięcy. W takim przypadku formalne istnienie procedury nie ma większego znaczenia, podmiot z reguły w takich sytuacjach nie jest w stanie wykazać, że realizuje taką procedurę w praktyce.
Jeszcze częściej spotykaną niezgodnością jest posiadanie planu ciągłości działania, który nigdy nie został przetestowany, a aktualizacje i przeglądy sprowadzają się do dopisania nowej daty w tabeli kontrolnej dokumentu. W wielu organizacjach istnieją rozbudowane dokumenty opisujące działania po awarii, jednak brak jest protokołów, ćwiczeń, wyników testów, czy potwierdzenia osiągnięcia założonych parametrów RTO i RPO.
Problemy pojawiają się również w obszarze zarządzania dostępem. Polityka często przewiduje okresowe przeglądy uprawnień, ale organizacja nie posiada dowodów ich przeprowadzania. Konta byłych pracowników pozostają aktywne, a dostęp administracyjny nie jest regularnie weryfikowany.
W każdym z tych przypadków wspólnym mianownikiem jest brak dowodów realizacji procesu. To właśnie brak logów, wskaźników KPI, rejestrów, raportów oraz informacji zarządczych najczęściej prowadzi do stwierdzenia niezgodności.
Dowody są równie ważne jak proces
Jednym z najważniejszych wyzwań związanych ze stosowaniem nowych wymogów w zakresie cyberbezpieczeństwa, z jakim mierzą się organizacje przygotowujące się do spełniania obowiązków wynikających z przepisów NIS2 i UKSC, jest przejście od modelu compliance ograniczającego się do przyjmowania stosownych regulacji do podejścia opartego na dowodach wykonywania poszczególnych obowiązków.
Każdy proces bezpieczeństwa powinien pozostawiać ślad potwierdzający jego funkcjonowanie. Jeżeli organizacja deklaruje monitorowanie środowiska, powinna posiadać np. raporty z systemów wdrożonych w celu monitorowania. Jeżeli podmiot deklaruje zarządzanie podatnościami, powinien dysponować raportami ze skanów i informacjami o poziomie zgodności z przyjętymi terminami aktualizacji. Jeżeli prowadzone są szkolenia, należy dysponować listami obecności, wynikami testów czy planami oraz harmonogramami szkoleń. To właśnie w takich miejscach kończy się papierowy compliance, a zaczyna rzeczywiste wdrożenie.
W drugiej części artykułu omówię, jak wygląda ocena organizacji z perspektywy audytora lub zespołu kontrolującego oraz jakie działania należy wdrożyć w pierwszej kolejności, aby zbudować zgodność z NIS2 i CyberbezpU w sposób efektywny i proporcjonalny.
Daniel Niwiński – prawnik, ekspert ds. cyberbezpieczeństwa w Kancelarii Prawnej Krzysztof Rożko i Wspólnicy
Kancelaria KRWLegal zdobyła rekomendacje w rankingu IFLR1000 (w kategorii Capital Markets: Equity) oraz The Legal 500 EMEA 2026 (w kategorii Investment Funds). Ponadto kancelaria została wyróżniona jako lider Rankingu „Rzeczpospolitej” 2026 w kategoriach: private equity, rynki kapitałowe i doradztwo regulacyjne.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
