NIS2 i CER w praktyce – jak połączyć cyberodporność z ochroną fizyczną?

Granica między cyberbezpieczeństwem a bezpieczeństwem fizycznym coraz bardziej się zaciera. Zakłócenia w działalności organizacji mogą wynikać zarówno z cyberataku, jak i z awarii technicznej, sabotażu czy braku dostępu do kluczowej infrastruktury. Dlatego NIS2 i CER nie powinny być traktowane jako odrębne obowiązki regulacyjne, a dwie perspektywy tego samego problemu – odporności organizacji.

NIS2 i CER: najważniejsze informacje

NIS2 i CER to dwie unijne dyrektywy dotyczące odporności organizacji na sytuacje kryzysowe. Obie dotyczą bezpieczeństwa, ale każda ujmuje ten temat z innej perspektywy.

NIS2 koncentruje się na cyberbezpieczeństwie. Jej celem jest wzmocnienie ochrony sieci, systemów informatycznych oraz usług, od których zależy funkcjonowanie firm i instytucji. Dyrektywa obejmuje m.in. sektor energetyczny, transport, ochronę zdrowia, produkcję czy administrację publiczną.

Dla organizacji NIS2 oznacza konieczność uporządkowania podejścia do ryzyka w obszarze IT i OT. Firma powinna:

• rozumieć, jak zagrożenia mogą wpływać na procesy biznesowe oraz których systemów i usług mogą dotyczyć,
• wdrożyć stosowne zabezpieczenia,
• potrafić wykrywać i zgłaszać incydenty,
• angażować kadrę zarządzającą w nadzór nad bezpieczeństwem.

Istotne jest także podejście all-hazards, czyli uwzględnianie różnych źródeł zagrożeń – cyberataków, awarii, błędów ludzkich, sabotażu czy zdarzeń losowych.

CER, czyli dyrektywa dotycząca odporności podmiotów krytycznych, kładzie nacisk na inny aspekt. Skupia się na tym, czy organizacja będzie w stanie utrzymać działalność mimo wystąpienia takich zakłóceń jak awarie infrastruktury, przerwy w dostawach energii, zdarzenia pogodowe czy sabotaż. Mniej uwagi poświęca systemom informatycznym, a więcej obiektom, procesom oraz zasobom.

Terminy wdrożeń dyrektyw w Polsce

Zgodnie z przyjętym harmonogramem, 3 kwietnia 2026 r. ustawa wdrażająca NIS2 wchodzi w życie. Kolejne ważne terminy to:

• 3 października 2026 r. – czas na samoidentyfikację i złożenie wniosku o wpis do wykazu podmiotów ważnych i kluczowych,
• 3 kwietnia 2027 r. – termin wdrożenia wymogów, m.in. w obszarze kontroli dostępu, analizy ryzyka, zarządzania incydentami i bezpieczeństwa łańcucha dostaw,
• 3 kwietnia 2028 r. – data, od której mogą zostać nałożone pierwsze kary finansowe; do tego dnia podmioty kluczowe muszą też przeprowadzić obowiązkowy audyt cyberbezpieczeństwa.

Przepisy wdrażające dyrektywę CER są natomiast w Polsce nadal procedowane, a na dzień 1 kwietnia 2026 r. projekt znajduje się na etapie prac sejmowych. Nie zmienia to jednak faktu, że czasu na przygotowanie jest niewiele, dlatego organizacje powinny możliwie szybko przejść od analizy obowiązków do działań wdrożeniowych.

Dlaczego oddzielne wdrażanie NIS2 i CER to błąd?

NIS2 jest kojarzona głównie z cyberbezpieczeństwem, a CER z bezpieczeństwem fizycznym i zarządzaniem kryzysowym. Na pierwszy rzut oka mogą więc wyglądać jak dwa odrębne obszary. W rzeczywistości obie regulacje odnoszą się do tego samego zagadnienia – zdolności organizacji do nieprzerwanego świadczenia usług – ale opisują je z różnych perspektyw. Należy więc wdrażać je wspólnie, co rekomendują także instytucje unijne, w szczególności Komisja Europejska oraz ENISA.

Tworzenie silosów między NIS2 a CER może prowadzić do wielu niespójności, jak:

• dublowanie dokumentacji i procedur – powstają osobne polityki, rejestry ryzyk, plany reagowania i raporty, mimo że dotyczą tych samych procesów,
• niespójne zarządzanie incydentami i kryzysami – różne zespoły, ścieżki eskalacji i procedury mogą wydłużać reakcję dokładnie wtedy, gdy istotne są szybkość i koordynacja,
• rozproszenie odpowiedzialności – gdy NIS2 i CER są wdrażane osobno, odpowiedzialność za odporność organizacji rozkłada się między różne zespoły i działy,
• oddzielne testy i ćwiczenia – gdy cyberataki ćwiczy się bez skutków operacyjnych, a scenariusze kryzysowe bez uwzględnienia systemów cyfrowych, trudno ocenić, jak organizacja zachowa się podczas kryzysu,
• większe koszty i większy chaos organizacyjny – dwa równoległe wdrożenia oznaczają więcej pracy, więcej formalności i większe ryzyko, że ostatecznie zgodność będzie tylko pozorna.

W efekcie organizacja buduje kilka równoległych podejść do bezpieczeństwa, które nie zawsze są ze sobą powiązane. To zwiększa złożoność, a jednocześnie nie poprawia odporności.

Gdzie NIS2 i CER najczęściej się łączą?

Wspólne obszary NIS2 i CER najlepiej widać tam, gdzie utrzymanie usługi zależy jednocześnie od technologii, miejsca, ludzi i organizacji pracy. Dotyczy to zwłaszcza:

• cyberbezpieczeństwa i infrastruktury technicznej – systemy i sieci nie działają w próżni. Są zależne od zasilania, chłodzenia, łączności, serwerowni i zabezpieczeń fizycznych,
• łańcucha dostaw i podmiotów trzecich – jedna usługa może zależeć równocześnie od dostawcy IT, operatora telekomunikacyjnego, dostawcy energii czy firmy serwisowej. Awaria lub problem po stronie jednego z nich może szybko przełożyć się na działanie całej organizacji,
• ochrony danych osobowych (RODO) – dane są bezpieczne tylko wtedy, gdy chroniony jest nie tylko sam system, ale też miejsce, w którym znajdują się urządzenia, dokumenty i nośniki,
• zagrożeń środowiskowych i ochrony przeciwpożarowej – pożar, zalanie, awaria zasilania czy klimatyzacji nie zatrzymują wyłącznie obiektu. Mogą równocześnie unieruchomić serwery, sieć, stanowiska pracy i dostęp do danych. Jeden incydent fizyczny może więc od razu wywołać skutki operacyjne i cyfrowe,
• tożsamości i uprawnień – ten sam pracownik korzysta z systemów, danych i przestrzeni fizycznej. Jeśli uprawnienia do tych obszarów są nadawane i odbierane w różny sposób, łatwo o niespójności i luki w zabezpieczeniach,
• nośników i urządzeń – laptopy, dyski, kopie zapasowe, telefony służbowe i dokumenty zawierają dane i wspierają procesy, ale jednocześnie funkcjonują jako fizyczne przedmioty, które można zgubić, uszkodzić albo wynieść z organizacji.

System kontroli dostępu do budynków i pomieszczeń dobrze pokazuje, jak przenikają się wymagania NIS2 i CER. Z perspektywy CER ogranicza wejście do budynków, stref krytycznych, serwerowni, pomieszczeń technicznych i obszarów operacyjnych. W ujęciu NIS2 wpływa na bezpieczeństwo systemów, urządzeń i danych, do których można uzyskać dostęp dzięki fizycznej obecności w tych miejscach.

Przykładowo: wejście do rozdzielni czy pomieszczenia z urządzeniami sieciowymi może prowadzić do sabotażu, wyłączenia lub manipulacji sprzętu czy kradzieży nośników.

Pierwsze kroki w integracji NIS2 i CER

Gdy wiadomo już, gdzie NIS2 i CER się przenikają, kolejnym etapem jest przełożenie tego na praktyczne działania. Dobrym punktem wyjścia jest analiza ryzyka dla kluczowych usług. Dzięki niej można ocenić, co może zagrozić ich ciągłości – niezależnie od tego, czy chodzi o cyberatak, awarię, problem z infrastrukturą czy błąd człowieka.

Kolejnym krokiem jest stworzenie wspólnego rejestru zasobów i zależności. Wykaz powinien pokazywać, co jest potrzebne do utrzymania danej usługi: systemy IT, lokalizacje, pracownicy, dostawcy, łączność, zasilanie czy zaplecze techniczne. Bez takiego obrazu trudno dobrze ocenić skutki incydentu i zdecydować, jakie zabezpieczenia są faktycznie potrzebne.

Równie ważne jest ujednolicenie sposobu reagowania na incydenty. Niezależnie od tego, czy problem dotyczy systemu, budynku, infrastruktury czy partnera zewnętrznego, organizacja powinna działać według spójnych zasad, uwzględniając m.in.:

• proces eskalacji oraz podejmowania decyzji,
• jasne zasady komunikacji wewnętrznej i zewnętrznej,
• jedno miejsce gromadzenia informacji o incydentach i podjętych działaniach h.

Ostatnim krokiem powinno być uporządkowanie odpowiedzialności i nadzoru nad obszarami wspólnymi dla NIS2 i CER. Organizacja powinna określić, kto odpowiada za decyzje dotyczące ryzyka, kto koordynuje współpracę między IT, bezpieczeństwem fizycznym, compliance i ciągłością działania oraz w jaki sposób zarząd otrzymuje informacje o najważniejszych zagrożeniach. To na tym etapie widać, czy integracja obu podejść rzeczywiście działa w praktyce.