Jednostki administracji coraz częściej patrzą na cyberbezpieczeństwo jak na usługę krytyczną. Z jednej strony stoją wymogi KSC i NIS2, z drugiej realne ryzyka: przestoje systemów, incydenty i odpowiedzialność kierownictwa. Dlatego projekt zgodności nie może kończyć się na segregatorze procedur. Powinien zmienić sposób działania organizacji: od codziennej pracy użytkowników, po planowanie przetargów i raportowanie incydentów. Ten wpis pokazuje, jak przeprowadzamy taki projekt – tak, aby spełnić wymagania KSC/NIS2, a jednocześnie podnieść odporność na ataki.

Cel projektu: mierzalna zgodność i odporność

Na starcie definiujemy cel w dwóch wymiarach. Pierwszy to zgodność formalna z KSC/NIS2, czyli komplet polityk, rejestrów i dowodów działania procesów. Drugi to odporność operacyjna, którą widać w praktyce: krótszy czas wykrycia i reakcji, lepsze pokrycie MFA, regularne łatki oraz realne testy odtwarzania. Dzięki temu audyt staje się formalnością, a infrastruktura zyskuje przewidywalność.

Punkt wyjścia: diagnoza stanu i ryzyk

Projekt zaczyna się od rozpoznania. Inwentaryzujemy usługi, systemy i dane, a także mapujemy zależności między IT a procesami urzędu. Analizujemy ryzyka, biorąc pod uwagę dostępność, integralność i poufność, ale również wpływ na ciągłość realizacji zadań publicznych. Weryfikujemy łańcuch dostaw i umowy serwisowe oraz sprawdzamy, czy poziom zabezpieczeń odpowiada znaczeniu danej usługi. Ten etap daje jasność, co trzeba poprawić w pierwszej kolejności.

Projekt docelowy: governance + technologia

Sercem wdrożenia jest system zarządzania bezpieczeństwem. Tworzymy spójny zestaw dokumentów i praktyk: Politykę Bezpieczeństwa, zasady klasyfikacji informacji, procedury zarządzania incydentem, zmianą i podatnościami, a także rejestry ryzyk i środków kontroli. Równolegle porządkujemy odpowiedzialności – właścicieli usług, role w Zespole Reagowania oraz ścieżki eskalacji. Governance nie jest „na półkę”. Ma wspierać codzienne decyzje i ułatwiać audyt.

Po stronie technologicznej budujemy kilka filarów. Tożsamość i dostęp zabezpieczamy przez MFA, zasady haseł oraz PAM dla kont uprzywilejowanych. Sieć dzielimy logicznie, aby ograniczyć lateral movement, a dostęp zdalny realizujemy przez ZTNA lub bezpieczny VPN z kontrolą urządzeń. Stacje robocze i serwery otrzymują EDR/antywirus nowej generacji, a polityki twardnienia eliminują domyślne luki. Kluczowe dzienniki gromadzimy w SIEM, który zasila SOC – dzięki temu incydenty są wykrywane i obsługiwane zgodnie z procedurą.

Reakcja na incydent i ciągłość działania

Zgodność z KSC/NIS2 wymaga gotowości na incydenty. Przygotowujemy IRP (Incident Response Plan) z jasnym podziałem ról, kontaktami i wzorami komunikatów. Każdy scenariusz ma runbook – od phishingu i ransomware, po awarię usług katalogowych. Aby utrzymać działanie urzędu, dopracowujemy BCP/DRP i weryfikujemy je w testach. Kopie zapasowe realizujemy zgodnie z zasadą 3-2-1-1-0, w tym z repozytorium niezmienialnym. Dzięki temu odtworzenie systemów jest przewidywalne, a raport z testu staje się dowodem zgodności.

Łańcuch dostaw i przetargi

NIS2 kładzie nacisk na bezpieczeństwo dostawców. W praktyce oznacza to wymagania w SIWZ/OPZ opisane funkcjonalnie, a nie markowo, oraz kontrolę minimalnych standardów u wykonawców. Wprowadzamy due diligence dostawców, kryteria oceny ryzyka i zapisy o zgłaszaniu incydentów oraz audytowalności usług. Dzięki temu bezpieczeństwo nie kończy się na ścianie serwerowni – obejmuje także systemy zewnętrzne i utrzymanie.

Szkolenia i świadomość użytkowników

Ludzie pozostają najsilniejszym i najsłabszym ogniwem. Program szkoleniowy tworzymy tak, aby był krótki, aktualny i cykliczny. Ćwiczenia z rozpoznawania phishingu, zasady korzystania z danych oraz procedury zgłaszania incydentów stają się elementem onboardingu i corocznego odświeżenia. Dzięki temu bezpieczeństwo przestaje być dodatkiem – staje się nawykiem.

Raportowanie i wskaźniki zgodności

Zgodność wymaga dowodów. Dlatego ustalamy mierniki, które są proste i czytelne. Najczęściej są to: czas wykrycia (MTTD), czas reakcji (MTTR), procent zasobów objętych EDR, pokrycie MFA, terminowość łatek, liczba testów DR oraz skuteczność kampanii phishingowych. Raporty miesięczne pokazują postęp, a kwartalne przeglądy ryzyka pozwalają korygować kurs.

Mapowanie na wymagania KSC/NIS2

Każdy obszar projektu łączymy z konkretnymi wymogami. Polityki i role odpowiadają za zarządzanie ryzykiem i odpowiedzialności. SIEM/SOC oraz procedury IR zapewniają wykrywanie, zgłaszanie i obsługę incydentów. BCP/DRP i kopie niezmienialne realizują wymogi ciągłości i odtwarzalności. Segmentacja, MFA i PAM wspierają kontrolę dostępu i minimalizację skutków naruszeń. Z kolei nadzór nad dostawcami zabezpiecza łańcuch dostaw. To mapowanie trafia do rejestru zgodności i stanowi podstawę audytu.

Harmonogram: szybkie fundamenty, trwałe efekty

Projekt dzielimy na czytelne etapy. W pierwszych tygodniach powstaje diagnoza, plan remediacji i minimalny zestaw zabezpieczeń (MFA, rejestry, zasady haseł, pierwsze reguły w SIEM). Następnie wdrażamy segmentację, EDR i procedury IR, a SIEM zaczyna karmić SOC wartościowymi alertami. Kolejne miesiące przynoszą testy DR, porządek w łańcuchu dostaw i doszlifowanie dokumentacji. Po zakończeniu etapów organizacja ma nie tylko status „zgodna”, lecz także kompetencje, aby tę zgodność utrzymać.

Efekty: audyt bez niespodzianek i realne bezpieczeństwo

Po wdrożeniu jednostka zyskuje spójny system, który wspiera decyzje i codzienną pracę. Audyt ma komplet dowodów, a procesy reagowania są przećwiczone. Liczba incydentów krytycznych maleje, a czas ich obsługi się skraca. Przetargi stają się łatwiejsze, bo wymagania bezpieczeństwa są standardem, a nie dodatkiem. To właśnie oznacza pełną zgodność z KSC/NIS2 – nie tylko na papierze, ale przede wszystkim w działaniu.

Podsumowanie: zgodność, która się opłaca

Dobrze zaprojektowany projekt cyberbezpieczeństwa porządkuje odpowiedzialności, upraszcza technologię i ułatwia audyt. Co ważne, redukuje ryzyko przestojów i kosztownych incydentów. Jeśli chcesz przejść drogę od luźnych procedur do powtarzalnej zgodności z KSC/NIS2, zacznij od diagnozy, a potem konsekwentnie wdrażaj filary: governance, tożsamość, segmentację, SIEM/SOC, IR oraz BCP/DRP. Efekty zobaczysz zarówno w raportach, jak i w codziennej pracy urzędu.