Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
kryptografia

Kryptografia w NIS 2

12.03.2026

kryptografia

Dlaczego szyfrowanie to polityka zarządcza, a nie funkcja w systemie

W poprzednich wpisach serii NIS 2 skupiliśmy się na ludziach, procesach, testach i podatnościach. Teraz przechodzimy do obszaru, który często bywa sprowadzany do „włączonego TLS-a” albo „zaszyfrowanego dysku”.

Rozdział 9 wytycznych ENISA pokazuje jednak wyraźnie, że kryptografia w NIS 2 nie jest technicznym dodatkiem. Jest formalnym, zarządzanym mechanizmem ochrony poufności, integralności i autentyczności danych.

A to oznacza jedno: musi być objęta polityką, procedurami i regularnym przeglądem.

1️⃣ Polityka kryptograficzna – obowiązek systemowy

Zgodnie z NIS 2 organizacja musi:

  • ustanowić,
  • wdrożyć,
  • stosować

politykę i procedury dotyczące kryptografii.

Nie chodzi o deklarację „stosujemy szyfrowanie”.
Polityka musi być:

  • zgodna z klasyfikacją aktywów,
  • oparta na wynikach oceny ryzyka,
  • zgodna z obowiązującymi regulacjami i aktualnym stanem wiedzy.

Oznacza to, że decyzja o stosowaniu kryptografii musi wynikać z zarządzania ryzykiem, a nie z domyślnych ustawień systemu.

2️⃣ Co musi określać polityka kryptograficzna

Polityka kryptograficzna powinna jednoznacznie określać:

🔹 Rodzaj i siłę mechanizmów kryptograficznych

W zależności od klasyfikacji aktywów należy określić:

  • jaki typ zabezpieczeń stosujemy,
  • jaka siła kluczy jest wymagana,
  • jakie algorytmy i protokoły są dopuszczalne,
  • jakie rozwiązania kryptograficzne są zatwierdzone.

Dotyczy to zarówno danych w spoczynku, jak i danych w transmisji.

🔹 Protokoły i algorytmy

Organizacja powinna wskazać:

  • konkretne protokoły lub ich rodziny,
  • zatwierdzone algorytmy,
  • minimalne długości kluczy,
  • dopuszczalne praktyki użycia.

Wytyczne wskazują również na potrzebę podejścia „cryptographic agility”, czyli elastyczności umożliwiającej zmianę algorytmów bez przebudowy całej architektury.

3️⃣ Zarządzanie kluczami – serce całego systemu

Najbardziej rozbudowany element rozdziału 9 dotyczy zarządzania kluczami kryptograficznymi.

Polityka musi określać zasady dotyczące:

  • generowania kluczy,
  • wydawania i pozyskiwania certyfikatów,
  • dystrybucji kluczy,
  • przechowywania i dostępu,
  • zmiany i rotacji,
  • postępowania z kluczami skompromitowanymi,
  • cofania i dezaktywacji,
  • odzyskiwania utraconych kluczy,
  • archiwizacji i kopii zapasowych,
  • niszczenia kluczy,
  • logowania działań związanych z kluczami,
  • określania okresów aktywności kluczy.

To pokazuje, że kryptografia bez zarządzania kluczami jest iluzją bezpieczeństwa.

ENISA wyraźnie wskazuje także na potrzebę:

  • ochrony kluczy prywatnych przed nieautoryzowanym użyciem,
  • zapewnienia autentyczności kluczy publicznych,
  • fizycznej ochrony urządzeń generujących i przechowujących klucze,
  • prowadzenia logów działań związanych z kluczami.

4️⃣ Kryptografia w praktyce operacyjnej

Wytyczne wskazują, że mechanizmy kryptograficzne powinny obejmować m.in.:

  • podpisy cyfrowe,
  • funkcje skrótu,
  • szyfrowanie danych w spoczynku i w transmisji,
  • mechanizmy wykrywania nieautoryzowanych zmian danych,
  • bezpieczne usuwanie danych po ich wykorzystaniu.

Kryptografia powinna być stosowana np. przy:

  • udostępnianiu informacji,
  • skanowaniu ruchu sieciowego,
  • korzystaniu z przechowywania online i offline,
  • usuwaniu danych z nośników.

W określonych przypadkach należy zapewnić możliwość odzyskania danych w razie utraty kluczy, np. poprzez escrow kluczy szyfrujących.

5️⃣ Automatyzacja i kontrola

ENISA zaleca stosowanie mechanizmów (manualnych lub automatycznych) do:

  • generowania kluczy,
  • wydawania certyfikatów,
  • dystrybucji,
  • obsługi kluczy skompromitowanych.

Wymagane jest także logowanie operacji związanych z kluczami co najmniej w zakresie:

  • generowania,
  • transmisji,
  • niszczenia,
  • cofania.

To element odpowiedzialności i audytowalności całego procesu.

6️⃣ Przegląd i aktualizacja polityki

Polityka kryptograficzna nie jest dokumentem statycznym.

Powinna być:

  • przeglądana co najmniej raz w roku,
  • aktualizowana zgodnie ze stanem wiedzy,
  • testowana przed wdrożeniem zmian,
  • komunikowana pracownikom.

Organizacja powinna posiadać procedurę przeglądu oraz dowody, że zmiany są dokumentowane i wdrażane.

Uwzględniać należy także rozwój technologii, w tym podejście future-proof, np. w kontekście rozwiązań postkwantowych.

7️⃣ Co to oznacza w praktyce

W świecie NIS 2:

  • brak formalnej polityki kryptograficznej to luka systemowa,
  • brak zarządzania kluczami to ryzyko operacyjne,
  • brak przeglądów to brak zgodności ze stanem wiedzy.

Kryptografia przestaje być funkcją systemu.
Staje się elementem zarządzania ryzykiem.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści