Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
NIS 2

Największe ryzyko nie siedzi w systemie. Siedzi przy biurku

19.03.2026

NIS 2

W poprzednich wpisach tej serii skupialiśmy się głównie na technologii: kryptografii, testach bezpieczeństwa, zarządzaniu podatnościami czy architekturze sieci.

To naturalne. W końcu to właśnie tam najczęściej szukamy zagrożeń.

Tymczasem wytyczne ENISA w ramach NIS 2 robią bardzo wyraźny zwrot.

Zamiast kolejnych mechanizmów technicznych, pojawia się obszar, który dla wielu organizacji jest dużo trudniejszy do uporządkowania.

Człowiek.

Rozdział dotyczący bezpieczeństwa zasobów ludzkich nie mówi o systemach.
Mówi o odpowiedzialności, świadomości i kontroli tego, kto ma dostęp do organizacji, informacji i decyzji.

Bezpieczeństwo jako element roli, nie dodatku do pracy

Pierwszym i najważniejszym założeniem jest to, że bezpieczeństwo nie może funkcjonować jako „coś obok”.

ENISA wskazuje, że każdy pracownik, ale również dostawca czy usługodawca, powinien:

  • rozumieć swoją rolę w kontekście bezpieczeństwa,
  • znać swoje obowiązki,
  • działać zgodnie z politykami i procedurami organizacji.

To jednak nie może być deklaracja.

Wytyczne bardzo wyraźnie podkreślają, że odpowiedzialności:

  • muszą być formalnie zdefiniowane,
  • powinny być wpisane w zakres obowiązków i umowy,
  • powinny być powiązane z oceną pracy i wynikami.

Bezpieczeństwo przestaje być czymś, co „robi IT”.

Staje się elementem funkcjonowania całej organizacji, wpisanym w strukturę ról i odpowiedzialności.

Świadomość nie powstaje sama. Trzeba ją zbudować i utrzymać

Samo przypisanie obowiązków nie wystarcza.

Organizacja musi mieć mechanizmy, które zapewniają, że ludzie rzeczywiście rozumieją, co to oznacza w praktyce.

Wytyczne ENISA wskazują na konieczność:

  • prowadzenia działań edukacyjnych dostosowanych do roli i poziomu ryzyka,
  • regularnego przypominania zasad,
  • weryfikowania, czy zasady są rozumiane i stosowane.

Dotyczy to wszystkich, ale szczególnie:

  • użytkowników z dostępem uprzywilejowanym,
  • osób zarządzających,
  • dostawców i partnerów zewnętrznych.

Co istotne, mówimy tu nie tylko o pracownikach.

Jeżeli dostawca ma dostęp do systemów lub danych, jego odpowiedzialność powinna być jasno określona i formalnie uregulowana.

W praktyce oznacza to również:

  • zapisy w umowach,
  • zobowiązania do stosowania polityk bezpieczeństwa,
  • udział w działaniach szkoleniowych lub informacyjnych.

Świadomość nie jest komunikatem wysłanym mailem.

Jest procesem, który trzeba zaprojektować, prowadzić i dokumentować.

Zaufanie musi być poprzedzone weryfikacją

Jednym z najmocniejszych sygnałów w wytycznych ENISA jest podejście do weryfikacji osób.

Nie każdy powinien mieć dostęp do wszystkiego.
I nie każdy powinien mieć dostęp bez sprawdzenia.

Organizacja powinna jasno określić, które role wymagają dodatkowej weryfikacji.

W szczególności dotyczy to:

  • kadry zarządzającej,
  • osób mających dostęp do informacji wrażliwych,
  • ról związanych z finansami lub zakupami,
  • osób zarządzających systemami lub mających dostęp do infrastruktury.

Weryfikacja powinna być przeprowadzona przed objęciem roli i uwzględniać:

  • doświadczenie zawodowe,
  • referencje,
  • kwalifikacje,
  • w uzasadnionych przypadkach także inne formy sprawdzenia.

Jednocześnie ENISA podkreśla, że wszystko to musi być prowadzone:

  • zgodnie z przepisami prawa,
  • z poszanowaniem prywatności,
  • w proporcji do ryzyka.

To nie jest kwestia kontroli dla samej kontroli.

To element świadomego zarządzania dostępem do krytycznych zasobów.

Największe ryzyko pojawia się przy zmianie

W wielu organizacjach największe luki nie powstają przy wdrażaniu systemów.

Powstają przy zmianach personalnych.

Zmiana stanowiska lub odejście pracownika to moment, w którym:

  • dostęp często pozostaje aktywny zbyt długo,
  • odpowiedzialności nie są przekazywane,
  • aktywa nie są właściwie rozliczane.

ENISA bardzo wyraźnie wskazuje, że procesy związane z zakończeniem lub zmianą zatrudnienia muszą być uporządkowane.

Powinny obejmować m.in.:

  • jasne określenie obowiązków, które pozostają w mocy po zakończeniu współpracy,
  • odebranie dostępu do systemów i informacji,
  • zwrot sprzętu i nośników,
  • poinformowanie pracownika o jego dalszych zobowiązaniach.

Istotne jest również to, że:

  • dostęp powinien być odebrany terminowo,
  • działania powinny być udokumentowane,
  • proces powinien być powtarzalny i kontrolowany.

Bo z perspektywy bezpieczeństwa największym zagrożeniem nie jest nowy użytkownik.

Jest ten, o którym organizacja zapomniała.

Bez egzekwowania zasad nie ma systemu bezpieczeństwa

Ostatni element tego obszaru dotyczy tego, co dzieje się, gdy zasady są łamane.

ENISA wymaga, aby organizacja posiadała formalny proces postępowania w takich sytuacjach.

Proces ten powinien:

  • być jasno zdefiniowany,
  • być znany pracownikom,
  • uwzględniać przepisy prawa i wymagania organizacyjne.

Nie chodzi wyłącznie o karanie.

Chodzi o to, aby:

  • naruszenia były traktowane poważnie,
  • reakcja była spójna i przewidywalna,
  • organizacja potrafiła wykazać, że egzekwuje własne zasady.

Wytyczne wskazują również, że przy ocenie naruszenia należy brać pod uwagę m.in.:

  • jego charakter i skutki,
  • to, czy było celowe czy przypadkowe,
  • czy jest to pierwsze zdarzenie,
  • czy pracownik był odpowiednio przeszkolony.

To podejście pokazuje, że bezpieczeństwo to nie tylko kontrola.

To także odpowiedzialność i proporcjonalność działań.

Człowiek jako część systemu bezpieczeństwa

W podejściu ENISA pracownik nie jest najsłabszym ogniwem.

Jest elementem systemu.

Ale tylko wtedy, gdy:

  • ma jasno określoną rolę,
  • rozumie swoje obowiązki,
  • został odpowiednio dobrany do roli,
  • działa w ramach kontrolowanych procesów,
  • podlega realnym zasadom i konsekwencjom.

Bez tego nawet najlepsze zabezpieczenia techniczne nie będą skuteczne.

Co dalej w serii NIS 2

Skoro wiemy już, jak zarządzać odpowiedzialnością i rolą człowieka, kolejne pytanie brzmi:

👉 kto faktycznie ma dostęp do czego i dlaczego?

W następnym wpisie przejdziemy do jednego z najważniejszych obszarów NIS 2:

kontroli dostępu

Czyli o tym, jak zarządzać uprawnieniami, kontami uprzywilejowanymi i uwierzytelnianiem, żeby ograniczyć ryzyko w praktyce.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści