Centrum Audytu Bezpieczeństwa Sp. z o.o.

+48 881 256 247 | biuro@cab.com.pl
bezpieczeństwo fizyczne NIS 2

Bezpieczeństwo fizyczne i środowiskowe w NIS 2

27.05.2026

bezpieczeństwo fizyczne NIS 2

Cyberbezpieczeństwo ma też drzwi, zasilanie i temperaturę

W poprzednich wpisach serii NIS 2 przeszliśmy przez polityki, ryzyko, incydenty, ciągłość działania, łańcuch dostaw, bezpieczeństwo systemów, kryptografię, ludzi, dostęp oraz zarządzanie aktywami.

To była długa droga przez obszary, które często kojarzymy z cyberbezpieczeństwem: systemy, dane, użytkownicy, uprawnienia, podatności, logi, kopie zapasowe.

Na końcu wytyczne ENISA sprowadzają nas jednak do czegoś bardzo podstawowego.

Do fizycznej rzeczywistości.

Bo system informacyjny nie działa w próżni. Potrzebuje zasilania, chłodzenia, łączności, pomieszczenia, zabezpieczonego dostępu, ochrony przed zalaniem, pożarem, awarią techniczną i nieuprawnionym wejściem.

Dlatego ostatni obszar wytycznych ENISA dotyczących NIS 2 poświęcony jest bezpieczeństwu fizycznemu i środowiskowemu.

I dobrze domyka całą serię.

Bo nawet najlepiej zaprojektowany system, najlepiej sklasyfikowane aktywa i najlepiej ustawione uprawnienia nie pomogą, jeżeli infrastruktura fizyczna przestanie działać albo ktoś uzyska do niej nieautoryzowany dostęp.

Cyberbezpieczeństwo zależy od infrastruktury, której często nie widać

Pierwszy element tego rozdziału dotyczy usług wspierających, czyli wszystkiego, co umożliwia ciągłą pracę sieci i systemów informacyjnych.

ENISA wskazuje tu m.in.:

  • zasilanie,
  • wodę wykorzystywaną do chłodzenia lub innych potrzeb operacyjnych,
  • gaz,
  • wentylację i klimatyzację,
  • telekomunikację,
  • łączność internetową i sieciową.

To nie są dodatki do cyberbezpieczeństwa. To jego warunki brzegowe.

Jeżeli zabraknie zasilania, system przestaje działać.
Jeżeli zawiedzie chłodzenie, infrastruktura może zostać uszkodzona.
Jeżeli przerwana zostanie łączność, usługa może stać się niedostępna.
Jeżeli awaria mediów nie była uwzględniona w ocenie ryzyka, organizacja może nie mieć przygotowanego scenariusza reakcji.

Dlatego ENISA wymaga, aby ryzyka związane z awarią i zakłóceniem usług wspierających były uwzględnione w ocenie ryzyka.

To bardzo ważne, bo w praktyce wiele organizacji analizuje cyberataki, podatności i błędy konfiguracji, ale dużo rzadziej analizuje, co stanie się z dostępnością systemów w przypadku awarii zasilania, klimatyzacji albo łącza.

Usługi wspierające muszą być częścią ciągłości działania

Wytyczne ENISA wyraźnie łączą bezpieczeństwo fizyczne z ciągłością działania.

Dostępność zasilania, chłodzenia, telekomunikacji i połączenia internetowego powinna być uwzględniona w planach business continuity i disaster recovery.

To oznacza, że organizacja powinna wiedzieć nie tylko, jakie systemy są krytyczne, ale również jakie warunki fizyczne i techniczne są niezbędne, aby te systemy działały.

Jeżeli plan ciągłości działania zakłada odtworzenie systemu, ale nie uwzględnia zasilania awaryjnego, chłodzenia, paliwa do generatora albo alternatywnego łącza, to jest planem niepełnym.

ENISA wskazuje tu konkretne przykłady środków ochrony, takich jak:

  • UPS,
  • zasilanie bateryjne,
  • generatory,
  • zapas paliwa,
  • redundantne chłodzenie,
  • zapasowe komponenty,
  • alternatywne łącza,
  • umowy na awaryjne dostawy usług lub paliwa.

Nie chodzi o to, aby każda organizacja miała pełne centrum zapasowe. Chodzi o to, aby środki były adekwatne do ryzyka, krytyczności usług i wyników analizy ciągłości działania.

Monitorowanie parametrów środowiskowych to nie luksus

ENISA zwraca uwagę nie tylko na samo posiadanie środków ochrony, ale także na ich monitorowanie, utrzymanie i testowanie.

W praktyce oznacza to, że organizacja powinna wiedzieć:

  • czy zasilanie awaryjne zadziała,
  • czy agregat był testowany,
  • czy temperatura i wilgotność mieszczą się w przyjętych progach,
  • czy awaria łącza zostanie wykryta,
  • kto otrzyma informację o przekroczeniu parametrów,
  • jaka jest procedura reakcji.

Szczególnie ważne jest określenie minimalnych i maksymalnych progów kontrolnych dla zagrożeń fizycznych i środowiskowych oraz raportowanie zdarzeń, które te progi przekraczają.

Jeżeli serwerownia się przegrzewa, to nie jest problem administracyjny. To zdarzenie, które może wpłynąć na dostępność usług, integralność sprzętu i ciągłość działania organizacji.

Testy, przeglądy i świadomość zależności

Wytyczne ENISA wymagają regularnego testowania, przeglądu i aktualizacji środków ochrony przed awariami usług wspierających.

To oznacza, że samo posiadanie UPS-a, generatora albo klimatyzacji nie wystarcza.

Trzeba wiedzieć, czy te środki działają w praktyce.

ENISA wskazuje również na bardzo praktyczny przykład: uwzględnienie symulacji całkowitej awarii zasilania w procedurach testowania generatorów.

To pokazuje, że testy powinny być realistyczne. Nie chodzi wyłącznie o sprawdzenie kontrolki na urządzeniu. Chodzi o odpowiedź na pytanie, czy organizacja potrafi utrzymać lub przywrócić działanie systemów w warunkach rzeczywistego zakłócenia.

Ważna jest też świadomość pracowników. Osoby odpowiedzialne za systemy i procesy powinny rozumieć zależności od usług wspierających oraz wiedzieć, jak reagować na ich awarie.

Zagrożenia fizyczne i środowiskowe trzeba oceniać tak samo poważnie jak cyberataki

Drugi element rozdziału dotyczy ochrony przed zagrożeniami fizycznymi i środowiskowymi.

ENISA wskazuje na zdarzenia takie jak klęski żywiołowe, ale również inne zagrożenia celowe i niecelowe, które mogą wpłynąć na sieci i systemy informacyjne.

W praktyce mogą to być m.in.:

  • pożar,
  • zalanie,
  • awaria klimatyzacji,
  • uszkodzenie infrastruktury,
  • nieuprawnione wejście,
  • działanie pracownika lub osoby trzeciej,
  • zdarzenia wynikające z lokalizacji obiektu.

Kluczowe jest to, że ocena ryzyka powinna obejmować fizyczne lokalizacje organizacji: biura, serwerownie, centra danych, pomieszczenia techniczne oraz inne miejsca, w których znajdują się systemy, urządzenia lub aktywa wspierające ich działanie.

To szczególnie ważne w organizacjach rozproszonych, korzystających z pracy zdalnej, chmury, kolokacji albo infrastruktury dostawców.

W modelu w pełni zdalnym tradycyjna ochrona jednego biura czy jednej serwerowni może mieć mniejsze znaczenie, ale nie oznacza to braku obowiązków. Zmienia się tylko punkt ciężkości: większego znaczenia nabiera bezpieczeństwo środowisk pracy zdalnej, logiczna kontrola dostępu, zgodność urządzeń końcowych oraz weryfikacja zabezpieczeń fizycznych dostawców chmurowych lub kolokacyjnych.

Fizyczna ochrona musi wynikać z ryzyka, a nie z przyzwyczajenia

ENISA oczekuje, że organizacja określi, które aktywa wymagają ochrony przed zagrożeniami fizycznymi i środowiskowymi.

To oznacza, że zabezpieczenia nie powinny być przypadkowe.

Inaczej chronimy ogólnodostępne pomieszczenie biurowe.
Inaczej serwerownię.
Inaczej miejsce przechowywania kopii zapasowych.
Inaczej pomieszczenie z urządzeniami sieciowymi lub nośnikami danych.

Dobra ochrona fizyczna zaczyna się od odpowiedzi na pytanie: co się stanie, jeżeli to miejsce, urządzenie albo aktywo zostanie uszkodzone, przejęte lub stanie się niedostępne?

Na tej podstawie organizacja powinna określić środki ochrony, role, odpowiedzialności, zasady monitorowania oraz procedury reakcji.

Ochrona fizyczna to także polityka, procedury i ćwiczenia

Wytyczne ENISA wskazują, że organizacja może przygotować odrębną politykę dotyczącą ochrony przed zagrożeniami fizycznymi i środowiskowymi.

Taka polityka powinna określać m.in.:

  • cel i zakres,
  • systemy i aktywa objęte ochroną,
  • opis obiektów i pomieszczeń,
  • role i odpowiedzialności,
  • koordynację między jednostkami organizacyjnymi,
  • zgodność z prawem krajowym i unijnym, w tym z ochroną danych osobowych.

To pokazuje, że bezpieczeństwo fizyczne nie powinno być pozostawione wyłącznie administratorowi budynku albo firmie ochroniarskiej.

Jest częścią systemu bezpieczeństwa informacji.

Dlatego ENISA wskazuje również na potrzebę okresowych symulacji i działań zwiększających świadomość personelu. Pracownicy powinni wiedzieć, jak reagować w sytuacji zagrożenia fizycznego, awarii albo próby nieuprawnionego dostępu.

Granice bezpieczeństwa: gdzie zaczyna się strefa chroniona?

Trzeci element rozdziału dotyczy perymetru i kontroli dostępu fizycznego.

ENISA wymaga, aby organizacje zapobiegały nieautoryzowanemu dostępowi fizycznemu, uszkodzeniom i ingerencji w sieci oraz systemy informacyjne, a także monitorowały takie zdarzenia.

To bardzo praktyczne wymaganie.

Każda organizacja powinna wiedzieć, gdzie znajdują się jej kluczowe aktywa i jakie granice fizyczne je chronią.

Taką granicą może być:

  • budynek,
  • piętro,
  • strefa,
  • serwerownia,
  • pomieszczenie techniczne,
  • szafa rack,
  • miejsce przechowywania kopii lub nośników.

Na podstawie oceny ryzyka organizacja powinna określić perymetry bezpieczeństwa i chronić obszary, w których znajdują się systemy, aktywa i infrastruktura wspierająca.

Fizyczna kontrola dostępu musi być spójna z kontrolą logiczną

Bardzo ważny element wytycznych ENISA dotyczy powiązania fizycznej kontroli dostępu z kontrolą logiczną i sieciową.

To oznacza, że fizyczny dostęp do pomieszczeń, urządzeń lub infrastruktury nie powinien być analizowany oddzielnie od dostępu do systemów.

Jeżeli ktoś ma fizyczny dostęp do serwerowni, szafy sieciowej albo urządzeń administracyjnych, może uzyskać wpływ na bezpieczeństwo całego środowiska.

Dlatego procedury przyznawania, przeglądu i odbierania fizycznego dostępu powinny być spójne z zasadami zarządzania uprawnieniami.

W praktyce oznacza to m.in.:

  • listy osób uprawnionych do wejścia,
  • poziomy autoryzacji,
  • przeglądy dostępu fizycznego,
  • odbieranie dostępu po zmianie roli lub zakończeniu współpracy,
  • powiązanie z procedurami HR,
  • rejestrowanie wejść i wyjść.

To bardzo ważne, bo fizyczny dostęp często bywa traktowany mniej formalnie niż dostęp logiczny. Tymczasem z perspektywy NIS 2 oba te obszary są ze sobą powiązane.

Środki ochrony fizycznej muszą być adekwatne do strefy i aktywów

ENISA podaje przykłady środków ochrony fizycznej, które mogą być stosowane w zależności od ryzyka i krytyczności aktywów.

Mogą to być m.in.:

  • karty dostępu,
  • zamki,
  • kontrola biometryczna,
  • ochrona fizyczna,
  • elektroniczna kontrola wejść z historią zdarzeń,
  • strefowanie przestrzeni według poziomów autoryzacji,
  • CCTV,
  • ogrodzenia,
  • bariery,
  • patrole,
  • alarmy,
  • monitoring punktów wejścia.

Nie chodzi o to, aby każda organizacja stosowała wszystkie te środki.

Chodzi o to, aby potrafiła wykazać, że dobrała środki ochrony do ryzyka, krytyczności aktywów oraz potencjalnych skutków naruszenia.

Serwerownia, pomieszczenie z urządzeniami sieciowymi czy miejsce przechowywania kopii zapasowych powinny mieć inny poziom ochrony niż ogólnodostępne pomieszczenie biurowe.

Goście, dostawcy i osoby trzecie też są częścią ryzyka

Wytyczne ENISA zwracają uwagę na konieczność kontroli dostępu fizycznego także w odniesieniu do gości.

Organizacja powinna uwierzytelniać odwiedzających przed przyznaniem dostępu do obiektu, prowadzić rejestry wejść i, zgodnie z polityką, zapewniać nadzór lub eskortę.

To samo dotyczy dostawców i firm zewnętrznych.

Jeżeli osoba trzecia uzyskuje fizyczny dostęp do pomieszczeń, infrastruktury lub urządzeń, powinna działać w ramach jasnych zasad. Organizacja powinna wiedzieć, kto wszedł, kiedy, gdzie miał dostęp i w jakim celu.

W praktyce często właśnie ten obszar ujawnia słabości: wejścia „na chwilę”, dostęp serwisowy bez rejestru, nieaktualne listy osób uprawnionych, brak nadzoru nad pomieszczeniami technicznymi.

Testowanie fizycznej ochrony: czy zabezpieczenia naprawdę działają?

ENISA wymaga regularnego testowania, przeglądu i aktualizacji środków fizycznej kontroli dostępu, szczególnie po incydentach albo istotnych zmianach w działalności lub ryzyku.

Wytyczne wskazują m.in. na:

  • przegląd list dostępu,
  • testy prób obejścia zabezpieczeń,
  • kontrole na granicy fizycznej obiektu,
  • sprawdzanie ryzyka nieuprawnionego wyniesienia informacji lub komponentów systemów.

To bardzo mocny punkt.

Bo ochrona fizyczna, tak jak cyberbezpieczeństwo, nie może opierać się na założeniu, że „skoro jest zabezpieczenie, to działa”.

Trzeba to weryfikować.

Czy karta dostępu rzeczywiście ogranicza wejście?
Czy lista osób uprawnionych jest aktualna?
Czy były pracownik nadal ma dostęp?
Czy monitoring działa?
Czy nagrania są przechowywane przez określony czas zgodnie z przepisami?
Czy pracownicy wiedzą, jak reagować na intruza?

Bez testów i przeglądów fizyczna ochrona bardzo łatwo staje się iluzją.

Bezpieczeństwo fizyczne w modelu chmurowym i zdalnym

Wytyczne ENISA zauważają, że nie każda organizacja posiada własną scentralizowaną infrastrukturę lokalną.

Jeżeli organizacja działa w modelu zdalnym albo korzysta z usług chmurowych i kolokacyjnych, tradycyjne środki takie jak lokalne systemy wejść, ochrona fizyczna czy zabezpieczenie własnej serwerowni mogą mieć inne znaczenie.

Nie oznacza to jednak, że temat znika.

W takim modelu organizacja powinna skupić się na:

  • bezpieczeństwie środowisk pracy zdalnej,
  • silnej kontroli logicznej,
  • MFA,
  • zgodności urządzeń końcowych,
  • bezpiecznej łączności,
  • weryfikacji zabezpieczeń fizycznych dostawców,
  • zapisach w umowach i SLA,
  • przeglądzie raportów audytowych dostawców, takich jak ISO 27001 czy SOC 2, jeżeli są dostępne.

To pokazuje, że bezpieczeństwo fizyczne nie zawsze oznacza własną ochronę przy drzwiach. Czasem oznacza umiejętność sprawdzenia, czy ktoś inny właściwie chroni infrastrukturę, od której zależy organizacja.

Fizyczne zdarzenia są częścią cyberodporności

Cały rozdział 13 dobrze pokazuje, że NIS 2 rozumie cyberbezpieczeństwo jako odporność organizacji, a nie wyłącznie ochronę przed atakiem cyfrowym.

Awaria zasilania, przerwanie łącza, pożar, zalanie, przegrzanie serwerowni, nieuprawnione wejście do pomieszczenia technicznego albo wyniesienie nośnika danych mogą mieć równie poważne skutki jak incydent cybernetyczny.

Dlatego bezpieczeństwo fizyczne i środowiskowe musi być powiązane z:

  • oceną ryzyka,
  • BCP i DRP,
  • zarządzaniem aktywami,
  • kontrolą dostępu,
  • procedurami HR,
  • monitorowaniem,
  • reagowaniem na incydenty.

Dopiero wtedy organizacja może mówić o spójnej ochronie.

Zakończenie serii NIS 2 według ENISA

Tym wpisem domykamy omówienie głównych obszarów wytycznych ENISA dotyczących NIS 2.

Zaczynaliśmy od polityki bezpieczeństwa, odpowiedzialności i zarządzania ryzykiem. Przeszliśmy przez incydenty, ciągłość działania, łańcuch dostaw, bezpieczeństwo systemów, testy, podatności, szkolenia, kryptografię, bezpieczeństwo ludzi, kontrolę dostępu i zarządzanie aktywami.

Kończymy na bezpieczeństwie fizycznym i środowiskowym, bo to ono przypomina, że cyberbezpieczeństwo nie jest abstrakcyjne.

Ma swoje pomieszczenia, urządzenia, kable, zasilanie, chłodzenie, wejścia, strefy, klucze, karty i ludzi, którzy mogą dostać się tam, gdzie nie powinni.

NIS 2 nie pyta więc tylko o to, czy organizacja ma zabezpieczenia techniczne.

Pyta, czy potrafi utrzymać działanie usług, chronić aktywa i kontrolować ryzyko w całym środowisku, w którym te usługi funkcjonują.

I to jest właśnie sens odporności organizacyjnej.

Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!

Przejdź do treści