ISO 27001 a NIS2 i UKSC
Wiele organizacji zadaje dziś to samo pytanie: czy ISO 27001 pomaga spełnić wymagania NIS2 i UKSC? Odpowiedź brzmi: tak, ale nie w pełni.
To ważne szczególnie teraz, ponieważ polska nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, wdrażająca NIS2, została ogłoszona 2 marca 2026 r. i wchodzi w życie 3 kwietnia 2026 r.
Czy ISO 27001 pomaga w spełnieniu wymagań NIS2?
Tak. ISO/IEC 27001 porządkuje obszary, które są kluczowe także z perspektywy NIS2 i UKSC, takie jak:
- zarządzanie ryzykiem,
- polityki bezpieczeństwa,
- kontrola dostępu,
- zarządzanie incydentami,
- bezpieczeństwo dostawców,
- ciągłość działania,
- odpowiedzialności i dokumentacja.
To oznacza, że organizacja z wdrożonym SZBI zwykle nie zaczyna od zera. Ma już strukturę, procesy i właścicieli odpowiedzialności, co realnie skraca drogę do zgodności. Sama norma ISO 27001 jest właśnie standardem dla ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji.
Sprawdź, czy podlegasz pod UKSC (NIS2)
Sprawdz w minutę, czy Twoja firma podlega pod UKSC / NIS2. Masz pytanie? Skontaktuj się z nami!
Czy certyfikat ISO 27001 wystarczy do zgodności z NIS2 i UKSC?
Nie. To najczęstsze nieporozumienie.
Certyfikat ISO 27001 nie jest równoznaczny ze zgodnością z NIS2 ani z UKSC. Pomaga bardzo mocno w warstwie organizacyjnej i operacyjnej, ale nie zastępuje obowiązków wynikających wprost z przepisów.
Znowelizowana UKSC wymaga od podmiotów kluczowych i ważnych wdrożenia systemu zarządzania bezpieczeństwem informacji, obejmującego m.in. zarządzanie ryzykiem, bezpieczeństwo łańcucha dostaw ICT, zarządzanie podatnościami, cyberhigienę, polityki kryptografii, zarządzanie aktywami i kontrolę dostępu. To jest obszar, w którym ISO 27001 rzeczywiście daje mocny fundament.
Problem w tym, że regulacja idzie dalej niż sama norma. Różnice między ISO 27001 a NIS2 omawialiśmy podczas spotkania na żywo.
Czego ISO 27001 nie pokrywa wprost?
1. Raportowanie incydentów do właściwego CSIRT
NIS2 i UKSC wprowadzają obowiązki raportowe wobec właściwych podmiotów państwowego systemu cyberbezpieczeństwa. Ustawa przewiduje m.in. wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin i sprawozdanie końcowe w ciągu miesiąca. ISO 27001 pomaga zbudować proces obsługi incydentu, ale nie zastępuje tego obowiązku regulacyjnego.
2. Obowiązki formalne wobec organów
Certyfikat nie rozstrzyga, czy organizacja jest podmiotem kluczowym lub ważnym, nie zastępuje obowiązków wobec organu właściwego i nie zwalnia z wymogów ustawowych wynikających z UKSC. O tym decydują przepisy, nie norma.
3. Audyt wynikający z ustawy
Ustawa przewiduje obowiązki audytowe dla określonych podmiotów. Sam fakt posiadania certyfikatu ISO nie oznacza automatycznie, że organizacja spełniła obowiązek audytu wymagany przez UKSC.
4. Odpowiedzialność zarządu i ryzyko sankcji
ISO 27001 porządkuje role i odpowiedzialności, ale nie zastępuje odpowiedzialności regulacyjnej wynikającej z ustawy. To istotna różnica, której nie warto rozmywać marketingowo.
ISO 27001 jako fundament zgodności z NIS2
Norma ISO/IEC 27001 definiuje system zarządzania bezpieczeństwem informacji (SZBI), obejmujący m.in. zarządzanie ryzykiem, polityki bezpieczeństwa, kontrolę dostępu czy obsługę incydentów. Obszary te odpowiadają wymaganiom art. 21 dyrektywy NIS2, dotyczącym środków zarządzania ryzykiem cyberbezpieczeństwa.
W praktyce oznacza to, że organizacja posiadająca wdrożony SZBI:
- ma uporządkowane podejście do bezpieczeństwa,
- zarządza ryzykiem w sposób systemowy,
- posiada udokumentowane procedury i odpowiedzialności,
- jest znacznie bliżej spełnienia wymagań regulacyjnych niż podmiot bez takiego systemu.
Przykłady pokrycia wymagań NIS2 przez ISO 27001
Przykładowo zarządzanie incydentami w ISO 27001 (kontrole A.5.24–A.5.27) wspiera spełnienie wymogu NIS2 dotyczącego zdolności do wykrywania i reagowania na incydenty. Podobnie zarządzanie bezpieczeństwem dostawców (A.5.19–A.5.21) pokrywa wymagania NIS2 w zakresie bezpieczeństwa łańcucha dostaw ICT.
To są obszary, w których ISO 27001 realnie przyspiesza dojście do zgodności – ponieważ organizacja posiada już procesy operacyjne, a nie musi budować ich od podstaw.
ISO 27001 a obowiązki wynikające z UKSC (stan na marzec 2026)
Warto jasno rozróżnić dwie rzeczy:
- ISO 27001 jest standardem zarządczym,
- UKSC jest aktem prawnym.
Nowelizacja UKSC wdrażająca NIS2 wprowadza konkretne obowiązki, m.in.:
- wdrożenie systemowego podejścia do bezpieczeństwa (zbliżonego do SZBI),
- zarządzanie ryzykiem,
- bezpieczeństwo łańcucha dostaw ICT,
- zarządzanie incydentami i ich raportowanie,
- obowiązki dokumentacyjne i audytowe.
ISO 27001 bardzo dobrze pokrywa część z tych wymagań – szczególnie w obszarze organizacyjnym i procesowym – ale nie obejmuje warstwy regulacyjnej, czyli relacji z państwowym systemem cyberbezpieczeństwa.
Czy ISO 27001 wystarczy do zgodności z NIS2?
ISO 27001 może stanowić solidny fundament wdrożenia NIS2/UKSC, pokrywając znaczną część wymagań organizacyjnych i technicznych. Aby jednak osiągnąć pełną zgodność z NIS2, organizacje muszą dodatkowo wdrożyć procesy wynikające bezpośrednio z regulacji, zwłaszcza w obszarze raportowania incydentów i relacji z organami nadzorczymi.
ISO 27001 znacząco ułatwia spełnienie wymagań NIS2 i UKSC, ale nie zapewnia zgodności automatycznie.
Organizacje, które posiadają wdrożony SZBI:
- mają już dużą część fundamentu,
- są bliżej zgodności,
- szybciej identyfikują luki.
Jednocześnie pełna zgodność wymaga uwzględnienia obowiązków wynikających bezpośrednio z przepisów – zwłaszcza w obszarze raportowania incydentów i współpracy z organami.
