NIS2 (Network and Information Security Directive 2) — nowa unijna dyrektywa bezpieczeństwa — weszła w życie w październiku 2024 dla podmiotów kluczowych, od października 2025 dla podmiotów ważnych. Jeśli prowadzisz firmę energetyczną, bankową, produkcyjną albo jesteś dostawcą usług cyfrowych — NIS2 obejmuje Cię. Co to oznacza dla ITSM? Art. 21 NIS2 wymaga 10 konkretnych wymagań bezpieczeństwa dla IT — od kontroli dostępu przez zarządzanie zmianami aż po obowiązkowe zgłoszenie incydentu bezpieczeństwa w ciągu 72 godzin. W tym artykule pokazuję, jak ManageEngine ServiceDesk Plus spełnia te wymagania, i praktyczną checklist'ę dla IT managerów.
Które firmy obejmuje NIS2?
Podmioty kluczowe (essential entities) — obowiązkowe od 18.10.2024:
- Elektrownie i sieci energetyczne
- Linie kolejowe i transport publiczny
- Banki i instytucje finansowe
- Szpitale i usługi zdrowotne (systemy krytyczne)
- Dostarczanie wody i ścieków
- Obiekty produkcji i dystrybucji gazu
Podmioty ważne (important entities) — obowiązkowe od 18.10.2025:
- Fabryki i produkcja (bez kategorii powyżej)
- Usługi pocztowe i kurierskie
- Zarządzanie odpadami
- Dostawcy usług cyfrowych (cloud, hosting, DNS, certyfikaty SSL)
- Rynki publiczne
Zwolnienia: Firmy poniżej 250 pracowników mogą być zwolnione z wymagań operacyjnych NIS2, ale jeśli działają w sektorach strategicznych — są objęte. Ponadto, małe MSP mogą ubiegać się o zwolnienie, jeśli ich udział w rynku jest poniżej 5%.
Art. 21 NIS2 — 10 wymagań bezpieczeństwa dla IT
Każdy podmiot objęty NIS2 MUSI wdrożyć te 10 wymagań:
| # | Wymaganie | Opis praktycznie |
|---|---|---|
| 1 | Zarządzanie zagrożeniami (Threat Management) | Zidentyfikuj, kataloguj i monitoruj zagrożenia dla IT. Proces CVSS scoring, tracking podatności. |
| 2 | Kontrola dostępu (Access Control) | MFA (multi-factor authentication), segregacja ról (RBAC), principle of least privilege. Audit trail dla każdego logowania. |
| 3 | Zarządzanie aktywami (Asset Management) | Katalog wszystkich systemów IT, sprzętu, oprogramowania. Śledzenie cyklu życia, wartości biznesowej. |
| 4 | Zarządzanie zmianami (Change Management) | Każda zmiana w IT (patch, update, konfiguracja) musi być zalogowana, zatwierdzona, testowana. CAB (Change Advisory Board). |
| 5 | Zarządzanie dostawcami (Supply Chain Security) | Kontrola bezpieczeństwa u dostawców trzecich: cloud providers, SaaS, integracje. Umowy SLA z klauzulą bezpieczeństwa. |
| 6 | Zarządzanie incydentami (Incident Management) | Plan reagowania na incydenty, eskalacja, komunikacja, dokumentacja. Zgłoszenie do władz w 72h dla serious incidents. |
| 7 | Kopie zapasowe i Disaster Recovery | Backup codzienne, offline copy, DR plan z RTO/RPO. Testowanie DR co 6-12 miesięcy. |
| 8 | Szkolenia bezpieczeństwa (Security Training) | Wszyscy pracownicy co roku szkolenie (phishing, social engineering, hasła). Dokumentacja uczestnictwa. |
| 9 | Testowanie bezpieczeństwa (Penetration Testing) | Co najmniej raz w roku: penetration testing, vulnerability scanning, red team exercise. Raport z wynikami. |
| 10 | Monitoring i Logowanie (Audit Logging) | Wszystkie zdarzenia bezpieczeństwa logowane: logowania, zmiany, incydenty. Audit trail co najmniej 12 miesięcy. |
Jak ITSM pomaga spełnić NIS2?
Nowoczesny system ITSM (jak ManageEngine ServiceDesk Plus) jest fundamentem compliance'u NIS2:
- Incident Management — każdy incydent bezpieczeństwa jest zarejestrowany, ze znacznikiem czasowym, eskalacją i statusem.
- Change Management — każda zmiana (patch, update) jest śledzljena: kto, kiedy, co zmienił, czy było testowanie, czy była aprobata.
- Asset Management — katalog wszystkich systemów: serwery, laptopy, oprogramowanie, licencje, producent, wersja, podatności.
- Audit Trail — ITSM loguje wszystkie akcje: logowania, zmiany, akcje IT, komunikację. To dowód dla audytora NIS2.
- Raportowanie — ITSM generuje raporty: ile incydentów w miesiącu, średni czas rozwiązania, ile zmian zatwierdzonych, czy SLA'y zostały spełnione.
Bez ITSM jesteś zagrożony NIS2 compliance'em — nie masz dowodu, że zarządzasz incydentami, zmianami i aktywami.
Obowiązek zgłoszenia incydentu w 72h — jak ITSM ułatwia raportowanie
Art. 23 NIS2: Podmiot objęty NIS2 MUSI zgłosić „serious incident" (np. ransomware, wyciek danych) do władz bezpieczeństwa w ciągu 72 godzin od wykrycia.
Co to znaczy „odkrycie"? To moment, gdy IT team odkrył incydent (nie moment, gdy się zaczął, ale kiedy się zorientowali). Dlatego ITSM z dokładnym timestamping'iem jest krytyczny — musisz móc powiedzieć: „Incydent odkryty 2024-05-15 08:30, zgłoszony władzom 2024-05-16 14:00" — dowód że masz 30 godzin buforu.
ManageEngine ServiceDesk Plus automatycznie loguje czas zgłoszenia i wszystkie zmiany statusu incydentu. Wygenerujesz raport z czasu zgłoszenia do czasu powiadomienia władz — to dokumentacja compliance'u.
Checklista NIS2 × ManageEngine ServiceDesk Plus
Poniżej praktyczna lista do wdrażania:
- Zainstaluj ManageEngine ServiceDesk Plus Professional/Enterprise (wymaga Incident Management, Change Management, Asset Management modułów)
- Konfiguruj Incident Management: kategorie (bezpieczeństwo, poufność, dostępność), priorytety, SLA dla serious incidents (max 72h na zgłoszenie do władz)
- Włącz Change Management: każda zmiana wymaga wniosku, testowania, approval od CAB (Change Advisory Board), audit trail
- Konfiguruj Asset Management: zaimportuj wszystkie systemy IT (serwery, laptopy, oprogramowanie, licencje)
- Audit Trail: upewnij się że ITSM loguje wszystkie akcje (minimum 12 miesięcy historii)
- Backup ITSM: serwer ManageEngine musi być backupowany codziennie, offline copy co tydzień. DR plan z RTO max 4 godziny
- MFA: włącz Multi-Factor Authentication dla wszystkich użytkowników ITSM
- RBAC: ustaw role: IT Manager, Incident Manager, Change Manager, Auditor. Segregacja dostępu.
- Raportowanie: generuj co miesiąc raport: liczba incydentów, liczba zmian, audit trail excerpt, compliance check
- Szkolenia: co roku szkolenie dla IT team na temat ITSM, incident response, compliance NIS2
FAQ — NIS2 i ITSM compliance
Które firmy obejmuje NIS2?
NIS2 obejmuje dwie grupy: 1) Podmioty kluczowe (essential entities) — energetyka, transport, bankowość, opieka zdrowotna, dostarczanie wody, cybernetyka (obowiązkowe od 18.10.2024). 2) Podmioty ważne (important entities) — produkcja, usługi pocztowe, zarządzanie odpadami, dostawcy usług cyfrowych (obowiązkowe od 18.10.2025). Firmy poniżej 250 pracowników mogą być zwolnione, ale jeśli działają w sektorach strategicznych — są objęte.
Art. 21 NIS2 — jakie 10 wymagań dla IT?
Art. 21 NIS2 wymaga: 1) Zarządzanie zagrożeniami IT (threat management). 2) Kontrola dostępu (MFA, segregacja ról). 3) Zarządzanie aktywami (asset management). 4) Zarządzanie zmianami (change control). 5) Zarządzanie dostawcami trzecich (supply chain security). 6) Zarządzanie incydentami bezpieczeństwa (incident response plan). 7) Kopie zapasowe i disaster recovery. 8) Szkolenia bezpieczeństwa dla pracowników. 9) Testowanie bezpieczeństwa (penetration testing, vulnerability scanning). 10) Monitoring i logowanie zdarzeń bezpieczeństwa (audit trail).
Obowiązek zgłoszenia incydentu w 72h — co to oznacza?
Firma objęta NIS2 MUSI zgłosić incydent bezpieczeństwa (np. atak ransomware'u, wyciek danych) do władz bezpieczeństwa w ciągu 72 godzin od wykrycia. Jeśli incydent dotyczy danych osobowych RODO, trzeba zgłosić też do UODO. Bez systemu ITSM ze audit trail'em jesteś zagubiony — nie wiesz dokładnie kiedy incydent się zaczął. ManageEngine ServiceDesk Plus automatycznie loguje czas zgłoszenia, eskalacji, zawiadomienia — to dowód dla audytora.
Czy ManageEngine ServiceDesk Plus spełnia wymagania NIS2?
Tak, ManageEngine ServiceDesk Plus Professional/Enterprise spełnia większość wymagań Art. 21: 1) Zarządzanie incydentami (Incident Management), 2) Audit trail (wszystkie akcje logowane), 3) Kontrola dostępu (RBAC, MFA), 4) Zarządzanie zmianami (Change Management CAB), 5) Zarządzanie problemami (problem root cause analysis), 6) Raportowanie do władz (incident tracking, timestamps). Wymagane są też: backup SDP, disaster recovery plan, penetration testing. ManageEngine nie spełnia sám, ale jest fundamentem do compliance.
Powiązane artykuły
ManageEngine ServiceDesk Plus cena — ile kosztuje wdrożenie? Wdrożenie ManageEngine w Polsce — jak wygląda proces krok po kroku ITSM dla produkcji — kompleksowe rozwiązania dla fabrykCzy Twoja firma spełnia wymagania NIS2?
Rotech Group sprawdzi Twoją infrastrukturę IT i procesy ITSM, czy spełniają wymagania Art. 21 NIS2. Raport z lukami (gaps), plan remediation, wycena implementacji ManageEngine. Bez zobowiązania.
Umów bezpłatną konsultację →