W których branżach wymagane jest uwierzytelnianie dwuskładnikowe (2FA)?

Uwierzytelnianie dwuskładnikowe (2FA) nie jest już tylko „zalecanym” środkiem bezpieczeństwa. W branżach takich jak finanse, opieka zdrowotna, administracja publiczna, handel detaliczny, edukacja i technologia, organy regulacyjne coraz częściej oczekują od organizacji wdrożenia uwierzytelniania wieloskładnikowego w celu ochrony poufnych danych i zapobiegania nieautoryzowanemu dostępowi. Uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA) jest w niektórych kontekstach wymagane wprost (na przykład przez PCI DSS oraz PSD2 SCA), a w innych często oczekiwane lub stosowane w celu spełnienia wymogów bezpieczeństwa wynikających z takich frameworków jak NIST SP 800‑171, HIPAA, FERPA, CCPA czy NIS2.

Hasła nadal stanowią najłatwiejszy sposób włamania się dla atakujących, a cyberataki stale rosną. Dlatego branże na całym świecie zaostrzają przepisy dotyczące uwierzytelniania. Jeśli działasz w bankowości, opiece zdrowotnej, SaaS, edukacji lub sektorze publicznym, wiedza o tym, kiedy wymagane jest uwierzytelnianie dwuskładnikowe, może uchronić Cię przed grzywnami, naruszeniami bezpieczeństwa i nieprzespanymi nocami.

W tym przewodniku omówiono branże, w których uwierzytelnianie dwuskładnikowe (2FA) lub wieloskładnikowe (MFA) jest obecnie wymagane lub prawnie wymagane oraz przepisy regulujące te wymagania. Po przeczytaniu przewodnika dowiesz się dokładnie, czego potrzebuje Twoja firma i jak rozwiązania takie jak Rublon MFA sprawiają, że zachowanie bezpieczeństwa jest proste i bezproblemowe.

Uwierzytelnianie wieloskładnikowe czy dwuskładnikowe?

Uwierzytelnianie dwuskładnikowe (2FA) to środek bezpieczeństwa, który wymaga od użytkownika podania dwóch rodzajów danych identyfikacyjnych przed uzyskaniem dostępu do konta. Chociaż nie jest obowiązkowe dla każdego podmiotu w każdej branży, jest to kluczowy środek w sektorach przetwarzających dane wrażliwe. Przyjrzyjmy się bliżej branżom, które wymagają uwierzytelniania wieloskładnikowego.

Uwierzytelnianie wieloskładnikowe (MFA) i uwierzytelnianie dwuskładnikowe (2FA) to środki bezpieczeństwa wymagane do zapewnienia zgodności z przepisami. 2FA wykorzystuje dwa odrębne czynniki do weryfikacji tożsamości, podczas gdy MFA może obejmować dwa lub więcej czynników. Chociaż przepisy często wspominają o MFA, zazwyczaj wymagają one tylko dwóch czynników, więc 2FA również jest zgodne z przepisami. Niezależnie od tego, czy chodzi o MFA czy 2FA, cel pozostaje ten sam: zapewnienie dodatkowej warstwy bezpieczeństwa, która utrudni osobom nieupoważnionym dostęp do poufnych informacji.

Część regulacji mówi też o tzw. „silnym uwierzytelnianiu” (np. SCA w PSD2), które w praktyce najczęściej oznacza MFA dla dostępu lub transakcji podwyższonego ryzyka.

W skrócie: Czy potrzebujesz uwierzytelniania dwuskładnikowego (2FA)?

• Finanse, administracja publiczna, usługi komunalne i produkcja — w praktyce 2FA/MFA jest często obowiązkowe w ramach standardów i regulacji takich jak PCI DSS, NIS2, PSD2 oraz NIST SP 800-171.
• Firmy z branży handlu detalicznego, opieki zdrowotnej, edukacji i technologii — uwierzytelnianie dwuskładnikowe (2FA) jest zdecydowanie zalecane lub pośrednio wymagane na mocy szerszych ram prawnych (FERPA, CCPA, RODO, ISO 27001, HIPAA).
• Większość przepisów nie określa dostawcy — określają rezultaty: silne uwierzytelnianie + odporność na phishing i ataki na dane uwierzytelniające.
• 2FA = skrót do zgodności: niemal wszystkie ramy cyberbezpieczeństwa traktują uwierzytelnianie wieloskładnikowe (MFA) jako „najlepszą praktykę bazową” w zakresie zabezpieczania dostępu do poufnych danych.
• Rublon MFA pomaga organizacjom spełnić wymagania dotyczące uwierzytelniania dwuskładnikowego (2FA/MFA) w różnych branżach dzięki silnym czynnikom uwierzytelniania, opcjom odporności na phishing i szerokim możliwościom integracji.

Które branże doświadczają najwięcej naruszeń danych? (Wnioski z DBIR 2025)

Poniższy wykres przedstawia rozkład potwierdzonych naruszeń danych w poszczególnych branżach na podstawie raportu Verizon DBIR 2025. DBIR odnotowował 12 195 zweryfikowanych naruszeń w ciągu roku, jednak liczby tej nie należy traktować jako globalnej skali zjawiska. Raport obejmuje wyłącznie przypadki potwierdzone, udokumentowane i szczegółowo przeanalizowane przez współpracujące organizacje, co oznacza, że jest to uporządkowana próba statystyczna, a nie pełne zestawienie wszystkich incydentów na świecie. W rzeczywistości skala wycieków jest znacznie większa. Przykładowo Statista wskazuje, że tylko w II kwartale 2025 roku wyciekło globalnie niemal 94 milionów rekordów danych. Właśnie dlatego siła danych z raportu DBIR tkwi w informacji które branże są najbardziej narażone i jak rozkładają się naruszenia, a nie w szacowaniu ich rzeczywistej liczby na świecie.

Raport Verizon DBIR 2025 odnotowuje łącznie 12 195 naruszeń danych we wszystkich branżach. Wśród przedstawionych tutaj sektorów najwięcej naruszeń miały: produkcja (1 607) oraz opieka zdrowotna (1 542), a następnie administracja publiczna (946) i sektor finansowy (927).

Które branże wymagają 2FA / MFA?

1. Usługi finansowe
2. Opieka zdrowotna
3. Organy ścigania
4. Obronność
5. Administracja publiczna
6. Handel detaliczny
7. Handel
8. Edukacja
9. Technologia
10. Kancelarie prawne
11. Fundusze inwestycyjne
12. Branża produkcyjna
13. Przedsiębiorstwa komunalne

Wymagania dotyczące 2FA i MFA w poszczególnych branżach – wygodna tabela

Poniższa tabela pokazuje najczęściej spotykane regulacje i ramy bezpieczeństwa, które w danej branży wymagają lub silnie rekomendują 2FA/MFA. Traktuj ją jako punkt wyjścia: konkretne obowiązki zależą od kraju/jurysdykcji, rodzaju przetwarzanych danych oraz tego, czy organizacja świadczy usługi kluczowe albo obsługuje systemy regulowane.

Branża	Kluczowe regulacje wymagające lub rekomendujące MFA/2FA
Usługi finansowe	PCI DSS, PSD2 (SCA), DORA, GLBA, FTC Safeguards Rule, SOX, SOC 2, BSA, FFIEC IT Handbook, NAIC, NYDFS 23 NYCRR 500
Opieka zdrowotna	HIPAA, HITECH, wymagania EPCS, NIST SP 800-66, RODO
Organy ścigania	CJIS Security Policy, NCIC
Obronność	DFARS 252.204-7012, NIST SP 800-171, CMMC
Administracja publiczna	ustawa o KSC, NIS2, RODO, NIST SP 800-63, Federal Zero Trust Strategy, wytyczne NCSA
Handel detaliczny	PCI DSS, RODO, CCPA
Handel towarowy	C-TPAT
Edukacja	FERPA, HEOA, Australian Privacy Act 1988, PIPEDA
Technologia	SOC 2, ISO/IEC 27001, CIS Controls, FedRAMP, NIST SP 800-63
Kancelarie prawne	RODO, ISO/IEC 27001, wytyczne ABA dotyczące cyberbezpieczeństwa
Fundusze inwestycyjne	SEBI, PCI DSS i RODO przy przetwarzaniu danych klientów
Branża produkcyjna	NIST SP 800-171, CMMC, IEC/ISA 62443, ramy bezpieczeństwa Industry 4.0, ISO/IEC 27001, RODO, TISAX / VDA ISA
Przedsiębiorstwa komunalne	Ustawa o KSC, NIS2, RODO, NERC CIP, TSA Security Directives, IEC/ISA 62443 (OT/ICS), NIST Cybersecurity Framework (CSF)

Usługi finansowe

Branża finansowa jest pionierem we wdrażaniu technologii uwierzytelniania dwuskładnikowego (2FA). Instytucje finansowe, w tym banki i firmy ubezpieczeniowe, codziennie przetwarzają poufne dane klientów i duże transakcje pieniężne. W związku z tym sektor finansowy musi wdrożyć uwierzytelnianie wielopoziomowe (MFA), aby chronić się przed oszustwami i naruszeniami danych.

Według raportu Mordor Intelligence zatytułowanego MULTIFACTOR AUTHENTICATION (MFA) MARKET SIZE & SHARE ANALYSIS, sektor bankowy i finansowy odpowiada za 23,95% globalnego rynku MFA, co czyni go największym segmentem branżowym.

Przykłady rzeczywistych zastosowań MFA i 2FA w tej branży

Dwa główne przykłady wykorzystania uwierzytelniania dwuczynnikowego w usługach finansowych to bankomaty i logowanie do bankowości internetowej.

Najczęstszym przykładem 2FA w branży finansowej jest bankomat. Korzystając z bankomatu, klienci potrzebują zarówno swojego kodu PIN (czegoś, co znają), jak i karty bankomatowej (czegoś, co posiadają). Jest to praktyczny przykład 2FA z życia wzięty.

Innym przykładem uwierzytelniania dwuskładnikowego (2FA) w branży finansowej jest bankowość internetowa, gdzie klienci w pierwszym kroku wpisują swój login i hasło, a następnie otrzymują wiadomość SMS z banku. Wiadomość SMS zawiera krótkie, jednorazowe hasło. Bank prosi klienta o podanie tego hasła na stronie logowania, aby uzyskać dostęp do swojego konta bankowości internetowej.

Uwierzytelnianie dwuskładnikowe (2FA) w sektorze finansowym: wymagania cyberbezpieczeństwa i zgodności z regulacjami

W zależności od lokalizacji instytucje finansowe muszą przestrzegać następujących przepisów dotyczących bezpieczeństwa i uwierzytelniania dwuskładnikowego. W nawiasach kwadratowych podano zakres jurysdykcji.

PCI DSS [Globalne]

Organizacje przetwarzające i przechowujące informacje o płatnościach kartami muszą przestrzegać standardu bezpieczeństwa danych branży kart płatniczych (PCI DSS), który określa bezpieczeństwo informacji dla organizacji obsługujących markowe karty kredytowe.

• Organizacje przetwarzające i przechowujące informacje o płatnościach kartami muszą przestrzegać standardu bezpieczeństwa danych branży kart płatniczych (PCI DSS), który określa bezpieczeństwo informacji dla organizacji obsługujących markowe karty kredytowe.
• Uwierzytelnianie wieloskładnikowe (MFA) musi być odporne na ataki typu replay.
• Uwierzytelnianie wieloskładnikowe (MFA) musi chronić dostęp wszystkich użytkowników do środowiska danych posiadacza karty (CDE).
• Uwierzytelnianie wieloskładnikowe (MFA) musi być włączone dla każdego zdalnego dostępu przez VPN, RDP, VDI i SSH.
• Uwierzytelnianie wieloskładnikowe (MFA) musi zostać przeprowadzone dwukrotnie, jeśli użytkownik najpierw połączy się z siecią, w której znajduje się CDE, a następnie z samym CDE.
• Nie można użyć tego samego składnika uwierzytelniania dwukrotnie, ponieważ nie jest to wtedy uwierzytelnianie MFA.
• Najnowszą wersję PCI DSS można znaleźć tutaj.

Dyrektywa w sprawie usług płatniczych 2 (PSD2) [Unia Europejska]

Wszystkie instytucje finansowe w Unii Europejskiej muszą przestrzegać dyrektywy PSD2. Dyrektywa ta ma zastosowanie przede wszystkim do dostawców usług płatniczych w Europejskim Obszarze Gospodarczym, w tym instytucji płatniczych, instytucji kredytowych, instytucji pieniądza elektronicznego i banków centralnych.

• PSD2 nakłada obowiązek stosowania silnego uwierzytelniania klienta (SCA), które jest formą uwierzytelniania wieloskładnikowego, w celu zwiększenia bezpieczeństwa płatności elektronicznych.
• PSD2 określa również sytuacje, w których SCA może zostać pominięte. Na przykład niektóre płatności zbliżeniowe do 50 € mogą być zwolnione z SCA, ale tylko do momentu osiągnięcia limitów kumulacyjnych (takich jak 150 € łącznej wartości lub 5 kolejnych transakcji).
• W przypadku płatności online konieczne jest również zapewnienie tzw. dynamicznego linkowania. Chociaż dyrektywa koncentruje się przede wszystkim na usługach finansowych, jej zakres może wykraczać poza tradycyjne instytucje finansowe, w zależności od charakteru transakcji. Szczegółowe wymagania mogą się różnić w zależności od profilu ryzyka danej instytucji i ram regulacyjnych obowiązujących w jej jurysdykcji.

Digital Operational Resilience Act (DORA) [Unia Europejska]

DORA to rozporządzenie Unii Europejskiej, które ma zastosowanie do różnych podmiotów finansowych. Nie wymaga ono uwierzytelniania wieloskładnikowego (MFA) wprost, ale Artykuł 9 DORA wymaga silnych środków bezpieczeństwa w celu ochrony przed nieautoryzowanym dostępem i naruszeniami danych. W związku z tym skorzystanie z uwierzytelniania wieloskładnikowego jest najlepszym sposobem na spełnienie tych wymogów bezpieczeństwa.

Ustawa Gramm-Leach-Bliley z 1999 r. (GLBA) [Stany Zjednoczone]

Ustawa Gramm-Leach-Bliley nakłada na instytucje finansowe w Stanach Zjednoczonych – definiowane jako firmy oferujące konsumentom produkty lub usługi finansowe, takie jak pożyczki, doradztwo finansowe lub inwestycyjne czy ubezpieczenia – obowiązek wyjaśniania klientom swoich praktyk udostępniania informacji oraz zabezpieczania poufnych informacji w celu ochrony poufności i integralności danych osobowych konsumentów. Uwierzytelnianie wieloskładnikowe (MFA) nie jest obowiązkowe, ale znacznie ułatwia powyższe zadanie.

FTC Safeguards Rule [Stany Zjednoczone]

Przepisy te, znowelizowane na mocy ustawy Gramm-Leach-Bliley (GLBA), nakładają na instytucje finansowe podlegające jurysdykcji FTC obowiązek zabezpieczania prywatnych danych konsumentów. Co istotne, przepis ten obejmuje podmioty stowarzyszone i dostawców usług objętych przepisami organizacji, wymagając od nich również zabezpieczenia danych konsumentów zgodnie ze standardami FTC.

Przepisy te obejmują szerokie spektrum podmiotów, w tym między innymi pożyczkodawców hipotecznych, pożyczkodawców chwilówek, firmy finansowe, brokerów hipotecznych, podmioty obsługujące konta, firmy realizujące czeki, firmy przekazujące przelewy bankowe, agencje windykacyjne, doradców kredytowych, doradców finansowych, firmy zajmujące się przygotowywaniem zeznań podatkowych, nieubezpieczone przez państwo kasy oszczędnościowo-kredytowe oraz doradców inwestycyjnych, które nie muszą rejestrować się w Komisji Papierów Wartościowych i Giełd (SEC). Spośród wielu wymogów przepisów FTC dotyczących zabezpieczeń, najważniejszym jest stosowanie uwierzytelniania wieloskładnikowego (MFA) przez każdego, kto uzyskuje dostęp do informacji o klientach w systemie.

Ustawa Sarbanesa-Oxleya (SOX) [Stany Zjednoczone]

Zgodność z ustawą SOX jest sprawdzana za pomocą Międzynarodowego Standardu Usług Atestacyjnych 3402 (ISAE 3402) oraz ram audytu Service Organization Control (SOC). Zasadniczo uwierzytelnianie wielofaktorowe nie jest wyraźnie wymienione, ale wdrożenie MFA znacznie ułatwia osiągnięcie zgodności z ISAE 3402 i pozytywne przejście audytu SOC 2. Na przykład, w przypadku SOC 2, MFA zapewni zabezpieczenie informacji przed nieautoryzowanym dostępem.

Ustawa o tajemnicy bankowej (Bank Secrecy Act, BSA) [Stany Zjednoczone]

Chociaż sama ustawa BSA nie wymaga wprost uwierzytelniania wieloskładnikowego, od instytucji finansowych w Stanach Zjednoczonych oczekuje się wdrożenia mechanizmu MFA lub podobnych mechanizmów kontroli jako części ogólnych praktyk bezpieczeństwa, zgodnie z wytycznymi Federal Financial Institutions Examination Council (FFIEC).

Podręcznik FFIEC IT Examination Handbook [Stany Zjednoczone]

Broszura FFIEC IT Handbook AIO Booklet, która jest częścią Federal Financial Institutions Examination Council (FFIEC) IT Examination Handbook, zawiera informacje na temat korzystania z uwierzytelniania wieloskładnikowego w kontekście dostępu zdalnego:

• „Wdrażaj IAM na podstawie typu zadania i dostępu oraz korzystaj z odpowiednich technik uwierzytelniania (np. uwierzytelniania wieloskładnikowego) w przypadku dostępu uprzywilejowanego i działań, takich jak zadania administracji zdalnej.)”
• „Wykorzystuje uwierzytelnianie wieloskładnikowe w ramach szyfrowanych połączeń sieciowych dla administratorów uzyskujących dostęp do urządzeń sieciowych i zarządzających nimi.).”
• Procedura dla oprogramowania zabezpieczającego komputery mainframe: „Wdraża kontrolę dostępu (np. dostęp oparty na rolach, podział obowiązków i uwierzytelnianie wieloskładnikowe)”.

Krajowe Stowarzyszenie Komisarzy Ubezpieczeniowych (NAIC) [Stany Zjednoczone]

Sekcja „Risk Management” stanowi: „Stosuj skuteczne mechanizmy kontroli, które mogą obejmować procedury uwierzytelniania wieloskładnikowego dla każdej osoby uzyskującej dostęp do informacji niepublicznych”. Oznacza to, że nawet jeśli uwierzytelnianie wieloskładnikowe nie jest egzekwowane, jest to jedna z najlepszych opcji uzyskania zgodności z wymogami NAIC.

Przepisy dotyczące cyberbezpieczeństwa NYDFS [Stany Zjednoczone]

Znane również jako „Wymagania dotyczące cyberbezpieczeństwa dla firm świadczących usługi finansowe w Departamencie Usług Finansowych Stanu Nowy Jork” (23 NYCRR 500), które zawierają cały rozdział poświęcony uwierzytelnianiu wieloskładnikowemu (MFA) (Section 500.12 Multi-Factor Authentication). Przepisy te wymagają uwierzytelniania wieloskładnikowego:

• Uwierzytelnianie wieloskładnikowe (MFA) powinno chronić przed nieautoryzowanym dostępem do informacji niepublicznych i systemów informatycznych.
• Uwierzytelnianie wieloskładnikowe (MFA) musi być włączone dla każdego użytkownika uzyskującego dostęp do zasobów w sieci wewnętrznej z sieci zewnętrznej.

MFA dla finansów: Darmowy trial →

Opieka zdrowotna

Sektor opieki zdrowotnej przetwarza wrażliwe dane pacjentów, co sprawia, że ​​bezpieczeństwo jest w nim priorytetem. Amerykańska ustawa Health Insurance Portability and Accountability Act (HIPAA) została ustanowiona w celu ochrony danych osobowych pacjentów. Zgodnie z HIPAA organizacje opieki zdrowotnej są zobowiązane do wdrożenia środków zapewniających bezpieczeństwo haseł i ochronę danych pacjentów. Ponadto organizacje muszą zapewnić, że ich systemy kontroli dostępu i uwierzytelniania spełniają wymogi HIPAA. Uwierzytelnianie dwuskładnikowe (2FA) to idealne rozwiązanie, aby spełnić te wymogi. Oprócz HIPAA, ważne jest zapewnienie zgodności z EPCS, gdy jest to wymagane i ochrona aplikacji EDM.

Uwierzytelnianie dwuskładnikowe (2FA) w sektorze opieki zdrowotnej: wymagania cyberbezpieczeństwa i zgodności z regulacjami

W zależności od lokalizacj podmioty opieki zdrowotnej muszą przestrzegać następujących przepisów dotyczących bezpieczeństwa i uwierzytelniania dwuskładnikowego. W nawiasach kwadratowych podano zakres jurysdykcji.

Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) [Unia Europejska]

W przypadku podmiotów świadczących opiekę zdrowotną działających na terenie Unii Europejskiej, RODO nakłada surowe przepisy dotyczące kontroli i przetwarzania danych osobowych. Chociaż Ogólne Rozporządzenie o Ochronie Danych (RODO) nie nakłada wprost obowiązku stosowania uwierzytelniania wieloskładnikowego (MFA), Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) wydała wytyczne sugerujące stosowanie uwierzytelniania dwuskładnikowego. Jest to szczególnie zalecane w przypadku systemów przetwarzających dane osobowe oraz w przypadku dostępu do urządzeń mobilnych, zgodnie z punktami K.7 i Q.8 wytycznych. RODO ma zastosowanie do organizacji na całym świecie, jeśli gromadzą one lub ukierunkowują dane dotyczące osób w Unii Europejskiej.

MFA dla ochrony zdrowia: Darmowy trial →

Health Insurance Portability and Accountability Act (HIPAA) [Stany Zjednoczone]

Chociaż w ustawie HIPAA nie ma wprost mowy o uwierzytelnianiu wielofaktorowym, wdrożenie uwierzytelniania MFA pozwoli spełnić wymagania dotyczące uwierzytelniania i kontroli dostępu określone w dokumencie, zapewni bezpieczny dostęp do elektronicznych informacji chronionych (ePHI) oraz umożliwi naprawienie luk w zabezpieczeniach wykrytych podczas oceny ryzyka w zakresie zarządzania dostępem do informacji (IAM) danej organizacji.

The Health Information Technology for Economic and Clinical Health Act (The HITECH Act) [Stany Zjednoczone]

Ustawę tę można postrzegać jako rozszerzoną wersję ustawy HIPAA, która zaostrza przepisy dotyczące prywatności i bezpieczeństwa. W ten sposób ustawa HITECH nakłada na szpitale i lekarzy korzystających z elektronicznej dokumentacji medycznej więcej wymogów technicznych. Chociaż nie nakazuje ona wprost stosowania logowania wieloskładnikowego, uwierzytelnianie wieloskładnikowe (MFA) jest jednym z najlepszych sposobów na przestrzeganie przepisów ustawy HITECH.

Electronic Prescriptions for Controlled Substances (EPCS) Compliance [Stany Zjednoczone]

Zgodność ta obejmuje e-recepty (eRx) i zawiera wyraźny wymóg uwierzytelniania dwuskładnikowego (MFA). Wymagania MFA w EPCS są następujące:

• MFA musi być używane do przypisania osoby wystawiającej receptę w systemie elektronicznym, weryfikacji wpisu na recepcie i złożenia podpisu cyfrowego na recepcie.
• Dozwolone komponenty to login/hasło, metody biometryczne oraz token OTP lub token YubiKey. Tokeny muszą spełniać poziom bezpieczeństwa FIPS 140-2.

NIST SP 800-66 Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide [Stany Zjednoczone]

Narodowy Instytut Norm i Technologii (NIST) opracował wytyczne dotyczące cyberbezpieczeństwa w służbie zdrowia, obejmujące ochronę elektronicznych informacji medycznych, wspominając o „surowych kontrolach dostępu”, takich jak uwierzytelnianie wieloskładnikowe (MFA).

Organy ścigania

Organy ścigania na co dzień przetwarzają poufne i krytyczne informacje. Ze względu na charakter ich pracy, agencje te wymagają środków bezpieczeństwa najwyższej klasy, aby chronić informacje przed nieautoryzowanym dostępem i potencjalnymi naruszeniami.

Jednym z takich środków jest uwierzytelnianie dwuskładnikowe (2FA), które stało się integralną częścią protokołów bezpieczeństwa w organach ścigania.

Na przykład amerykańskie organy ścigania, które współpracują z wydziałem Criminal Justice Information Services (CJIS) FBI, wdrożyły solidne systemy bezpieczeństwa, które obejmują tzw. „zaawansowane uwierzytelnianie”, de facto uwierzytelnianie wieloskładnikowe. Ten wzmocniony środek bezpieczeństwa gwarantuje, że dostęp do poufnych informacji mają wyłącznie upoważnieni pracownicy.

Ponadto dostęp do niektórych baz danych, takich jak Narodowe Centrum Informacji Kryminalnej (NCIC), wymaga przejścia uwierzytelniania dwuskładnikowego. Baza danych NCIC, zawierająca bogactwo poufnych informacji z zakresu wymiaru sprawiedliwości, wymaga dodatkowej warstwy zabezpieczeń, aby chronić dane i zachować ich integralność.

W istocie, stosowanie uwierzytelniania dwuskładnikowego (2FA) przez organy ścigania zwiększa bezpieczeństwo ich systemów i odgrywa kluczową rolę w utrzymaniu zaufania publicznego, gwarantując poufność i bezpieczeństwo poufnych informacji.

MFA dla organów ścigania: Darmowy trial →

Sektor obronności

Sektor obronny to kluczowy obszar, w którym zaawansowane środki bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA), są niezbędne ze względu na wrażliwy charakter przetwarzanych informacji.

Doskonałym przykładem jest stosowanie przez armię amerykańską kart dostępu powszechnego (CAC) dla swojego personelu. CAC to rodzaj karty inteligentnej, która służy jako standardowy identyfikator dla czynnego personelu wojskowego, wybranych żołnierzy rezerwy, pracowników cywilnych Departamentu Obrony (DoD) oraz uprawnionych pracowników kontraktowych.

CAC ucieleśnia zasady uwierzytelniania wieloskładnikowego (MFA). Pierwszym czynnikiem jest fizyczna karta, którą użytkownik musi mieć, aby uzyskać dostęp do systemów (coś, co posiada). Drugim czynnikiem jest osobisty numer identyfikacyjny (PIN), który użytkownik musi zapamiętać (coś, co zna). W niektórych przypadkach dane biometryczne, takie jak odcisk palca, mogą służyć jako trzeci czynnik (coś, czym jesteś).

Takie wieloskładnikowe podejście do uwierzytelniania zapewnia wysoki poziom bezpieczeństwa i znacznie utrudnia osobom nieupoważnionym dostęp do wrażliwych systemów obronnych i danych.

Uwierzytelnianie dwuskładnikowe (2FA) w sektorze obronności: wymagania cyberbezpieczeństwa i zgodności z regulacjami

W zależności od lokalizacj podmioty sektora obronnościj muszą przestrzegać następujących przepisów dotyczących bezpieczeństwa i uwierzytelniania dwuskładnikowego. W nawiasach kwadratowych podano zakres jurysdykcji.

Defense Federal Acquisition Regulation Supplement (DFARS) [Stany Zjednoczone]

Chociaż niniejszy dokument nie stwierdza wprost potrzeby stosowania uwierzytelniania wieloskładnikowego (MFA), klauzula 252.204-7012 podkreśla konieczność zapewnienia „odpowiedniego poziomu bezpieczeństwa” we wszystkich systemach przetwarzających objęte nim informacje obronne. Termin „odpowiedni poziom bezpieczeństwa” sugeruje wdrożenie środków ochronnych dostosowanych do ryzyka utraty, niewłaściwego użycia lub nieautoryzowanego dostępu lub modyfikacji informacji. Chociaż MFA nie jest bezpośrednio wspomniane, jest ono powszechnie uznawane za standardową praktykę zapewniającą „odpowiedni poziom bezpieczeństwa”. Organizacje mogą korzystać z dowolnego rozwiązania MFA zgodnego ze standardami określonymi w ramach NIST SP 800-171. Warto zaznaczyć, że certyfikacja Cybersecurity Maturity Model Certification (CMMC) opiera się na DFARS.

NIST SP 800-171 [United States]

Zgodnie z Rozporządzeniem Wykonawczym Białego Domu nr 13556, wszyscy kontrahenci DFARS muszą dodatkowo spełniać wymogi NIST SP 800-171, które opisują wymagania bezpieczeństwa dotyczące kontrolowanych informacji niejawnych (CUI). Jednym z tych wymagań jest uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich użytkowników uzyskujących dostęp do CUI („3.5.3 Używaj uwierzytelniania wieloskładnikowego w celu uzyskania dostępu lokalnego i sieciowego do kont uprzywilejowanych oraz dostępu sieciowego do kont nieuprzywilejowanych.”).

MFA dla obronności: Darmowy trial →

Sektor publiczny

Sektor publiczny ma za zadanie zarządzać znaczną ilością wrażliwych danych. Dane te obejmują zarówno dane dotyczące bezpieczeństwa narodowego, jak i dane służb publicznych, a nawet dane osobowe obywateli. Ze względu na wrażliwy charakter tych danych, konieczne jest, aby podmioty administracji stosowały rygorystyczne środki bezpieczeństwa w celu ich ochrony.

Polska + UE

W Polsce i Unii Europejskiej sektor publiczny przetwarza duże ilości danych wrażliwych, od danych obywateli po informacje o infrastrukturze krytycznej. Z tego powodu administracja publiczna jest zobowiązana do stosowania silnych mechanizmów uwierzytelniania. Wymogi te wynikają m.in. z dyrektywy NIS2, ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), RODO, Krajowych Ram Interoperacyjności (KRI) oraz regulacji eIDAS. Choć nie wszystkie te akty prawne wymieniają MFA wprost, wszystkie wymagają stosowania „strong authentication”, co w praktyce oznacza uwierzytelnianie wieloskładnikowe.

W polskiej administracji MFA jest już standardem. Stosuje się je m.in. w Profilu Zaufanym, ePUAP, mObywatelu oraz systemach podatkowych i ZUS. Wymóg ten wynika zarówno z regulacji unijnych, jak i krajowych, a także z rosnącej potrzeby ochrony danych publicznych przed cyberzagrożeniami.

Poza dyrektywą NIS2, ustawą o KSC, eIDAS i RODO opisanymi w sekcji Przepisy międzybranżowe, polskie podmioty administracji publicznej muszą osiągnąć następujące zgodność z Krajowymi Ramami Interoperacyjności (KRI). KRI określają minimalne wymagania dla systemów IT administracji publicznej:

• silnych mechanizmów uwierzytelniania,
• kontroli dostępu,
• zabezpieczenia dostępu zdalnego.

W interpretacjach audytorskich „silne uwierzytelnianie” = MFA.

USA + Globalne

Narodowy Instytut Standardów i Technologii (NIST), agencja pozaregulacyjna Departamentu Handlu Stanów Zjednoczonych, oferuje wytyczne dotyczące wdrażania uwierzytelniania wieloskładnikowego (2FA). Wytyczne te pomagają agencjom rządowym w ustanowieniu bezpiecznych praktyk uwierzytelniania i ochronie wrażliwych informacji.

Oprócz NIST, National Cyber ​​Security Alliance (NCSA) również opowiada się za stosowaniem uwierzytelniania dwuskładnikowego (2FA). NCSA zapewnia zasoby i wskazówki, które pomagają organizacjom zrozumieć i wdrożyć uwierzytelnianie dwuskładnikowe (2FA), co dodatkowo zwiększa bezpieczeństwo ich systemów.

To przejście na bezpieczniejsze metody uwierzytelniania odzwierciedla rosnącą świadomość znaczenia cyberbezpieczeństwa w ochronie danych i systemów rządowych. Jest to zgodne z Federalnym Memorandum Strategii Zero zaufania, które nałożyło na wszystkie agencje federalne obowiązek wdrożenia uwierzytelniania wieloskładnikowego (MFA) odpornego na phishing do końca 2024 roku.

MFA dla sektora publicznego: Darmowy trial →

Handel detaliczny

Branża detaliczna przetwarza ogromną ilość danych klientów, w tym dane finansowe. Dlatego sprzedawcy detaliczni muszą wdrażać solidne środki bezpieczeństwa, aby chronić te dane i utrzymać zaufanie klientów.

Uwierzytelnianie dwuskładnikowe (2FA) to jedno z takich rozwiązań, które staje się coraz bardziej powszechne w branży detalicznej. 2FA zwiększa bezpieczeństwo, wymagając od użytkowników podania dwóch różnych form identyfikacji przed udzieleniem dostępu do systemów. Ta dodatkowa warstwa zabezpieczeń pomaga chronić przed nieautoryzowanym dostępem i potencjalnymi naruszeniami danych.

Kluczowym standardem, którego musi przestrzegać branża detaliczna, jest Standard Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS). Standard ten zapewnia bezpieczne przetwarzanie danych kart kredytowych i nakłada na sprzedawców detalicznych obowiązek wdrożenia silnych środków kontroli dostępu, w tym uwierzytelniania dwuskładnikowego (2FA).

Standard PCI DSS jest nadzorowany przez Radę ds. Standardów Bezpieczeństwa Branży Kart Płatniczych i jest wymagany przez główne marki kart kredytowych. Został opracowany w celu lepszego zarządzania danymi posiadaczy kart i ograniczenia oszustw związanych z kartami kredytowymi. Zgodność ze standardem PCI DSS jest weryfikowana corocznie lub kwartalnie, w zależności od wolumenu transakcji.

MFA dla handlu detalicznego: Darmowy trial →

Branża handlowa

Branża handlowa w Stanach Zjednoczonych musi przestrzegać przepisów dotyczących partnerstwa celno-handlowego przeciwko terroryzmowi (C-TPAT). W punkcie 4.8  CTPAT Minimum Security Criteria zaleca się stosowanie uwierzytelniania wieloskładnikowego (MFA) w celu spełnienia wymogu silnego procesu uwierzytelniania. Ponadto, punkt 4.9 wymienia uwierzytelnianie wieloskładnikowe jako jeden z możliwych sposobów spełnienia kryterium ochrony przed dostępem zdalnym.

MFA dla handlu towarowego: Darmowy trial →

Sektor edukacji

Instytucje edukacyjne często potrzebują uwierzytelniania dwuskładnikowego (2FA), aby spełnić standardy zgodności, takie jak:

• Ustawa o prawach edukacyjnych rodziny i prywatności (Family Educational Rights and Privacy Act, FERPA): Ta amerykańska ustawa podkreśla znaczenie ochrony dokumentacji edukacyjnej studentów. Sugeruje ona, że ​​uwierzytelnianie jednoskładnikowe może nie być wystarczające do ochrony wysoce poufnych informacji, co implikuje potrzebę uwierzytelniania wieloskładnikowego. Departament Edukacji Stanów Zjednoczonych (DoE) powołuje się na NIST SP 800-63, który w praktyce wymaga uwierzytelniania wieloskładnikowego (MFA). Ustawa PIPEDA jest kanadyjskim odpowiednikiem ustawy FERPA.
• Ustawa o możliwościach w szkolnictwie wyższym (Higher Education Opportunity Act, HEOA): To kolejna amerykańska ustawa, która wymaga bezpiecznych danych logowania dla studentów szkół wyższych. Często wiąże się to z wykorzystaniem uwierzytelniania wieloskładnikowego.
• Australijska ustawa o prywatności z 1988 r.: Chociaż ustawa ta nie nakłada wprost obowiązku uwierzytelniania wieloskładnikowego, zaleca uwierzytelnianie wieloskładnikowe jako środek bezpieczeństwa w celu weryfikacji tożsamości osoby żądającej transakcji.

MFA dla edukacji: Darmowy trial →

Sektor technologiczny

W sektorze technologicznym nie istnieje jedna, spójna regulacja nakazująca stosowanie 2FA, jednak wiele bardziej ogólnych standardów bezpieczeństwa – takich jak NIST SP 800‑63, FedRAMP, ISO/IEC 27001, SOC 2 czy CIS Controls – wymaga lub rekomenduje wdrożenie uwierzytelniania wieloskładnikowego. Firmy technologiczne, zwłaszcza dostawcy usług chmurowych i SaaS, muszą stosować MFA, aby spełnić wymogi audytowe, chronić dane użytkowników i utrzymać zgodność z globalnymi standardami bezpieczeństwa.

FedRamp

Federal Risk and Authorization Management Program (FedRAMP), oparty na NIST SP 800‑53, wymaga stosowania uwierzytelniania wieloskładnikowego (MFA) w sposób obowiązkowy, a nie tylko rekomendacyjny.

Kluczowe kontrole to IA‑2, IA‑2(1), IA‑2(2), IA‑2(3) oraz IA‑2(11), które nakazują stosowanie uwierzytelniania wieloskładnikowego dla:

• wszystkich kont uprzywilejowanych,
• wszystkich użytkowników uzyskujących dostęp zdalny,
• wszystkich użytkowników mających dostęp do systemów federalnych,
• a także dla dostępu do paneli administracyjnych usług chmurowych.

FedRAMP wymaga również, aby MFA spełniało kryteria NIST SP 800‑63B, co oznacza preferowanie metod MFA odpornego na phishing, takich jak FIDO2/WebAuthn, certyfikaty PIV/CAC czy klucze kryptograficzne. Kontekst wymogu obejmuje wszystkie systemy chmurowe obsługujące dane rządowe USA, a brak MFA uniemożliwia uzyskanie autoryzacji FedRAMP.

MFA dla technologii: Darmowy trial →

Kancelarie prawne

Kancelarie prawne, podobnie jak inne branże, coraz częściej wdrażają uwierzytelnianie dwuskładnikowe (2FA) w celu zwiększenia bezpieczeństwa. Kancelarie prawne często wdrażają uwierzytelnianie dwuskładnikowe (2FA) w celu ochrony poufnych informacji o klientach i szczegółów spraw.

Wytyczne American Bar Association (ABA)

Amerykańskie wytyczne American Bar Association (ABA) dotyczące cyberbezpieczeństwa, w szczególności ABA Formal Opinion 477R oraz ABA Model Rules of Professional Conduct Rule 1.6(c), wskazują, że prawnicy mają obowiązek wdrożyć „rozsądne środki” chroniące poufność informacji klientów. W praktyce oznacza to konieczność stosowania zabezpieczeń adekwatnych do ryzyka, a MFA jest wymieniane jako jedno z kluczowych narzędzi minimalizujących ryzyko przejęcia konta.

W Formal Opinion 477R, podkreśla się, że kancelarie powinny stosować „enhanced security measures”, w tym multi‑factor authentication, zwłaszcza przy dostępie do poczty elektronicznej, systemów zarządzania dokumentami, usług chmurowych oraz wszelkich systemów zawierających dane klientów.

ABA nie narzuca formalnie żadnej technologii, ale wskazuje, że brak MFA może być uznany za naruszenie obowiązków etycznych, jeśli doprowadzi do incydentu bezpieczeństwa. Kontekst wdrożenia uwierzytelniania wielopoziomowego obejmuje więc wszystkie systemy, w których przechowywane są informacje objęte tajemnicą adwokacką lub radcowską.

MFA dla kancelarii prawnych: Darmowy trial →

Fundusze inwestycyjne

Zgodnie z wytycznymi Indyjskiej Komisji Papierów Wartościowych i Giełd (SEBI), uwierzytelnianie dwuskładnikowe (2FA) jest obowiązkowe dla wszystkich transakcji cyfrowych związanych z funduszami inwestycyjnymi. Zapewnia to bezpieczeństwo środków i danych osobowych inwestorów.

Pozostałe regulacje dotyczące funduszy inwestycyjnych w dużej mierze odpowiadają wymogom obowiązującym w szerszym sektorze usług finansowych, obejmując m.in. obowiązkowe lub silnie rekomendowane stosowanie MFA.

MFA dla funduszy inwestycyjnych: Darmowy trial →

Branża produkcyjna

Organizacje produkcyjne funkcjonują na styku IT i OT: sieci korporacyjnych, stacji roboczych inżynierów, zdalnego dostępu dostawców oraz przemysłowych systemów sterowania (ICS), które podtrzymują ciągłość produkcji. Ta mieszanka tworzy rozległą powierzchnię ataku, zwłaszcza w obszarze kont uprzywilejowanych, zdalnego dostępu i sesji serwisowych. W efekcie wiele ukierunkowanych na produkcję ram bezpieczeństwa oraz wymagań łańcucha dostaw skłania organizacje do wdrożenia uwierzytelniania wieloskładnikowego (MFA) jako podstawowej kontroli bezpieczeństwa, która pomaga zapobiegać nieautoryzowanemu dostępowi i ograniczać skutki przejęcia danych logowania.

Dwa praktyczne przykłady zastosowania MFA w branży produkcyjnej to zdalny dostęp do środowisk zakładowych oraz uprzywilejowany dostęp dla zespołów inżynieryjnych i utrzymania ruchu.

Typowym przykładem jest dostęp dostawców lub pracowników przez VPN do sieci wewnętrznych albo do hostów pośredniczących (jump hostów) wspierających OT. Użytkownik najpierw uwierzytelnia się hasłem (coś, co wie), a następnie zatwierdza drugi składnik (coś, co ma/jest), np. powiadomieniem push, tokenem sprzętowym lub kluczem dostępu (passkey).

Inny przykład to podwyższony dostęp do narzędzi inżynieryjnych i konsol administracyjnych (np. zarządzanie SCADA/HMI, bazy historyczne, bramy zdalnego dostępu OT). MFA pomaga zapewnić, że nawet jeśli poświadczenia zostaną skradzione, atakujący nie przejmą łatwo kontroli nad systemami krytycznymi dla produkcji.

Uwierzytelnianie dwuskładnikowe (2FA) w branży produkcyjnej: wymagania cyberbezpieczeństwa i zgodności z regulacjami

W zależności od rodzaju produkcji (np. łańcuch dostaw dla sektora obronnego, łańcuch dostaw automotive, Industry 4.0 / smart factories) od producentów może się oczekiwać dostosowania do niektórych z poniższych norm i schematów oceny związanych z uwierzytelnianiem MFA. Zakres jurysdykcji podano w nawiasach kwadratowych.

ISA/IEC 62443 (bezpieczeństwo przemysłowej automatyki i systemów sterowania) [Globalny / OT-ICS]

IEC 62443 to kluczowa seria norm dotyczących zabezpieczania przemysłowej automatyki i systemów sterowania (IACS). Producenci często wykorzystują ją do porządkowania programów bezpieczeństwa OT (strefy/kanały komunikacyjne, wymagania systemowe, wymagania dla komponentów) i jest ona często przywoływana w nadzorze oraz zakupach w obszarze OT. ISA wskazuje, że seria dostarcza dobrych praktyk oraz sposobu oceny poziomu bezpieczeństwa.

W kontekście przemysłowego zdalnego dostępu IEC 62443-3-3 zawiera wymagania, które często realizuje się poprzez logowanie wieloskładnikowe, np. stosowanie MFA dla dostępu człowieka do paneli operatorskich maszyn (HMI).

Ramy bezpieczeństwa Industry 4.0 [Głównie UE, stosowane globalnie jako wytyczne]

Inicjatywy Industry 4.0 formalizują sposób, w jaki cyberfizyczne systemy produkcyjne łączą dane, urządzenia i usługi. Wytyczne bezpieczeństwa dla produkcji powiązane z Industry 4.0 kładą nacisk na „security by design” oraz systematyczną architekturę bezpieczeństwa w miarę wzrostu stopnia połączenia fabryk. Publikacja Plattform Industrie 4.0 „Security in RAMI 4.0” jest w tym obszarze często cytowanym punktem odniesienia.

Choć nie jest to prawo, dokument ten silnie wpływa na programy bezpieczeństwa w przemyśle i wzmacnia rolę MFA jako elementu solidnego zarządzania tożsamością i kontroli dostępu wokół połączonych systemów produkcyjnych.

TISAX / VDA ISA [europejskie podejście, ale z zastosowaniem w globalnych łańcuchach dostaw]

TISAX to de facto schemat oceny bezpieczeństwa informacji dla producentów OEM i dostawców w branży motoryzacyjnej, oparty na katalogu VDA Information Security Assessment (VDA ISA) i realizowany w ekosystemie ENX. Portal ENX udostępnia oficjalne pliki do pobrania z kwestionariuszem VDA ISA, które stanowią podstawę ocen TISAX.

W praktyce producenci i dostawcy z branży motoryzacyjnej wdrażają MFA, aby spełnić oczekiwania dotyczące tożsamości i dostępu wbudowane w te wymagania oceny, zwłaszcza tam, gdzie w grę wchodzą wrażliwe dane rozwojowe, prototypy lub portale dla dostawców.

MFA dla przemysłu: Darmowy trial →

Przedsiębiorstwa komunalne

Przedsiębiorstwa komunalne to operatorzy infrastruktury krytycznej działający w hybrydowym środowisku IT/OT: obejmującym sieci korporacyjne, urządzenia terenowe, systemy SCADA, centra dyspozytorskie oraz ścieżki zdalnego dostępu wykorzystywane przez operatorów, inżynierów i zewnętrznych serwisantów. Z uwagi na to, że zakłócenia mogą wpływać na bezpieczeństwo publiczne i ciągłość dostarczania niezbędnych usług (energia elektryczna, gaz, woda, ścieki), sektor komunalny kładzie duży nacisk na kontrolę dostępu uprzywilejowanego i łączności zdalnej. W praktyce przepisy sektorowe i dyrektywy coraz częściej traktują uwierzytelnianie wieloskładnikowe (MFA) jako podstawowe zabezpieczenie przed kradzieżą danych logowania, nieautoryzowanymi sesjami zdalnymi oraz ruchem bocznym (lateral movement) do środowisk sterowania.

Dwa praktyczne przykłady zastosowania uwierzytelniania wielopoziomowego (MFA) w przedsiębiorstwach komunalnych to zdalny dostęp operatorów/dostawców do środowisk sterowania oraz uprzywilejowany dostęp do administracji SCADA/OT.

Typowym przykładem jest zdalny dostęp do środowiska centrum sterowania u operatora elektroenergetycznego za pośrednictwem systemu pośredniczącego (jump host) lub bramy zdalnego dostępu. Użytkownik uwierzytelnia się hasłem (coś, co wie), a następnie realizuje drugi składnik (coś, co ma/czym jest), co zmniejsza ryzyko, że same skradzione dane logowania wystarczą do uzyskania dostępu.

Inny przykład to dostęp administracyjny do serwerów SCADA, rozwiązań zdalnego dostępu OT lub konsol operatorskich. MFA dodaje „punkt tarcia”, który pomaga zapobiec przejęciu operacji krytycznych dla działania usług nawet wtedy, gdy hasło zostanie złamane lub skradzione.

Uwierzytelnianie dwuskładnikowe (2FA) w przedsiębiorstwach komunalnych: wymagania cyberbezpieczeństwa i zgodności

W zależności od segmentu usług (np. operatorzy systemu elektroenergetycznego wysokiego napięcia, operatorzy rurociągów, przedsiębiorstwa wodociągowo-kanalizacyjne) od podmiotów komunalnych może się oczekiwać dostosowania do niektórych z poniższych wymagań regulacyjnych i schematów sektorowych związanych z MFA. Zakres jurysdykcji podano w nawiasach kwadratowych.

Dyrektywa NIS2 (Dyrektywa (UE) 2022/2555) [Unia Europejska]

Dyrektywa NIS2 wprost obejmuje sektory kluczowe, które bezpośrednio odpowiadają przedsiębiorstwom komunalnym. Energia, woda pitna oraz ścieki znajdują się w zakresie dyrektywy jako sektory infrastruktury krytycznej wymienione w załącznikach i motywach.

Choć NIS2 jest szerszą dyrektywą z zakresu cyberbezpieczeństwa (nie jest to przepis „tylko o MFA”), jej wymagania w obszarze zarządzania ryzykiem i kontroli dostępu w sektorach kluczowych przekładają się na wdrożenie MFA dla zdalnego dostępu, dostępu administracyjnego oraz innych scenariuszy uwierzytelniania wysokiego ryzyka w środowiskach komunalnych.

W Polsce wdrożenie NIS2 następuje poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC), która doprecyzuje obowiązki podmiotów kluczowych i ważnych, w tym wymogi dotyczące zarządzania ryzykiem, kontroli dostępu i ochrony usług krytycznych. Więcej informacji znajdziesz w artykule: MFA i dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa.

NERC CIP [Stany Zjednoczone i Kanada]

Standardy NERC CIP regulują cyberbezpieczeństwo podmiotów eksploatujących elementy Bulk Electric System (BES). CIP-005-7 koncentruje się na Electronic Security Perimeter (ESP) oraz kontrolach zdalnego dostępu i jest powszechnie wskazywany jako wymóg zgodności napędzający wdrażanie wzmocnionych architektur zdalnego dostępu w energetyce. Aktualny tekst CIP-005-7 oraz zasady jego stosowania publikuje organizacja North American Electric Reliability Corporation (NERC).

W praktyce obowiązki dotyczące zdalnego dostępu wynikające z CIP często realizuje się poprzez MFA dla interaktywnego zdalnego dostępu do środowisk ESP, zwłaszcza dla sesji inicjowanych spoza ESP (np. ścieżki dostępu dla dostawców).

TSA Security Directive Pipeline-2021-02C [Stany Zjednoczone]

Amerykańska Transportation Security Administration (TSA) wydaje dyrektywy bezpieczeństwa (Security Directives) dotyczące cyberbezpieczeństwa rurociągów na podstawie uprawnień federalnych, aby przeciwdziałać zagrożeniom cybernetycznym wobec krytycznych systemów przesyłowych. SD Pipeline-2021-02C kontynuuje obowiązkowe środki cyberbezpieczeństwa dla objętych dyrektywą właścicieli/operatorów infrastruktury rurociągowej (tych, których TSA powiadomiła jako „krytycznych”).

Dla przedsiębiorstw eksploatujących infrastrukturę rurociągową dyrektywy te stanowią istotny bodziec zgodności, który zwykle prowadzi do wzmocnienia kontroli dostępu, w tym wdrożenia MFA (lub równoważnych, warstwowych mechanizmów kontroli) dla dostępu zdalnego/uprzywilejowanego oraz innych wysokiego ryzyka ścieżek do środowisk operacyjnych.

AWWA Cybersecurity Guidance [Stany Zjednoczone]

Dla przedsiębiorstw wodociągowo-kanalizacyjnych, organizacja American Water Works Association (AWWA) utrzymuje dedykowane centrum wytycznych cyberbezpieczeństwa oraz rekomendacje z zakresu zarządzania ryzykiem sektorowym, ukierunkowane na ochronę systemów sterowania procesami (process control systems) i powiązanych środowisk.

Choć są to wytyczne, a nie wymagania prawne, wiele przedsiębiorstw wodnych wykorzystuje je jako praktyczny punkt odniesienia przy wdrażaniu kontroli bezpieczeństwa (w tym uwierzytelniania wieloskładnikowego) w środowiskach OT/PCS.

MFA dla sektora komunalnego: Darmowy trial →

Przepisy międzybranżowe

Istnieją również inne wymogi i regulacje dotyczące zgodności, które nie dotyczą ściśle tylko jednego sektora, ale mimo to są ważne, jeśli nie wręcz obowiązkowe, dla branż wymienionych w tym artykule. W zależności od lokalizacji, firmy mogą być zobowiązane do przestrzegania poniższych zasad.

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) [Polska]

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) zobowiązuje operatorów usług kluczowych, podmioty publiczne i dostawców usług cyfrowych do wdrażania adekwatnych środków technicznych i organizacyjnych, które ograniczają ryzyko incydentów. Choć KSC nie wskazuje MFA wprost, to w praktyce uwierzytelnianie wieloskładnikowe jest uznawane za jeden z najskuteczniejszych sposobów spełnienia wymogu „odpowiedniego poziomu bezpieczeństwa”.

W ramach KSC podmioty powinny zabezpieczać między innymi dostęp do systemów krytycznych i kont uprzywilejowanych, dostęp zdalny pracowników i podmiotów zewnętrznych oraz systemy wykorzystywane do obsługi incydentów i komunikacji z CSIRT.

W tych obszarach MFA jest rekomendowanym środkiem, który pomaga wykazać zgodność z KSC i spełnić wymagania dotyczące zarządzania ryzykiem. Szczegółowe omówienie wymagań ustawy o KSC znajdziesz w: MFA i dyrektywa NIS2 – jak spełnić wymogi ustawy o KSC.

ISO/IEC 27001 [Globalny]

Uwierzytelnianie wieloskładnikowe (MFA) może pomóc spełnić wymagania kontroli dostępu opisane w ISO/IEC 27001:2022, m.in. w ramach kontrolki A.5.15 Access control (oraz powiązanych kontrolek). MFA jest uznawane za silny mechanizm uwierzytelniania, który wspiera kilka obszarów ISO 27001, takich jak zarządzanie dostępem użytkowników, ochrona kont uprzywilejowanych oraz zabezpieczenie dostępu do informacji wrażliwych. ISO/IEC 27001 nie nakazuje MFA wprost, ale jest ono powszechnie traktowane jako dobra praktyka ograniczająca ryzyko nieautoryzowanego dostępu i wzmacniająca zgodność z kontrolkami Załącznika A.

CIS Controls v8 – Center for Internet Security [Globalny]

W CIS Controls v8, uwierzytelnianie wieloczynnikowe (MFA) jest klasyfikowane jako kontrola fundamentalna, obowiązująca już na poziomie IG1 (Implementation Group 1), czyli minimalnym poziomie bezpieczeństwa dla każdej organizacji. Najważniejsze kontrole to:

• Control 6.3 – Require MFA for Remote Network Access,
• Control 6.5 – Require MFA for Administrative Access,
• Control 6.6 – Require MFA for Access to Third‑Party Applications,
• Elementy Control 5 (Account Management) i Control 3 (Data Protection).

CIS wymaga MFA dla wszystkich kont uprzywilejowanych, dostępu zdalnego, dostępu do aplikacji SaaS oraz systemów zawierających dane wrażliwe. Kontekst wymogu jest szeroki: CIS Controls mają zastosowanie do każdej branży, a MFA jest traktowane jako absolutne minimum bezpieczeństwa, nie jako praktyka zaawansowana.

SOC 2 – Service Organization Control 2 [Globalny]

SOC 2 to standard audytowy opracowany przez American Institute of Certified Public Accountants (AICPA), służący do oceny sposobu zarządzania danymi klientów w oparciu o pięć kryteriów Trust Services: Security, Availability, Processing Integrity, Confidentiality oraz Privacy.

Choć SOC 2 nie wymienia MFA wprost, standard wymaga stosowania „strong authentication” (silnego uwierzytelniania) w ramach kontroli dostępu logicznego. W praktyce audytorskiej strong authentication jest równoznaczne z logowaniem wieloskładnikowym, co czyni MFA faktycznym wymogiem spełnienia kryteriów bezpieczeństwa (Common Criteria).

Najważniejsze kryteria SOC 2, które wymagają lub jednoznacznie sugerują MFA:

• CC6.1 – Logical Access Controls: Organizacje muszą stosować silne mechanizmy uwierzytelniania do systemów i danych.
• CC6.2 – User Access Provisioning: Konta uprzywilejowane i administracyjne muszą być chronione wzmocnionym uwierzytelnianiem.
• CC6.6 – Remote Access Security: Dostęp zdalny musi wykorzystywać bezpieczne metody uwierzytelniania, zazwyczaj MFA.
• CC7.2 – Change and Configuration Management: Dostęp administracyjny do środowisk produkcyjnych musi być ściśle kontrolowany, co w praktyce oznacza MFA.

W audytach SOC 2 MFA jest traktowane jako podstawowy wymóg dla:

• kont uprzywilejowanych,
• dostępu administracyjnego,
• dostępu zdalnego,
• dostępu do systemów produkcyjnych,
• systemów przechowujących dane klientów.

SOC 2 ma zastosowanie globalnie i międzybranżowo. Nie jest przypisany do żadnego konkretnego sektora, a MFA stanowi fundamentalny element zgodności.

Dla polskich firm: Jeśli Twoi klienci są z USA lub są dużymi korporacjami, to SOC 2 staje się obowiązkowy biznesowo. Jeśli działasz tylko w Polsce lub Unii Europejskiej i nie masz klientów typu enterprise, to SOC 2 nie jest potrzebny.

NIST SP 800‑63 – Digital Identity Guidelines [Globalny]

Dokument NIST SP 800‑63B definiuje techniczne wymagania dotyczące tożsamości cyfrowej i uwierzytelniania w trzech poziomach pewności: AAL1, AAL2 oraz AAL3. Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane na poziomach AAL2 i AAL3, które obowiązują w większości systemów rządowych USA, a także w regulowanych sektorach na całym świecie.

Standard określa, które metody uwierzytelniania są dopuszczalne na poszczególnych poziomach, i kładzie szczególny nacisk na stosowanie mechanizmów odpornych na phishing, takich jak uwierzytelnianie FIDO2/WebAuthn, kryptograficzne klucze sprzętowe czy uwierzytelnianie oparte na certyfikatach, zwłaszcza na wyższych poziomach AAL

Kontekst wymogu obejmuje wszystkie systemy, które muszą spełniać określony poziom AAL, co w praktyce oznacza konieczność stosowania MFA w większości środowisk o podwyższonym ryzyku.

Rozporządzenie ogólne o ochronie danych (RODO) [Unia Europejska]

Chociaż uwierzytelnianie dwuskładnikowe nie jest wprost wymienione jako technologia potrzebna do spełnienia przepisów RODO, warto zauważyć, że Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) opublikowała wytyczne, w których zaleca korzystanie z uwierzytelniania dwuskładnikowego jako preferowanej metody dostępu do systemów przetwarzających dane osobowe oraz dostępu do urządzeń mobilnych (punkty K.7 i Q.8).

Dyrektywa NIS2 [Unia Europejska]

Dyrektywa NIS2 to ramy prawne w UE, które nakładają na państwa członkowskie i przedsiębiorstwa kluczowe obowiązek przestrzegania określonych środków cyberbezpieczeństwa, w tym korzystania z uwierzytelniania wieloskładnikowego (MFA).

Organizacje mogą wykorzystać uwierzytelnianie wieloskładnikowe (MFA), aby spełnić następujące wymagania:

• Zabezpieczenie systemów komunikacji wewnętrznej za pomocą uwierzytelniania MFA w celu zapewnienia zgodności z dyrektywą NIS2
• Przyznawanie tymczasowego dostępu za pomocą uwierzytelniania MFA w celu zapewnienia zgodności z dyrektywą NIS2
• Włączenie uwierzytelniania MFA w celu zabezpieczenia łańcucha dostaw zgodnie z dyrektywą NIS2

Podmioty kluczowe i ważne działające w Unii Europejskiej (UE) są zobowiązane do przestrzegania dyrektywy NIS2 w postaci przetransponowanej do prawa krajowego. W Polsce jest to ustawa o krajowym systemie cyberbezpieczeństwa.

Ustawa UE o cyberbezpieczeństwie [Unia Europejska]

Ustawa UE o cyberbezpieczeństwie ma wpływ na różne sektory UE zajmujące się produktami, usługami i procesami ICT. Chociaż sama ustawa nie nakłada obowiązku uwierzytelniania wieloskładnikowego (MFA), wytyczne ENISA zalecają jego stosowanie, podobnie jak w przypadku RODO.

electronic IDentification, Authentication and Trust Services (eIDAS) [Unia Europejska]

To kompleksowe ramy prawne, które mają zastosowanie do różnych sektorów w Unii Europejskiej, ale także do firm spoza UE, które obsługują klientów z UE. eIDAS jest szczególnie istotne dla przedsiębiorstw, administracji publicznej i osób fizycznych uczestniczących w transakcjach elektronicznych lub korzystających z systemów identyfikacji elektronicznej. Rozporządzenie wprowadza poziomy bezpieczeństwa (LoA), podzielone na trzy poziomy: Low, Substantial i High. W praktyce wiele wdrożeń eIDAS na poziomie LoA Substantial stosuje uwierzytelnianie wieloskładnikowe lub równoważne mechanizmy kontrolne, aby osiągnąć wymagany poziom pewności zależnie od zgłoszonego schematu identyfikacji. Na poziomie LoA High wdrożenia zazwyczaj wymagają silniejszych zabezpieczeń (często opartych na sprzęcie) oraz bardziej rygorystycznych procesów zapewniania pewności; to, czy konkretne urządzenie spełnia wymagania LoA High, zależy od danego schematu eID oraz przedstawionych dowodów zapewnienia.

Ustawa New York SHIELD Act [Stany Zjednoczone]

Włączenie uwierzytelniania wieloskładnikowego (MFA) może pomóc zwiększyć bezpieczeństwo i chronić poufne informacje.

Kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) [Stany Zjednoczone]

Ustawa ta ma zastosowanie do firm w Kalifornii, zwłaszcza tych przetwarzających dane osobowe mieszkańców. Chociaż nie wymaga ona wprost uwierzytelniania wieloskładnikowego (MFA), nakazuje stosowanie rozsądnych środków bezpieczeństwa w celu ochrony danych osobowych użytkowników. Wdrożenie MFA może pomóc w spełnieniu tych wymagań.

Jak zachować zgodność z przepisami we wszystkich tych sektorach?

Poruszanie się po złożonym krajobrazie zgodności z przepisami w różnych branżach może być trudne. Kluczowym aspektem wyboru odpowiedniego dostawcy usług MFA jest upewnienie się, że spełnia on zróżnicowane wymagania określone w różnych przepisach.

Rublon MFA wyróżnia się jako doskonały wybór dla firm dbających o zgodność z przepisami. Oferuje solidne funkcje bezpieczeństwa, zgodne ze standardami wielu organów regulacyjnych. Niezależnie od tego, czy działasz w sektorze finansowym i musisz spełnić wymagania DORA i PCI DSS, czy musisz przestrzegać dyrektywy NIS2 oraz ustawy o KSC, Rublon MFA spełni Twoje oczekiwania.

Osiągnij zgodność z przepisami dzięki Rublon MFA

Nie wierz nam na słowo. Przekonaj się sam o zaletach Rublon MFA. Kliknij przycisk Wypróbuj, aby rozpocząć 30-dniowy bezpłatny okres próbny Rublon MFA i już dziś wykonaj pierwszy krok w kierunku większego bezpieczeństwa i zgodności z przepisami.

Podsumowanie

Chociaż uwierzytelnianie wieloskładnikowe (2FA) nie jest obowiązkowe we wszystkich branżach, jest to kluczowy środek bezpieczeństwa w sektorach przetwarzających wrażliwe dane. Wymagając dodatkowej warstwy uwierzytelniania, 2FA zapewnia dodatkową linię obrony, utrudniając osobom nieupoważnionym dostęp do zastrzeżonych informacji i systemów.

Podsumowując, warto włączyć uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich pracowników, niezależnie od branży, w której działa firma. Nawet jeśli uwierzytelnianie wieloskładnikowe nie jest jeszcze obowiązkowe, to wkrótce będzie, dlatego warto się do tego wcześniej przygotować.

FAQ – Najczęściej zadawane pytania o 2FA w branżach w Polsce