MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa

Ostatnia aktualizacja dnia 1 września 2025

W obliczu rosnących zagrożeń cybernetycznych, zarówno dyrektywa NIS2, jak i Projekt nowelizacji polskiej ustawy o krajowym systemie cyberbezpieczeństwa kładą duży nacisk na stosowanie uwierzytelniania wieloskładnikowego (MFA) w organizacjach. Implementacja MFA jest kluczowym elementem ochrony przed nieautoryzowanym dostępem i utrzymania integralności systemów informacyjnych. Które z wymagań dyrektywy NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa można spełnić wdrażając uwierzytelnianie MFA w organizacji? Jak się ma dyrektywa NIS2 do ustawy o krajowym systemie cyberbezpieczeństwa? Które rozwiązanie MFA wybrać? Na te i inne pytania odpowiemy w tym artykule.

Dyrektywa NIS2 i jej wymogi dotyczące MFA

Dyrektywa NIS2 (Network and Information Security Directive) nakłada na podmioty krytyczne oraz ważne obowiązek wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie. Uwierzytelnianie wieloskładnikowe może mieć zastosowanie do spełnienia nastepujących wymagań dyrektywy NIS2:

• Zabezpieczenia połączeń głosowych, tekstowych i wideo oraz zabezpieczenia systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
• Bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania zasobami.
• Bezpieczeństwa łańcucha dostaw, w tym zabezpieczeń stosunków między podmiotem a jego dostawcami.

Wymagania NIS2 a wymagania ustawy o krajowym systemie cyberbezpieczeństwa – Jaka jest różnica?

Zapisy dyrektywy NIS2 nie będą bezpośrednio stosowana w żadnym państwie Unii Europejskiej. Zamiast tego, państwa członkowskie mają obowiązek wprowadzenia postanowień Dyrektywy do prawa krajowego. W Polsce wiąże się to z koniecznością nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. To właśnie w Artykule 8. projektu znowelizowanej wersji tej ustawy pojawią się wymagania co do zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez podmioty krytyczne i ważne.

Można zatem w uproszczeniu uznać, że dyrektywa NIS2 jest pewnym drogowskazem, zawierającym wymagania, które należy ubrać w odpowiednie słowa projektując nowelizację prawa krajowego. Prawo krajowe może oczywiście zawierać również inne zapisy, zgodne z innymi wytycznymi i regulacjami oraz konkretnymi wymogami danego kraju. W Polsce pojawił się już Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. Możemy zatem przyjrzeć się temu projektowi oraz temu, jakie zmiany wprowadza.

Projekt ustawy o krajowym systemie cyberbezpieczeństwa

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, który ma na celu dostosowanie polskiego prawa do wymogów dyrektywy NIS2, wprowadza następujące kluczowe wymagania dotyczące MFA:

Art. 8. 1. Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający:

• 2c) Bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu: MFA może być wykorzystane do zapewnienia silnej kontroli dostępu do fizycznych i cyfrowych zasobów.
• 2d) Bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT: MFA może być wykorzystane do zabezpieczania dostępu do systemów zarządzania łańcuchem dostaw.
• 5a) Stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym: MFA pomaga w ochronie poufności i integralności danych poprzez zapewnienie, że tylko uprawnione osoby mają dostęp do systemu informacyjnego.
• 6) Stosowanie bezpiecznych środków komunikacji elektronicznej: Ten punkt bezpośrednio odnosi się do MFA jako metody zapewnienia bezpiecznej komunikacji elektronicznej.

Przypadki użycia MFA w celu spełnienia wymagań dyrektywy NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Oto kilka przypadków użycia, które pozwalają na zastosowanie odpowiednio zaawansowanego rozwiązania MFA do spełnienia wymienionych wczesniej wymagań dyrektywy NIS2 i odpowiadającym jej wymaganiom w ustawie o krajowym systemie cyberbezpieczeństwa.

Zabezpieczenie systemów łączności wewnątrz firmy

Scenariusz: Firma korzysta z różnych aplikacji do zarządzania swoją infrastrukturą IT i komunikacją, takich jak Jira, Confluence, Outlook Web App (OWA), Slack, Zoom, G Suite oraz VPN do zdalnego połączenia z siecią wewnętrzną firmy.

Wyzwanie: Firma musi zabezpieczyć te aplikacje, aby zapobiec nieautoryzowanemu dostępowi i zapewnić utrzymanie prywatności danych, szczególnie w sytuacjach nadzwyczajnych.

Rozwiązanie: Firma implementuje uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich wymienionych aplikacji.

Korzyści: Implementacja MFA dla wszystkich kluczowych aplikacji pomaga firmie spełnić wymogi dyrektywy NIS2 dotyczące zabezpieczenia dostępu do systemów IT oraz ochrony systemów służących do komunikacji wewnątrzfirmowej.

Tymczasowe przydzielanie dostępu

Scenariusz: Specjalista z innego działu jest potrzebny do rozwiązania konkretnego problemu technicznego, który wymaga dostępu do pewnego zasobu.

Wyzwanie: Specjalista musi otrzymać ograniczony czasowo i ściśle kontrolowany dostęp do zasobu firmy.

Rozwiązanie: Dodajemy specjalistę do grupy, w której jedyna dostępna forma MFA polega na tym, że administrator systemu MFA generuje kod z tylko jednym użyciem i krótką datą ważności, który następnie specjalista musi podać podczas logowania.

Korzyści: Zastosowanie principle of least privilege, gdzie specjalista otrzymuje dostęp tylko na czas wykonania bardzo konkretnego jednorazowego zadania, a po wykonaniu swojego zadania traci dostęp. Jeśli musi ponownie coś zrobić, to admin musi mu wygenerować inny kod dostępu. Jeśli w międzyczasie haker złamie hasło tego specjalisty, to nie dostanie się do chronionego zasobu.

Ochrona dostępu dostawców do systemu firmy

Scenariusz: Firma z sektora produkcji żywności korzysta z systemu zarządzania zapasami dostępnego online. Firma ta współpracuje z różnymi dostawcami surowców, a każdy z dostawców ma dostęp do systemu zarządzania zapasami, aby monitorować poziom zapasów i planować dostawy.

Wyzwanie: Firma chce zezwolić dostawcom na dostęp do systemu zarządzania zapasami tylko w określony sposób, jednocześnie monitorując logowanie dostawców i wykrywając nieautoryzowany dostęp, który może stanowić zagrożenie dla łańcucha dostaw.

Rozwiązanie: Aby uzyskać dostęp do systemu, dostawca musi ukończyć proces uwierzytelniania wieloskładnikowego (MFA). Oprócz standardowej nazwy użytkownika i hasła, każda próba logowania dostawcy wymaga przejścia przez dodatkowy, prosty proces weryfikacji. Dostawcy mają ograniczony dostęp określany przez polityki dostępu.

Korzyści: Nawet jeśli hasło dostawcy zostanie złamane, potencjalny atakujący zostanie powstrzymany przez MFA. Uwierzytelnianie wieloskładnikowe znacznie obniża ryzyko nieautoryzowanego dostępu i naruszenia danych, jednocześnie pomagając zwiększyć bezpieczeństwo łańcucha dostaw.

Jak Rublon MFA spełnia wymagania dyrektywy NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Oto jak rozwiązanie z zakresu uwierzytelniania wieloskładnikowego Rublon MFA może pomóc w spełnieniu wymogów dyrektywy NIS2 oraz znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza te wymagania do prawa krajowego.

Dyrektywa NIS2

1. Stosowanie uwierzytelniania wieloskładnikowego:
   • Zabezpieczenie firmowych sieci, serwerów, punktów końcowych i aplikacji za pomocą Rublon MFA.
2. Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami:
   • Wykrywanie nieautoryzowanego dostępu za pomocą dzienników uwierzytelniania.
   • Kontrola dostępu do zasobów dzięki Politykom Rublon.
   • Śledzenie zmian administratorów dzięki dziennikom audytu.
3. Bezpieczeństwo łańcucha dostaw:
   • Zarządzanie tożsamościami członków łańcucha dostaw mających dostęp do infrastruktury.
   • Instalacja Rublon na urządzeniach końcowych dostawców zewnętrznych.
   • Ograniczanie dostępu do aplikacji krytycznych.

Ustawa o krajowym systemie cyberbezpieczeństwa

1. Bezpieczeństwo fizyczne i środowiskowe:
   • Rublon MFA zapewnia silną kontrolę dostępu do zasobów fizycznych i cyfrowych.
2. Bezpieczeństwo i ciągłość łańcucha dostaw:
   • Zabezpieczanie dostępu do systemów zarządzania łańcuchem dostaw za pomocą MFA.
3. Poufność, integralność, dostępność i autentyczność danych:
   • Rublon MFA chroni poufność i integralność danych przetwarzanych w systemie informacyjnym poprzez ochronę dostępu do tego systemu.
4. Bezpieczne środki komunikacji elektronicznej:
   • Rublon MFA zapewnia bezpieczną komunikację elektroniczną w ramach krajowego systemu cyberbezpieczeństwa.

Rublon MFA – kompleksowe uwierzytelnianie wieloskładnikowe dla NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Rublon MFA to zaawansowane i skalowalne rozwiązanie, które spełnia wymagania zarówno dyrektywy NIS2, jak i polskiej ustawy o krajowym systemie cyberbezpieczeństwa. Dzięki Rublon MFA możesz:

• Zabezpieczyć swoje zasoby IT przed nieautoryzowanym dostępem.
• Umożliwić bezpieczną i zgodną z przepisami komunikację elektroniczną.
• Zarządzać tożsamościami i dostępami w całej infrastrukturze IT w sposób scentralizowany i efektywny.
• Zwiększyć poziom bezpieczeństwa łańcucha dostaw poprzez zaawansowane polityki kontroli dostępu.

Wypróbuj Rublon MFA za darmo

Wypróbuj Rublon MFA już dziś i przekonaj się, jak łatwo możesz zabezpieczyć swoje zasoby IT zgodnie z najnowszymi standardami cyberbezpieczeństwa.

Podsumowanie

Implementacja uwierzytelniania wieloskładnikowego (MFA) jest kluczowym elementem w zapewnianiu bezpieczeństwa cybernetycznego w świetle dyrektywy NIS2 oraz polskiej ustawy o krajowym systemie cyberbezpieczeństwa. Rublon MFA oferuje szeroki wachlarz funkcji i narzędzi, które pomagają organizacjom spełnić te wymagania i chronić swoje zasoby IT w sposób skuteczny i zgodny z regulacjami.