MFA i Dyrektywa NIS2: Jak spełnić wymogi ustawy o krajowym systemie cyberbezpieczeństwa

Ostatnia aktualizacja dnia January 26 2026

W obliczu rosnących zagrożeń cybernetycznych, zarówno dyrektywa NIS2, jak i Nowelizacja polskiej ustawy o krajowym systemie cyberbezpieczeństwa kładą duży nacisk na stosowanie uwierzytelniania wieloskładnikowego (MFA) w organizacjach. Implementacja MFA jest kluczowym elementem ochrony przed nieautoryzowanym dostępem i utrzymania integralności systemów informacyjnych. Które z wymagań dyrektywy NIS2 oraz ustawy o krajowym systemie cyberbezpieczeństwa można spełnić wdrażając uwierzytelnianie MFA w organizacji? Jak się ma dyrektywa NIS2 do ustawy o krajowym systemie cyberbezpieczeństwa? Które rozwiązanie MFA wybrać? Na te i inne pytania odpowiemy w tym artykule.

Dyrektywa NIS2 i jej wymogi dotyczące MFA

Dyrektywa NIS2 (Network and Information Security Directive) nakłada na podmioty krytyczne oraz ważne obowiązek wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie. Uwierzytelnianie wieloskładnikowe może mieć zastosowanie do spełnienia nastepujących wymagań dyrektywy NIS2:

• Zabezpieczenia połączeń głosowych, tekstowych i wideo oraz zabezpieczenia systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
• Bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania zasobami.
• Bezpieczeństwa łańcucha dostaw, w tym zabezpieczeń stosunków między podmiotem a jego dostawcami.

Wymagania NIS2 a wymagania ustawy o krajowym systemie cyberbezpieczeństwa – Jaka jest różnica?

Zapisy dyrektywy NIS2 nie są bezpośrednio stosowane w żadnym państwie Unii Europejskiej. Zamiast tego, państwa członkowskie mają obowiązek wprowadzenia postanowień Dyrektywy do prawa krajowego. W Polsce wiąże się to z nowelizacją ustawy o krajowym systemie cyberbezpieczeństwa. To właśnie w Artykule 8. znowelizowanej wersji tej ustawy pojawiają się wymagania co do zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez podmioty krytyczne i ważne.

Można zatem w uproszczeniu uznać, że dyrektywa NIS2 jest pewnym drogowskazem, zawierającym wymagania, które należy odpowiednio przełożyć na język prawa krajowego. Prawo krajowe może oczywiście zawierać również inne zapisy, zgodne z dodatkowymi wytycznymi, regulacjami oraz specyficznymi wymogami danego państwa. W Polsce implementacja tych wymogów odbywa się poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. W tym artykule omawiamy aktualne brzmienie przepisów oraz ich znaczenie dla organizacji.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – wymagania dotyczące MFA

Mimo że MFA nie pojawia się wprost w treści ustawy, kilka obowiązków wynikających z art. 8 można skutecznie realizować właśnie poprzez wdrożenie uwierzytelniania wieloczynnikowego. Dotyczy to w szczególności wymogów związanych z kontrolą dostępu, autentycznością użytkowników oraz ochroną przed nieuprawnioną modyfikacją danych.

Poniżej fragmenty znowelizowanej ustawy o KSC wraz z komentarzami dotyczącymi ich związku z MFA.

Art.  8. [Obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej]

Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:

2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego: Choć przepis nie odnosi się bezpośrednio do MFA, uwierzytelnianie wieloskładnikowe wzmacnia bezpieczeństwo operacyjne, utrudniając przejęcie kont administracyjnych i ograniczając ryzyko nieautoryzowanych zmian w systemie.

b) Bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu: MFA wzmacnia kontrolę dostępu do systemów informacyjnych, ograniczając ryzyko przejęcia konta i nieautoryzowanego dostępu do zasobów.

c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej: MFA może wspierać bezpieczeństwo usług zależnych, jeśli dostęp do nich odbywa się poprzez konta użytkowników lub administratorów; wówczas MFA ogranicza ryzyko przejęcia tożsamości i nieautoryzowanego wpływu na usługi kluczowe.

d) Zapewnienie poufności, integralności, dostępności i autentyczności informacji: MFA pomaga w ochronie poufności i integralności danych poprzez zapewnienie, że tylko uprawnione osoby mają dostęp do systemu informacyjnego.

5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

5a) Stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych: MFA jest jednym z najskuteczniejszych środków zapewniających autentyczność i integralność danych, ponieważ minimalizuje ryzyko przejęcia kont użytkowników i administratorów.

5c) Ochrona przed nieuprawnioną modyfikacją w systemie informacyjnym: Dzięki MFA trudniej jest uzyskać dostęp do kont uprzywilejowanych, co ogranicza ryzyko nieautoryzowanych zmian konfiguracji, danych lub logów.

Przypadki użycia MFA w celu spełnienia wymagań dyrektywy NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Oto kilka przypadków użycia, które pozwalają na zastosowanie odpowiednio zaawansowanego rozwiązania MFA do spełnienia wymienionych wczesniej wymagań dyrektywy NIS2 i odpowiadającym jej wymaganiom w ustawie o krajowym systemie cyberbezpieczeństwa.

Zabezpieczenie systemów łączności wewnątrz firmy

Scenariusz: Firma korzysta z różnych aplikacji do zarządzania swoją infrastrukturą IT i komunikacją, takich jak Jira, Confluence, Outlook Web App (OWA), Slack, Zoom, G Suite oraz VPN do zdalnego połączenia z siecią wewnętrzną firmy.

Wyzwanie: Firma musi zabezpieczyć te aplikacje, aby zapobiec nieautoryzowanemu dostępowi i zapewnić utrzymanie prywatności danych, szczególnie w sytuacjach nadzwyczajnych.

Rozwiązanie: Firma implementuje uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich wymienionych aplikacji.

Korzyści: Implementacja MFA dla wszystkich kluczowych aplikacji pomaga firmie spełnić wymogi dyrektywy NIS2 dotyczące zabezpieczenia dostępu do systemów IT oraz ochrony systemów służących do komunikacji wewnątrzfirmowej.

Tymczasowe przydzielanie dostępu

Scenariusz: Specjalista z innego działu jest potrzebny do rozwiązania konkretnego problemu technicznego, który wymaga dostępu do pewnego zasobu.

Wyzwanie: Specjalista musi otrzymać ograniczony czasowo i ściśle kontrolowany dostęp do zasobu firmy.

Rozwiązanie: Dodajemy specjalistę do grupy, w której jedyna dostępna forma MFA polega na tym, że administrator systemu MFA generuje kod z tylko jednym użyciem i krótką datą ważności, który następnie specjalista musi podać podczas logowania.

Korzyści: Zastosowanie principle of least privilege, gdzie specjalista otrzymuje dostęp tylko na czas wykonania bardzo konkretnego jednorazowego zadania, a po wykonaniu swojego zadania traci dostęp. Jeśli musi ponownie coś zrobić, to admin musi mu wygenerować inny kod dostępu. Jeśli w międzyczasie haker złamie hasło tego specjalisty, to nie dostanie się do chronionego zasobu.

Ochrona dostępu dostawców do systemu firmy

Scenariusz: Firma z sektora produkcji żywności korzysta z systemu zarządzania zapasami dostępnego online. Firma ta współpracuje z różnymi dostawcami surowców, a każdy z dostawców ma dostęp do systemu zarządzania zapasami, aby monitorować poziom zapasów i planować dostawy.

Wyzwanie: Firma chce zezwolić dostawcom na dostęp do systemu zarządzania zapasami tylko w określony sposób, jednocześnie monitorując logowanie dostawców i wykrywając nieautoryzowany dostęp, który może stanowić zagrożenie dla łańcucha dostaw.

Rozwiązanie: Aby uzyskać dostęp do systemu, dostawca musi ukończyć proces uwierzytelniania wieloskładnikowego (MFA). Oprócz standardowej nazwy użytkownika i hasła, każda próba logowania dostawcy wymaga przejścia przez dodatkowy, prosty proces weryfikacji. Dostawcy mają ograniczony dostęp określany przez polityki dostępu.

Korzyści: Nawet jeśli hasło dostawcy zostanie złamane, potencjalny atakujący zostanie powstrzymany przez MFA. Uwierzytelnianie wieloskładnikowe znacznie obniża ryzyko nieautoryzowanego dostępu i naruszenia danych, jednocześnie pomagając zwiększyć bezpieczeństwo łańcucha dostaw.

Jak Rublon MFA spełnia wymagania dyrektywy NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Oto jak rozwiązanie z zakresu uwierzytelniania wieloskładnikowego Rublon MFA może pomóc w spełnieniu wymogów dyrektywy NIS2 oraz znowelizowanej ustawy o krajowym systemie cyberbezpieczeństwa, która wprowadza te wymagania do prawa krajowego.

Dyrektywa NIS2

1. Stosowanie uwierzytelniania wieloskładnikowego:
   • Zabezpieczenie firmowych sieci, serwerów, punktów końcowych i aplikacji za pomocą Rublon MFA.
2. Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami:
   • Wykrywanie nieautoryzowanego dostępu za pomocą dzienników uwierzytelniania.
   • Kontrola dostępu do zasobów dzięki Politykom Rublon.
   • Śledzenie zmian administratorów dzięki dziennikom audytu.
3. Bezpieczeństwo łańcucha dostaw:
   • Zarządzanie tożsamościami członków łańcucha dostaw mających dostęp do infrastruktury.
   • Instalacja Rublon na urządzeniach końcowych dostawców zewnętrznych.
   • Ograniczanie dostępu do aplikacji krytycznych.

Ustawa o krajowym systemie cyberbezpieczeństwa

1. Bezpieczeństwo fizyczne i środowiskowe:
   • Rublon MFA zapewnia silną kontrolę dostępu do zasobów fizycznych i cyfrowych.
2. Bezpieczeństwo i ciągłość łańcucha dostaw:
   • Zabezpieczanie dostępu do systemów zarządzania łańcuchem dostaw za pomocą MFA.
3. Poufność, integralność, dostępność i autentyczność danych:
   • Rublon MFA chroni poufność i integralność danych przetwarzanych w systemie informacyjnym poprzez ochronę dostępu do tego systemu.

Rublon MFA – kompleksowe uwierzytelnianie wieloskładnikowe dla NIS2 i ustawy o krajowym systemie cyberbezpieczeństwa

Rublon MFA to zaawansowane i skalowalne rozwiązanie, które spełnia wymagania zarówno dyrektywy NIS2, jak i polskiej ustawy o krajowym systemie cyberbezpieczeństwa. Dzięki Rublon MFA możesz:

• Zabezpieczyć swoje zasoby IT przed nieautoryzowanym dostępem.
• Umożliwić bezpieczną i zgodną z przepisami komunikację elektroniczną.
• Zarządzać tożsamościami i dostępami w całej infrastrukturze IT w sposób scentralizowany i efektywny.
• Zwiększyć poziom bezpieczeństwa łańcucha dostaw poprzez zaawansowane polityki kontroli dostępu.

Wypróbuj Rublon MFA za darmo

Wypróbuj Rublon MFA już dziś i przekonaj się, jak łatwo możesz zabezpieczyć swoje zasoby IT zgodnie z najnowszymi standardami cyberbezpieczeństwa.

Podsumowanie

Implementacja uwierzytelniania wieloskładnikowego (MFA) jest kluczowym elementem w zapewnianiu bezpieczeństwa cybernetycznego w świetle dyrektywy NIS2 oraz polskiej ustawy o krajowym systemie cyberbezpieczeństwa. Rublon MFA oferuje szeroki wachlarz funkcji i narzędzi, które pomagają organizacjom spełnić te wymagania i chronić swoje zasoby IT w sposób skuteczny i zgodny z regulacjami.