Przejdź do głównej zawartości

Wymagania NIS2 w zakresie PAM: co polskie firmy muszą wdrożyć przed kwietniem 2027 r.

· 5 min aby przeczytać
VaultPAM Team
VaultPAM Team
Security Engineering

Polska ustawa transponująca NIS2 (UKSC — ustawa o krajowym systemie cyberbezpieczeństwa) weszła w życie 3 kwietnia 2026 r. Masz czas do kwietnia 2027 r. na osiągnięcie zgodności. Niedopełnienie obowiązku naraża Twoją organizację na kary finansowe do 7 milionów euro i — co kluczowe — osobistą odpowiedzialność kadry zarządzającej wyższego szczebla. To nie jest problem zespołu ds. bezpieczeństwa. To problem na poziomie zarządu.

Niniejszy przewodnik wyjaśnia wszystko bez ogródek: oto dokładnie to, czego wymaga NIS2 art. 21 w zakresie dostępu uprzywilejowanego, i jak każde wymaganie przekłada się na konkretny krok implementacyjny.

Co tak naprawdę wymaga NIS2 art. 21

Artykuł 21 dyrektywy NIS2 wymaga „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych". W odniesieniu do dostępu uprzywilejowanego przekłada się to na dziesięć konkretnych mechanizmów kontrolnych, które polscy regulatorzy będą badać podczas inspekcji:

  1. Uwierzytelnianie wieloskładnikowe na wszystkich kontach uprzywilejowanych — każde konto administracyjne musi wymagać drugiego czynnika uwierzytelnienia. SMS OTP nie spełnia wymagania dla dostępu wysokiej pewności; oczekiwane jest TOTP lub sprzętowe tokeny (WebAuthn/FIDO2).

  2. Nagrywanie sesji uprzywilejowanych — każda sesja RDP, SSH i administracyjna sesja webowa musi być nagrana z kryptograficznie zabezpieczoną integralnością. Nagranie musi być możliwe do pobrania dla celów audytowych przez co najmniej 12 miesięcy.

  3. Dziennik audytu i rejestrowanie zdarzeń — każde zdarzenie dostępowe (logowanie, rozpoczęcie sesji, zakończenie sesji, wykonane polecenie, przesłany plik) musi być rejestrowane ze znacznikiem czasu odpornym na manipulacje.

  4. Wymuszanie zasady minimalnych uprawnień — użytkownicy mogą mieć tylko taki dostęp, jakiego potrzebują, wtedy gdy go potrzebują. Stałe prawa administracyjne do systemów produkcyjnych nie są zgodne z wymaganiami.

  5. Dostęp just-in-time (JIT) — dostęp uprzywilejowany powinien być ograniczony czasowo. Dostęp jest przyznawany na określoną sesję lub okno czasowe i automatycznie odwoływany po jego upływie.

  6. Przepływy zatwierdzania dla wrażliwego dostępu — dostęp do systemów krytycznych powinien wymagać udokumentowanego zatwierdzenia przez drugą upoważnioną osobę przed rozpoczęciem sesji.

  7. Sejf poświadczeń z automatyczną rotacją — hasła uprzywilejowane nie mogą być współdzielone, zapisywane ani przechowywane w arkuszach kalkulacyjnych. Poświadczenia muszą być przechowywane w zaszyfrowanym sejfie i automatycznie rotowane.

  8. Zero stałego dostępu do poświadczeń produkcyjnych — użytkownicy muszą łączyć się przez sesję pośredniczącą; nie mogą widzieć ani otrzymywać rzeczywistego hasła.

  9. Proces przeglądu dostępów — uprawnienia dostępu uprzywilejowanego muszą być przeglądane i ponownie certyfikowane w regularnych odstępach czasu (co kwartał jest typowe dla systemów o wysokiej wrażliwości).

  10. Zachowanie dowodów reagowania na incydenty — nagrania sesji i dzienniki audytu muszą być zachowane w sposób umożliwiający ich udostępnienie w odpowiedzi na incydent bezpieczeństwa lub dochodzenie regulacyjne.

Jak VaultPAM mapuje się do każdego mechanizmu kontrolnego art. 21

Mechanizm kontrolnyPodsumowanie wymaganiaFunkcja VaultPAM
MFA na kontach uprzywilejowanychWymagane TOTP lub sprzętowy tokenWbudowane TOTP (Google Authenticator, Authy), WebAuthn (YubiKey, Touch ID, Windows Hello)
Nagrywanie sesjiNagrywanie odporne na manipulacje dla wszystkich sesji uprzywilejowanychPełne wideo + rejestrowanie aktywności dla RDP, SSH, VNC, HTTP; integralność łańcucha skrótów BLAKE3; przechowywanie WORM
Dziennik audytuOdporny na manipulacje dziennik każdego zdarzenia dostępowegoNiezmienny dziennik zdarzeń: start/koniec sesji, polecenia, schowek, transfery plików — wszystko ze znacznikami czasu
Minimalne uprawnieniaDostęp oparty na rolach do określonych celówKontrola dostępu oparta na politykach (PBAC) — użytkownicy mają dostęp wyłącznie do jawnie dozwolonych celów
Dostęp just-in-timePrzyznawanie dostępu ograniczonego czasowoDostęp JIT z konfigurowalnym czasem trwania sesji i automatycznym wygasaniem
Przepływy zatwierdzaniaZatwierdzenie przez drugą osobę dla wrażliwego dostępuWbudowany przepływ zatwierdzania — żądanie, zatwierdzenie, odrzucenie — z pełnym dziennikiem audytu
Sejf poświadczeńZaszyfrowany sejf z automatyczną rotacjąSejf z szyfrowaniem kopertowym (AES-256-GCM, Vault Transit); automatyczna rotacja według harmonogramu
Zero stałego dostępuUżytkownicy nie widzą ani nie otrzymują hasełPośrednictwo sesji — VaultPAM pobiera poświadczenie; użytkownik nigdy go nie widzi
Przegląd dostępówRegularna ponowna certyfikacja praw dostępuRaporty przeglądu dostępów i eksportowalne dzienniki audytu dla procesów ponownej certyfikacji
Zachowanie dowodówNagrania sesji możliwe do pobrania przez 12+ miesięcyKonfigurowalne przechowywanie; przechowywanie WORM oparte na MinIO; nagrania do pobrania do przeglądu przez audytora

Harmonogram wdrożenia

Nie wszystko musi się wydarzyć pierwszego dnia. Oto realistyczny harmonogram dla polskiego przedsiębiorstwa zaczynającego od zera:

Pierwsze 30 dni — zatrzymaj krwawienie

  • Wdróż VaultPAM w swoim środowisku (jedno popołudnie, brak agentów do zainstalowania)
  • Migruj konta administracyjne o najwyższym ryzyku do pośrednictwa sesji VaultPAM
  • Włącz MFA TOTP dla wszystkich kont mających dostęp do systemów produkcyjnych
  • Wyłącz bezpośrednie RDP z internetu (udostępniaj dostęp wyłącznie przez VaultPAM)

Dlaczego to pierwsze: Bezpośrednie RDP wystawione na internet jest jednym najczęstszym wektorem dostępu inicjalnego w atakach ransomware. Jego wyeliminowanie natychmiast zmniejsza ryzyko, jeszcze zanim pełny obraz compliance zostanie ukończony.

Dni 31–90 — buduj postawę compliance

  • Zarejestruj wszystkie konta uprzywilejowane w sejfie (zablokuj znajomość haseł produkcyjnych przez operatorów)
  • Skonfiguruj automatyczną rotację poświadczeń dla wszystkich kont produkcyjnych
  • Włącz nagrywanie sesji dla wszystkich sesji RDP, SSH i administracyjnych sesji webowych
  • Skonfiguruj przepływy zatwierdzania dla pięciu najważniejszych celów produkcyjnych
  • Wyeksportuj pierwszy raport przeglądu dostępów dla CISO

Przed kwietniem 2027 — zamknij luki compliance

  • Zakończ wdrożenie polityki dostępu JIT we wszystkich celach produkcyjnych
  • Wdróż proces przeglądu dostępów z cyklem kwartalnym
  • Udokumentuj politykę zarządzania dostępem uprzywilejowanym (VaultPAM dostarcza dowody; Ty piszesz politykę, która się do nich odwołuje)
  • Przeprowadź symulację audytu wewnętrznego: pobierz nagranie sesji, wygeneruj dziennik audytu, zademonstruj konfigurację MFA recenzentowi na poziomie audytora
  • Zaangażuj zewnętrznego audytora lub CISO do wstępnego przeglądu

Kwestia odpowiedzialności zarządu

Jeden aspekt polskiej implementacji UKSC, który wiele zespołów IT jeszcze nie przekazało wyżej: art. 32 dyrektywy NIS2 czyni kierownictwo osobiście odpowiedzialnym za niewykonanie wymaganych środków bezpieczeństwa. „Zespół IT pracował nad tym" nie jest obroną, jeśli regulatorzy stwierdzą, że mechanizmy kontroli dostępu uprzywilejowanego nie były wdrożone.

Jeśli Twoja organizacja podlega NIS2 (a większość polskich przedsiębiorstw w sektorach kluczowych i ważnych tak jest), zarząd musi zobaczyć wiarygodny plan wdrożenia z kamieniami milowymi, a nie niejasne zobowiązanie do „poprawy bezpieczeństwa".

Sprawdź, jak VaultPAM spełnia wymagania NIS2 art. 21 od razu po instalacji. Każdy wymagany mechanizm kontrolny — nagrywanie sesji, MFA, dostęp JIT, przepływy zatwierdzania, sejf poświadczeń — jest dostępny w podstawowym produkcie, hostowanym w GCP europe-central2 (Warszawa, Polska) dla zgodności z wymogami rezydencji danych.

Zacznij bezpłatny okres próbny