Bezpieczeństwo,
które ma znaczenie.
Większości firm w Polsce dyrektywa NIS2 nie obowiązuje. Ale to, co stoi za tymi przepisami — odporność na ataki, brak utraty danych, ciągłość działania biznesu — dotyczy każdego, kto ma stronę, system księgowy albo bazę klientów. Tę stronę napisaliśmy uczciwie: bez obietnic certyfikatów, których nikt nie wystawia.
NIS2
w 60 sekund.
Dyrektywa NIS2 to unijny zestaw przepisów o cyberbezpieczeństwie, w Polsce wdrażany przez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC). Dotyczy podmiotów kluczowych i ważnych w 18 sektorach — m.in. energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, administracja publiczna, gospodarka odpadami, finanse.
Co do zasady obejmuje firmy zatrudniające powyżej 50 osób lub osiągające przychód powyżej 10 milionów euro — z wyjątkami sektorowymi. Większość małych i średnich firm: biur rachunkowych, lokalnych sklepów online, kancelarii, mniejszych zakładów produkcyjnych — NIS2 nie obowiązuje.
Mimo to o tym piszemy. Bo te same praktyki, których wymaga dyrektywa, opłacają się także firmom poza regulacją. Atak typu ransomware, wyciek bazy klientów, nieaktualny serwer z luką — to realne koszty, które statystycznie dotykają mniejsze firmy częściej, nie rzadziej, niż duże korporacje. NIS2 to skondensowane dobre praktyki, nie wymysł brukselski.
Co dostajesz
w pakiecie.
Pięć praktyk, które w Monaltro stosujemy domyślnie — niezależnie od tego, czy klient o nie pyta. Przy każdej tłumaczymy, co konkretnie znaczy dla Twojego biznesu, a nie tylko dla administratora.
Stabilny fundament: Linux LTS
Wdrażamy na Ubuntu lub Debianie w wersjach z długim wsparciem (LTS — Long Term Support). Otwarty kod, regularne aktualizacje bezpieczeństwa przez 5–10 lat, brak ukrytych licencji ani niespodziewanych zmian polityki dostawcy.
Twój system dostaje łatki bezpieczeństwa bez przerywania pracy i bez dodatkowych opłat. Nie wygasa po roku, nie zmusza Cię do migracji, której nie planowałeś.
Najmniejsze uprawnienia, brak domyślnych haseł
Każdy serwis działa z minimum dostępu do plików, bazy danych i sieci. Domyślne konta administratorskie zmieniamy lub wyłączamy. Otwartych portów zostawiamy tylko tyle, ile naprawdę potrzeba.
Jeśli atakujący znajdzie lukę w jednej aplikacji, nie dostaje od razu dostępu do reszty systemu — straty są ograniczone do jednego zasobu.
Szyfrowanie w tranzycie i spoczynku
HTTPS na wszystkich połączeniach domyślnie. Bazy z poufnymi informacjami klientów, fakturami albo dokumentami szyfrujemy też na poziomie dysku — czyli nawet kopia bazy danych w niczyich rękach jest nieczytelna.
Kradzież fizycznego nośnika lub podsłuch sieci nie daje napastnikowi czytelnych danych. Czas na zareagowanie zostaje po Twojej stronie.
Szyfrowane kopie zapasowe + plan odtwarzania
Regularny backup (zwykle codzienny) z okresową weryfikacją, że da się z niego faktycznie odtworzyć system. Kopie szyfrowane, trzymane poza tym samym serwerem.
Jeśli złapiesz ransomware albo serwer padnie, wracasz do pracy w godzinach, nie tygodniach. To różnica między „przykrość" a „koniec biznesu".
Logowanie operacji
Każda istotna zmiana w systemie (kto, kiedy, co) jest rejestrowana. Logi przechowujemy przez czas uzgodniony z klientem (zwykle 6–12 miesięcy).
W razie incydentu albo sporu masz materiał dla ubezpieczyciela, prawnika lub audytora — zamiast pustej karty i tłumaczenia, że „chyba ktoś coś zmienił".
Co możemy
dodać.
Dla projektów, w których klient sam podlega pod NIS2 albo musi pokazać audytorowi twardą dokumentację — dostarczamy dodatkowe artefakty. Każdy z nich uzgadniamy w fazie planowania, żeby pasował do Twojego konkretnego kontekstu, a nie był papierem dla samego papieru.
SBOM — lista składników
Format CycloneDX lub SPDX (standardy branżowe). Pełna lista bibliotek i komponentów, z których zbudowany jest Twój system — z wersjami i licencjami. Aktualizujemy przy każdym istotnym wdrożeniu.
Instrukcja bezpiecznej konfiguracji
Konkretne wytyczne dla Twoich administratorów albo operatorów: reguły zapory sieciowej, polityki dostępu, parametry usług, lista portów. Custom pod Twoją infrastrukturę, nie generyczny szablon z internetu.
Integracja z systemem monitoringu
Jeśli masz wewnętrzny system analizy logów albo zewnętrznego operatora bezpieczeństwa — wystawiamy logi w uzgodnionym formacie i pomagamy podpiąć źródło danych.
Czego
nie obiecujemy.
Większość ofert na rynku obiecuje wszystko każdemu. Wolimy ograniczyć się do tego, co realnie potrafimy dostarczyć. Jeśli czegoś tu nie ma — znaczy, że nie ma.
Nie certyfikujemy zgodności.
Nie jesteśmy jednostką akredytowaną do wystawiania opinii audytowych w standardach typu ISO 27001. Nasza dokumentacja to dowód praktyk inżynierskich, nie certyfikat regulatora.
Nie świadczymy infolinii 24/7.
Komunikacja w godzinach pracy: poniedziałek–piątek 9:00–17:00. W krytycznych projektach uzgadniamy alternatywne kanały eskalacji indywidualnie, w umowie utrzymaniowej.
Nie odpowiadamy za Twoją zgodność.
Dyrektywa NIS2, ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) i RODO nakładają obowiązki na podmiot zobowiązany — czyli na Ciebie. Możemy ułatwić Ci to zadanie, ale nie zdejmiemy z Ciebie odpowiedzialności prawnej.
Nie konkurujemy z firmami audytorskimi.
Jeśli potrzebujesz pełnego wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o ISO 27001 albo formalnej oceny ryzyka regulatora, kierujemy do podmiotów wyspecjalizowanych. Działamy na warstwie inżynierskiej.
FAQ.
01 Czy moja firma podlega pod NIS2? +
Szybki test: jesteś w jednym z 18 sektorów objętych dyrektywą (m.in. energetyka, transport, ochrona zdrowia, infrastruktura cyfrowa, finanse, woda, zaopatrzenie krytyczne) ORAZ zatrudniasz powyżej 50 osób lub masz przychód powyżej 10 milionów euro? Jeśli tak — najprawdopodobniej tak. Jeśli prowadzisz biuro rachunkowe, sklep online albo niewielki zakład produkcyjny — z reguły nie. Definitywną odpowiedź da prawnik specjalizujący się w cyberbezpieczeństwie, ale ten test wystarczy w większości przypadków.
02 Czy macie „Certyfikat NIS2"? +
Dyrektywa NIS2 nie przewiduje uniwersalnego certyfikatu dla firm informatycznych. Każdy, kto sprzedaje „Certyfikat NIS2", oferuje certyfikat firmy szkoleniowej — nie regulatora. To nie to samo. My działamy zgodnie z dobrymi praktykami inżynierskimi i dostarczamy dokumentację, którą można pokazać audytorowi po stronie klienta. To nie jest „pieczątka NIS2", bo taka pieczątka po prostu nie istnieje.
03 Dlaczego polecacie open source — „przecież nie ma tam wsparcia"? +
To mit, który dobrze sprzedaje się dostawcom zamkniętego oprogramowania. Ubuntu i Debian w wersjach LTS są wspierane oficjalnie przez 5–10 lat, z gwarantowanymi aktualizacjami. Otwarty kod oznacza, że luki znajduje globalna społeczność i niezależni badacze — nie pojedyncza zamknięta firma. Historycznie skutkuje to szybszą reakcją na zagrożenia, nie wolniejszą.
04 Co z RODO? To osobna sprawa? +
To osobna regulacja, ale tematycznie nakłada się z NIS2 w warstwie ochrony danych osobowych. Każdy projekt, który dotyka danych klientów lub pracowników, projektujemy z myślą o RODO już na etapie architektury — nie jako łatkę dokładaną na końcu. Założyciel Monaltro posiada certyfikat „Ochrona danych osobowych w MŚP" wydany przez Akademię PARP w 2022 roku.
05 Co się dzieje, jeśli wybuchnie incydent w systemie, który u nas wdrożyliście? +
W pierwszej kolejności stabilizujemy system, izolujemy źródło i przywracamy z kopii zapasowej. Równolegle przygotowujemy dane techniczne — logi, oś czasu zdarzenia, listę naruszonych zasobów — których będziesz potrzebować do raportu: czy to do Zespołu Reagowania na Incydenty (CSIRT, jeśli podlegasz pod NIS2), do UODO (przy wycieku danych osobowych), czy do ubezpieczyciela. Konkretne czasy reakcji uzgadniamy w umowie utrzymaniowej.
06 Moja firma nie podlega pod NIS2. Po co miałbym to wszystko stosować? +
Bo atak ransomware, wyciek bazy klientów albo nieaktualny serwer z luką to ryzyka, które statystycznie dotykają małych firm częściej, nie rzadziej, niż dużych graczy. NIS2 to nie obowiązek wzięty z powietrza — to skondensowane dobre praktyki branżowe. Stosując je nawet bez nakazu zyskujesz stabilny system, który chroni przed utratą danych i przestojami. To po prostu solidna inżynieria, niezależnie od tego, co mówi regulator.
Powyższe stanowi opis praktyk inżynierskich Monaltro P.S.A. Nie jest to certyfikat zgodności, opinia audytowa ani gwarancja, że klient spełnia obowiązki wynikające z dyrektywy NIS2, ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), RODO ani innych przepisów. Odpowiedzialność za zgodność z prawem spoczywa na podmiocie zobowiązanym, czyli na kliencie. Konkretne zobowiązania i parametry usługi (czasy reakcji, zakres dokumentacji, kanały eskalacji) regulowane są wyłącznie umową z Monaltro.