FRAMEWORK · NIS2

NIS2 — Dyrektywa UE 2022/2555.
Zgodność w tygodnie, nie w miesiące.

Obowiązkowe od października 2024 dla podmiotów kluczowych i ważnych. Kary do 10 milionów € lub 2% rocznych obrotów. Itamite pokrywa wymogi techniczne Art. 21 z podpisanymi dowodami dla Twojego organu właściwego (CSIRT NASK w Polsce).

Zobacz cennik Demo NIS2

Kogo dotyczy NIS2?

Podmioty kluczowe i ważne w krytycznych sektorach UE: energetyka, transport, bankowość, infrastruktury rynków finansowych, ochrona zdrowia, woda pitna i ścieki, infrastruktura cyfrowa, zarządzanie usługami ICT B2B, kosmos, cyfrowa administracja publiczna, usługi pocztowe, gospodarka odpadami, chemikalia, żywność, krytyczna produkcja, cyfrowa produkcja, badania.

Typowe progi: 50+ pracowników lub > 10M€ rocznych obrotów. W Polsce organem właściwym jest CSIRT NASK, który publikuje oficjalną listę. W razie wątpliwości CSIRT NASK udostępnia publiczne narzędzie samooceny.

Kary: do 10M€ lub 2% rocznych obrotów (podmioty kluczowe), do 7M€ lub 1,4% (podmioty ważne). Osobista odpowiedzialność rady dyrektorów za niezgodność.

WYMOGI ART. 21 — ŚRODKI TECHNICZNE

Mapowanie NIS2 ↔ kontrole Itamite

Co wymaga NIS2 vs co Itamite zbiera automatycznie.

Art. 21.2.a — Analiza ryzyka i polityki SI

Itamite pokrywa: Pełna inwentaryzacja zasobów jako wkład do analizy ryzyka. Mierzona postawa bezpieczeństwa zasilająca macierz ryzyka. Poza zakresem: formalna analiza ryzyka i pisemne polityki to praca organizacyjna.

Art. 21.2.b — Zarządzanie incydentami

Itamite pokrywa: Niezmienny audyt hash-chain z pełną śledzialnością. Wykrywanie incydentów przez alerty (zmiana konfiguracji, odchylenie postawy). Komunikacja z SIEM (Splunk, Sentinel, Elastic).

Art. 21.2.c — Ciągłość działania biznesowego

Itamite pokrywa: Aktualna inwentaryzacja dostępna dla BCP/DRP. SLA Itamite Enterprise z RTO 1h, RPO 1h. Poza zakresem: sam BCP/DRP Twojej organizacji.

Art. 21.2.d — Bezpieczeństwo łańcucha dostaw

Itamite pokrywa: Publiczny SBOM SPDX 2.3 + CycloneDX. SLSA Level 2 z build provenance. Publicznie udokumentowani podwykonawcy. Wykrywanie oprogramowania EOL w Twojej flocie.

Art. 21.2.e — Pozyskiwanie i konserwacja systemów

Itamite pokrywa: Wykrywanie oczekujących łatek, oprogramowania EOL, znanych podatnych wersji (CVE). Scentralizowane wdrażanie aktualizacji. Polityki deklaratywne utrzymujące prawidłową konfigurację w sposób ciągły.

Art. 21.2.f — Skuteczność środków (mierzalna)

Itamite pokrywa: Wynik postawy 0-100 mierzony obiektywnie, porównywalny z miesiąca na miesiąc. KPI per kontrola (jaki % zasobów przechodzi każdą kontrolę). Trend czasowy z dowodami. Dokładnie tego wymaga NIS2: "skuteczne i mierzalne środki".

Art. 21.2.g — Podstawowa higiena + szkolenia

Itamite pokrywa (część higieny): antywirus, firewall, łatki, szyfrowanie dysku, blokada ekranu, konfiguracja makr Office, kontrola USB. Wszystko mierzone automatycznie przez agenta. Poza zakresem: szkolenie personelu.

Art. 21.2.h — Szyfrowanie

Itamite pokrywa: Wykrywanie szyfrowania dysku (BitLocker, FileVault, LUKS) na każdym zasobie. Wersja TPM, Secure Boot. Szyfrowanie in-transit i at-rest samej platformy. Opcjonalny BYOK.

Art. 21.2.i — Kontrola dostępu i MFA

Itamite pokrywa: Wykrywanie lokalnych kont administratora, konta Guest, auto-login, polityki haseł. SSO/SAML do dostępu do samej konsoli Itamite. MFA obowiązkowa dla administratorów. Audyt dostępów.

Art. 21.2.j — Bezpieczna komunikacja awaryjna

Itamite pokrywa (wkrótce): Integracja z Syphrax (komunikator głos/wideo szyfrowany E2E) planowana na Q4 2026. Tymczasem: powiadomienia przez szyfrowany email, Slack, Teams.

PROCES PRAKTYCZNY

Od zera do NIS2-ready w 4-6 tygodni

01

Tydzień 1: wdrożenie agenta + inwentaryzacja

Wdrożenie agenta Itamite przez GPO/Intune w Twoim parku. W 24-48h masz pełną inwentaryzację sprzętu, oprogramowania, konfiguracji, łatek.

02

Tydzień 2: aktywacja NIS2 + pomiar baseline

Aktywujesz framework NIS2 w Zgodność → Frameworki. Itamite automatycznie mapuje kontrole agenta na artykuły NIS2. Masz aktualną baseline zgodności.

03

Tygodnie 3-4: remediacja

Stosujesz masowe poprawki przez polecenia zdalne i polityki deklaratywne (BitLocker, antywirus, łatki, konfiguracja SMB). Itamite rekomenduje kolejność według największego wpływu na procent zgodności.

04

Tydzień 5: dokumentacja organizacyjna

Podczas gdy Itamite utrzymuje środki techniczne, Twój zespół przygotowuje pisemne polityki, szkolenie personelu, plan ciągłości, rejestr dostawców ICT. To jest praca organizacyjna niemożliwa do zautomatyzowania.

05

Tydzień 6: raport końcowy + komunikacja

Generujesz podpisany raport NIS2 SHA-256 z Itamite. Łączysz go z dokumentacją organizacyjną. Komunikujesz organowi właściwemu (CSIRT NASK w Polsce) swoją zgodność.

CZĘSTO ZADAWANE PYTANIA

Typowe pytania o NIS2

Czy moja firma podlega NIS2?
Jeśli działasz w sektorach: energetyka, transport, bankowość, ochrona zdrowia, woda, infrastruktura cyfrowa, zarządzanie ICT B2B, cyfrowa administracja publiczna, żywność, chemia, krytyczna produkcja, kosmos, poczta, odpady, badania. I masz 50+ pracowników lub 10M€+ obrotów. Niektóre mikroprzedsiębiorstwa również, jeśli są krytyczne.
Czy NIS2 zobowiązuje do używania konkretnego narzędzia jak Itamite?
Nie. NIS2 jest neutralna względem dostawców. Ale wymaga skutecznych i mierzalnych środków technicznych, co w praktyce zobowiązuje do posiadania jakiejś platformy zarządzania zasobami i postawą. Itamite jest europejską i suwerenną opcją zaprojektowaną specjalnie do pokrycia NIS2 z podpisanymi dowodami.
Czy organ właściwy akceptuje raport Itamite?
Tak. Raport NIS2 generowany przez Itamite zawiera dowody techniczne z weryfikowalnym podpisem SHA-256, format kompatybilny z szablonami CSIRT NASK/INCIBE-CERT. Akceptowany w audytach i weryfikacjach zgodności przeprowadzonych do dziś.
Co się stanie, jeśli mam incydent NIS2?
NIS2 zobowiązuje do powiadomienia CSIRT w 24h (wczesne ostrzeżenie), 72h (pełny raport), i 1 miesiąc (raport końcowy). Itamite pomaga z niezmiennym audytem służącym jako dowód techniczny incydentu, ale powiadomienie administracyjne musisz zarządzać sam.
Czy Itrion Software jest dostawcą ICT podlegającym NIS2?
Tak. Itrion jest podmiotem ważnym w kategorii "dostawca zarządzanych usług ICT". Spełniamy NIS2 wewnętrznie: audyt zewnętrzny, plan reagowania na incydenty, komunikacja 24h do CSIRT, raporty półroczne do organu. Dokumentacja pod NDA dostępna dla klientów Enterprise.

Czy masz audyt NIS2 w tym roku?

45-min demo z prawdziwym przypadkiem. Pokazujemy podpisany raport NIS2 i plan naprawczy.

Zobacz cennik Demo NIS2