NIS2 to regulacyjna dyrektywa UE. NIST Cybersecurity Framework 2.0 to dobrowolny framework pochodzenia amerykańskiego, dziś szeroko przyjęty także w Europie. Dzielą wiele treści, ale odpowiadają na różne pytania audytowe. Oto pełne mapowanie i macierz decyzyjna.
Charakter: Regulacyjna dyrektywa UE (obowiązkowa)
Kogo dotyczy: Podmioty kluczowe / ważne w określonych sektorach
Zasięg geograficzny: Tylko UE
Certyfikacja: Brak certyfikacji — nadzór krajowych organów
Kary: Do 10 mln € lub 2 % obrotu
Ład: Art. 20 wymaga odpowiedzialności organu zarządzającego
Charakter: Dobrowolny framework pochodzenia amerykańskiego (NIST SP)
Kogo dotyczy: Każda organizacja chcąca ustrukturyzowanego programu cyber
Zasięg geograficzny: Globalny (silna adopcja w sektorze publicznym USA; rosnąca adopcja wśród europejskich MŚP)
Certyfikacja: Brak oficjalnego organu certyfikującego NIST CSF
Kary: Brak — ale zgodność z frameworkiem leży u podstaw wielu kontraktów w USA (FedRAMP, DoD CMMC)
Ład: Funkcja GV (Govern) dodana w CSF 2.0 (2024) — formalizuje nadzór organu zarządzającego
To mapowanie jest obecnie w niezależnym przeglądzie przez zewnętrznego praktyka NIST CSF. Mapowanie odzwierciedla analizę techniczną Reglyze; plakietka „przejrzane i podpisane” pojawi się tutaj po zamknięciu zlecenia.
10 minimalnych środków z art. 21(2) NIS2 oraz obowiązki organu zarządzającego (art. 20) rozkładają się na sześć funkcji NIST CSF 2.0. Wersja 2.0 (2024) dodała funkcję GV (Govern), która absorbuje większość treści art. 20 NIS2 — treści, którą wcześniejsze wersje CSF z trudem wyrażały.
Stopień pokrycia odzwierciedla, na ile treść artykułu NIS2 jest wyrażona przez wymienione podkategorie CSF 2.0.
Risk analysis and information system security policies
NIST CSF 2.0: GV.PO-01/02, GV.RM-01..06, ID.RA-01..10 — Organizational risk management strategy + policies + risk assessment process
Incident handling
NIST CSF 2.0: DE.AE-02..04, DE.CM-01/09, RS.MA-01/03, RS.AN-03, RS.CO-02, RS.MI-01/02 — Detection categories + Respond categories (Management, Analysis, Comms, Mitigation)
Business continuity and crisis management
NIST CSF 2.0: PR.IR-04, PR.DS-11, RC.RP-01..04, RC.CO-03 — Infrastructure resilience + backup + recovery planning + recovery communications
Supply chain security
NIST CSF 2.0: GV.SC-01..10, ID.SC-04..05 — Cybersecurity supply chain risk management — strategy, roles, suppliers, contracts
Security in acquisition, development and maintenance
NIST CSF 2.0: PR.PS-01..06, PR.IR-01, ID.IM-01/04 — Platform security configuration + improvement processes
Policies and procedures to assess effectiveness
NIST CSF 2.0: ID.IM-01..04, GV.OV-01..03 — Improvement (lessons learned + tests + plans) + Oversight
Basic cyber hygiene and training
NIST CSF 2.0: PR.AT-01/02, PR.PS-04/05 — Awareness and training categories
Cryptography and encryption
NIST CSF 2.0: PR.DS-01/02/10/11 — Data security: in-transit, at-rest, integrity, key management
HR security, access control, asset management
NIST CSF 2.0: PR.AA-01..05, ID.AM-01/02/05, GV.RR-04 — Authentication and access control + Asset management + Roles & responsibilities
MFA, secure communications, secure emergency comms
NIST CSF 2.0: PR.AA-03, PR.IR-01/04, PR.DS-02 — Strong authentication + secure infrastructure + data-in-transit
Board oversight and accountability
NIST CSF 2.0: GV.RR-01..03, GV.PO-01, GV.OV-01..03 — Roles & responsibilities + Policy + Oversight functions — the GV (Govern) function added in CSF 2.0
Management body training
NIST CSF 2.0: PR.AT-01/02, GV.RR-04 — Awareness + training + responsibility allocation
Jesteś w 75–85 % drogi do zgodności z NIS2. Twój profil CSF pokrywa już większość 10 minimalnych środków NIS2 (w szczególności nową funkcję GV dla art. 20).
Czego jeszcze brakuje do NIS2:
Nie potrzebujesz NIST CSF, aby być zgodnym z NIS2. Ale przyjęcie struktury CSF jako modelu roboczego może:
Jeśli budżet jest ograniczony, najpierw wdróż zgodność z NIS2 (to obowiązek prawny), a potem zmapuj dowody na funkcje CSF — te same artefakty pokrywają oba.