Przewodnik po mapowaniu

NIS2 vs NIST CSF 2.0

NIS2 to regulacyjna dyrektywa UE. NIST Cybersecurity Framework 2.0 to dobrowolny framework pochodzenia amerykańskiego, dziś szeroko przyjęty także w Europie. Dzielą wiele treści, ale odpowiadają na różne pytania audytowe. Oto pełne mapowanie i macierz decyzyjna.

Szybkie porównanie

Dyrektywa NIS2

Charakter: Regulacyjna dyrektywa UE (obowiązkowa)

Kogo dotyczy: Podmioty kluczowe / ważne w określonych sektorach

Zasięg geograficzny: Tylko UE

Certyfikacja: Brak certyfikacji — nadzór krajowych organów

Kary: Do 10 mln € lub 2 % obrotu

Ład: Art. 20 wymaga odpowiedzialności organu zarządzającego

NIST Cybersecurity Framework 2.0

Charakter: Dobrowolny framework pochodzenia amerykańskiego (NIST SP)

Kogo dotyczy: Każda organizacja chcąca ustrukturyzowanego programu cyber

Zasięg geograficzny: Globalny (silna adopcja w sektorze publicznym USA; rosnąca adopcja wśród europejskich MŚP)

Certyfikacja: Brak oficjalnego organu certyfikującego NIST CSF

Kary: Brak — ale zgodność z frameworkiem leży u podstaw wielu kontraktów w USA (FedRAMP, DoD CMMC)

Ład: Funkcja GV (Govern) dodana w CSF 2.0 (2024) — formalizuje nadzór organu zarządzającego

Metodologia i status przeglądu

To mapowanie jest obecnie w niezależnym przeglądzie przez zewnętrznego praktyka NIST CSF. Mapowanie odzwierciedla analizę techniczną Reglyze; plakietka „przejrzane i podpisane” pojawi się tutaj po zamknięciu zlecenia.

  • Wersja mapowania: 1.0.0
  • Recenzent:
  • Data opinii:

Mapowanie: NIS2 art. 21(2) + art. 20 na funkcje NIST CSF 2.0

10 minimalnych środków z art. 21(2) NIS2 oraz obowiązki organu zarządzającego (art. 20) rozkładają się na sześć funkcji NIST CSF 2.0. Wersja 2.0 (2024) dodała funkcję GV (Govern), która absorbuje większość treści art. 20 NIS2 — treści, którą wcześniejsze wersje CSF z trudem wyrażały.

Stopień pokrycia odzwierciedla, na ile treść artykułu NIS2 jest wyrażona przez wymienione podkategorie CSF 2.0.

Art. 21(2)(a)
GVWysokie pokrycie

Risk analysis and information system security policies

NIST CSF 2.0: GV.PO-01/02, GV.RM-01..06, ID.RA-01..10Organizational risk management strategy + policies + risk assessment process

Art. 21(2)(b)
RSWysokie pokrycie

Incident handling

NIST CSF 2.0: DE.AE-02..04, DE.CM-01/09, RS.MA-01/03, RS.AN-03, RS.CO-02, RS.MI-01/02Detection categories + Respond categories (Management, Analysis, Comms, Mitigation)

Art. 21(2)(c)
RCWysokie pokrycie

Business continuity and crisis management

NIST CSF 2.0: PR.IR-04, PR.DS-11, RC.RP-01..04, RC.CO-03Infrastructure resilience + backup + recovery planning + recovery communications

Art. 21(2)(d)
GVWysokie pokrycie

Supply chain security

NIST CSF 2.0: GV.SC-01..10, ID.SC-04..05Cybersecurity supply chain risk management — strategy, roles, suppliers, contracts

Art. 21(2)(e)
PRŚrednie pokrycie

Security in acquisition, development and maintenance

NIST CSF 2.0: PR.PS-01..06, PR.IR-01, ID.IM-01/04Platform security configuration + improvement processes

Art. 21(2)(f)
IDWysokie pokrycie

Policies and procedures to assess effectiveness

NIST CSF 2.0: ID.IM-01..04, GV.OV-01..03Improvement (lessons learned + tests + plans) + Oversight

Art. 21(2)(g)
PRWysokie pokrycie

Basic cyber hygiene and training

NIST CSF 2.0: PR.AT-01/02, PR.PS-04/05Awareness and training categories

Art. 21(2)(h)
PRWysokie pokrycie

Cryptography and encryption

NIST CSF 2.0: PR.DS-01/02/10/11Data security: in-transit, at-rest, integrity, key management

Art. 21(2)(i)
PRWysokie pokrycie

HR security, access control, asset management

NIST CSF 2.0: PR.AA-01..05, ID.AM-01/02/05, GV.RR-04Authentication and access control + Asset management + Roles & responsibilities

Art. 21(2)(j)
PRŚrednie pokrycie

MFA, secure communications, secure emergency comms

NIST CSF 2.0: PR.AA-03, PR.IR-01/04, PR.DS-02Strong authentication + secure infrastructure + data-in-transit

Art. 20(1)
GVWysokie pokrycie

Board oversight and accountability

NIST CSF 2.0: GV.RR-01..03, GV.PO-01, GV.OV-01..03Roles & responsibilities + Policy + Oversight functions — the GV (Govern) function added in CSF 2.0

Art. 20(2)
PRWysokie pokrycie

Management body training

NIST CSF 2.0: PR.AT-01/02, GV.RR-04Awareness + training + responsibility allocation

Czy potrzebujesz obu?

Jesteś już zgodny z NIST CSF 2.0

Jesteś w 75–85 % drogi do zgodności z NIS2. Twój profil CSF pokrywa już większość 10 minimalnych środków NIS2 (w szczególności nową funkcję GV dla art. 20).

Czego jeszcze brakuje do NIS2:

  • Rejestracja we właściwym organie krajowym (CSIRT NASK / ACN / ANSSI / BSI / itp.)
  • Przepływy zgłaszania incydentów dopasowane do terminów 24 h / 72 h / 1 miesiąc z art. 23 NIS2
  • Dowody odpowiedzialności organu zarządzającego (art. 20) — formalne zatwierdzenie i rejestry szkoleń z art. 20(2)
  • Ocena ryzyka dostawców dla krytycznych poddostawców NIS2 (art. 21(2)(d))
  • Polityki i szablony specyficzne dla NIS2 w języku państwa członkowskiego rejestracji
Budujesz zgodność z NIS2 bez NIST CSF

Nie potrzebujesz NIST CSF, aby być zgodnym z NIS2. Ale przyjęcie struktury CSF jako modelu roboczego może:

  • Dać Ci mapę odpowiedzialności na funkcję (GV → CISO, ID → ryzyko, PR/DE → operacje IT, RS/RC → osoba odpowiedzialna za incydenty)
  • Pomóc wygrać kontrakty w USA lub rozmawiać z amerykańskimi klientami, którzy już mówią językiem CSF
  • Dostarczyć język dojrzałości (Tier 1–4) bardziej zrozumiały dla zarządów niż same numery artykułów NIS2

Jeśli budżet jest ograniczony, najpierw wdróż zgodność z NIS2 (to obowiązek prawny), a potem zmapuj dowody na funkcje CSF — te same artefakty pokrywają oba.

Related NIS2 reading

Reglyze dostarcza NIS2 z wbudowanym mapowaniem CSF

Rozpocznij darmową analizę luk. Reglyze wyróżnia podkategorie NIST CSF 2.0, dla których masz już dowody, oraz to, czego brakuje do NIS2 — dzięki czemu pracujesz tylko nad różnicą.