WEBINAR: Jak NIS2 ma się do bezpieczeństwa ERP (w kontekście SAP)?

Zapisz się

Dyrektywa NIS2

Co muszą wiedzieć organizacje korzystające z SAP

Dowiedz się więcej
Dyrektywa NIS2

Od regulacji do działania – NIS2 w ekosystemie ERP

Dyrektywa NIS2 (Network and Information Security Directive 2) to unijny akt prawny, który ustanawia wspólne standardy cyberbezpieczeństwa dla państw członkowskich UE. Zastępuje wcześniejszą dyrektywę NIS z 2016 r., rozszerzając zakres podmiotów objętych regulacjami i wprowadzając surowsze wymagania dotyczące zarządzania ryzykiem, raportowania incydentów oraz odpowiedzialności zarządu.

NIS2 podnosi poprzeczkę w zakresie zarządzania cyberbezpieczeństwem, zarządzania ryzykiem oraz raportowania w całej Unii Europejskiej. 

Sprawdź w jaki sposób Lukardi oraz platforma Pathlock — obejmująca Application Access Governance (AAG), Continuous Controls Monitoring (CCM) oraz Cybersecurity Application Controls (CAC) dla SAP — może pomóc w realizacji wymagań dyrektywy NIS2 poprzez wdrożenie kontroli prewencyjnych, detekcyjnych i reakcyjnych bezpośrednio w aplikacjach krytycznych dla biznesu.

.

Dlaczego systemy ERP mają znaczenie w kontekście NIS2?

Obsługują kluczowe procesy biznesowe.

Przechowują wrażliwe dane handlowe, operacyjne i osobowe.

Uprzywilejowany dostęp niesie wysokie ryzyko oszustw, wycieku danych i przestojów.

Zmiany w aplikacjach mogą wprowadzać podatności, które podważają zgodność z regulacjami.

Zbieranie i analizowanie danych technicznych ERP (telemetria) są kluczowe dla szybkiego wykrywania zagrożeń oraz spełnienia wymogów raportowania.

Kluczowe obowiązki i wymagania w zakresie zarządzania ryzykiem (NIS2)

  • Zatwierdzanie środków cyberbezpieczeństwa przez Zarząd.
  • Regularne szkolenia dla osób decyzyjnych.
  • Nadzór i odpowiedzialność za wdrożenie w obszarach biznesowych i IT.
  • Zarządzanie tożsamością i dostępem.
  • Bezpieczna konfiguracja, segmentacja sieci, praktyki zero-trust.
  • Zarządzanie lukami i poprawkami, bezpieczne tworzenie oprogramowania i zarządzanie zmianami.
  • Wykrywanie zagrożeń, reagowanie i planowanie ciągłości działania (runbooki, kopie zapasowe).
  • Zarządzanie ryzykiem w łańcuchu dostaw i udział w koordynowanym ujawnianiu podatności.
  • Wczesne raportowanie w ciągu 24 godzin od wykrycia istotnego incydentu.
  • Zgłoszenie incydentu w ciągu 72 godzin ze wstępną oceną i wskaźnikami kompromitacji (jeśli dostępne).
  • Raport końcowy w ciągu 1 miesiąca; raporty postępów w przypadku incydentów trwających.
  • Audyty celowane, skanowanie bezpieczeństwa, żądania dowodów, wiążące instrukcje od organów nadzorczych.
  • Kary administracyjne: do 10 mln euro lub 2% globalnego obrotu dla podmiotów kluczowych (Essential) lub do 7 mln euro lub 1,4% globalnego obrotu dla podmiotów ważnych (Important) – za naruszenia artykułów 21 i 23.

Narzędzia - jak Pathlock i Lukardi wspierają wdrażanie NIS2

Cybersecurity Application Controls (CAC) dla SAP

Ten obszar adresuje realizacje kontrol prewencyjnych i detekcyjnych w środowisku SAP, by wspierać zgodność z NIS2.

Kluczowe moduły:

  • Wykrywanie zagrożeń i reagowanie: Ponad 1500 sygnatur wykrywania (zdefiniowanych zdarzeń potencjalnie niosących znamiona nadużyć) opartych na ponad 70 źródłach logów SAP; ciągłe monitorowanie i automatyczne alerty.
  • Zarządzanie podatnościami: Ponad 4000 kontroli konfiguracji, automatyczne skanowanie oraz priorytetyzacja poprawek w celu wzmocnienia systemu.
  • Skanowanie kodu: Ciągła analiza kodu ABAP z ponad 150 kontrolami w środowiskach deweloperskich i produkcyjnych.
  • Kontrola transportów: Ciągłe sprawdzanie i automatyczne blokowanie ryzykownych transportów, aby zapobiec wdrożeniu podatnych zmian do produkcji.
  • Dynamiczne sterowanie dostępem (ABAC dla SAP): Maskowanie danych, anonimizacja danych testowych oraz kontrole oparte na politykach, które zapobiegają nieautoryzowanemu eksportowi danych i kontekstowo ograniczają transakcje.

Automatyczne mechanizmy reakcji (SOAR) w CAC

Za pomocą tego obszaru możemy automatyzować reakcję na krytyczne zdarzenia w systemie.

  • Uruchamianie automatycznych środków zaradczych (np. blokowanie ryzykownych transportów) w momencie wykrycia wzorców wysokiego ryzyka.
  • Przesyłanie wzbogaconych zdarzeń zagrożeń do systemu SIEM by ułatwić priorytetyzacje zdarzeń i proces eskalacji.
  • Stosowanie ograniczeń opartych na politykach w czasie rzeczywistym za pomocą ABAC, aby ograniczyć skalę zagrożenia podczas aktywnego incydentu.
  • Generowanie raportów gotowych do audytu, które dokumentują wykrycie, podjęte działania i status — wspierając raportowanie zgodne z wymaganiami NIS2: 24h / 72h / 1 miesiąc.

Application Access Governance (AAG)

Zarządzanie dostępem – ten moduł pomaga firmie kontrolować, kto ma dostęp do czego w systemach ERP (np. SAP, Oracle).

Główne jego funkcjonalności:

  • Sprawdza, czy ktoś nie ma zbyt dużych uprawnień – np. dostęp jednocześnie do zatwierdzania faktur i tworzenia dostawców (to może prowadzić do nadużyć).
  • Mapowanie konfliktów uprawnień między systemami (cross-system SoD) – np. w S/4 ERP tworzenie dostawcy, a w Ariba tworzenie zamówienia i inicjowanie zakupu.
  • Symuluje scenariusze „co by było, gdyby” – np. co się stanie, jeśli danemu pracownikowi dodamy nowe uprawnienia.
  • Automatycznie usuwa niepotrzebne konta – np. po odejściu pracownika.
  • Zarządza dostępem tymczasowym (firefighter) – np. daje dostęp tylko na czas awarii, a potem go odbiera.

Continuous Controls Monitoring (CCM)

Ciągłe monitorowanie kontroli. Ten moduł monitoruje, czy wszystkie zasady bezpieczeństwa są przestrzegane i pomaga w przygotowaniu do audytów.

Co robi CCM?

  • Zbiera dowody, że firma stosuje odpowiednie zabezpieczenia.
  • Pokazuje, które problemy są najgroźniejsze finansowo – np. które błędy mogą kosztować najwięcej.
  • Tworzy raporty i wykresy, które ułatwiają przygotowanie do kontroli i zgodność z różnymi regulacjami (np. NIS2, ISO, SOX).

Przykładowe scenariusze użycia narzędzi Pathlock względem NIS2

Platforma

Zakres NIS2

Przykładowe zastosowanie Pathlock

SAP S/4HANA / ECC

Artykuł 21 (hardening), Artykuł 23 (raportowanie)

CAC automatycznie blokuje ryzykowne transporty i generuje wzbogacone alerty do SIEM. ABAC ogranicza dostęp do wrażliwych transakcji podczas incydentu,

Oracle ERP (Cloud/EBS)

Artykuł 21 (kontrola dostępu)

AAG zapobiega konfliktom SoD między modułami „Zobowiązania” i „Zakupy”; dostęp JIT umożliwia awaryjne działania bez pozostawiania stałych uprawnień administracyjnych.

Microsoft Dynamics 365 (F&SCM)

Artykuł 21 (monitorowanie konfiguracji), Artykuł 32 (dowody nadzoru)

CCM monitoruje krytyczne zmiany konfiguracji i szacuje potencjalne straty finansowe; raporty „jednym kliknięciem” dostarczają kompletne zestawy dowodowe do audytów.

Workday

Artykuł 20 (zarządzanie)

Okresowa certyfikacja dostępu do ról HR i płacowych; automatyczne usuwanie kont osieroconych jako dowód nadzoru zarządczego.

Salesforce

Artykuł 21 (dostęp do danych)

Provisioning zgodny z regulacjami dla użytkowników integracyjnych; reguły SoD między aplikacjami zapobiegają kombinacjom umożliwiającym masowy eksport i nadużycie danych regulowanych.

Rekomendacje i kolejne kroki – jak wdrożyć NIS2 z Pathlock i Lukardi

Etap 1

Zarząd powinien być zaangażowany od początku projektu w zapewnianie zgodności z NIS2. Na początku do wyznaczenia są osoby odpowiedzialne za bezpieczeństwo w obszarze systemów ERP (np. SAP, Ariba, Oracle).

Etap 2

Następnie wprowadzenie zestawu kontroli zgodny z artykułami 21–23 NIS2. Do tego celu przyda się moduł CCM, który ułatwia zbieranie dowodów zgodności w różnych systemach, z uwzględnieniem analizy ryzyk.

Etap 3

Aby zapewnić spełnienie zasady least-privilage-access (czyli dostęp minimalny jako standard) można posłużyć się narzędziem AAG, którego głównymi cechami jest kontrola nad zasadami SoD (Separation of Duties), dostępem tymczasowym (JIT), czy realizacją kwartalnych przeględów dostępu.

Etap 4

Techniczna warstwa zapewnienia odpowiedniego poziomu bezpieczeństwa SAP polega na dostosowaniu zarówno konfiguracji jak i wdrożeniu monitorowaniu. Ten wątek realizuje moduł CAC w SAP. Zapewnia ciągłe wykrywanie zagrożeń, automatyczne blokowanie transportów, polityki ABAC, zarządzanie podatnościami powiązane z oknami zmian.

Etap 5

Kolejnym krokiem to przygotowanie scenariuszy raportowania incydentów poprzez na przykład integracja z SIEM. Wspiera to automatyczne zbieranie danych do raportów. Pamiętaj, że masz 72h na zgłoszenie incydentu z przekazaniem podstawowych elementów analizy.

Etap 6

Do zamknięcia klamrą przygotowania środowisk na wymagania dyrektywy NIS2 korzystaj z dobrych praktyk. Te pochodzące zarówno z ISACA (COBIT, CISM, CRISC) czy ISC2 (CISSP) pomagają w zarządzaniu ryzykiem, zapewnieniu kontroli i reagowaniu na incydenty.

Dlaczego wdrożenie Dyrektywy NIS2 jest ważne dla biznesu?

Minimalizacja ryzyka cyberataków

NIS2 wymusza wdrożenie standardów bezpieczeństwa, które zmniejszają podatność na ataki ransomware, phishing czy wycieki danych – chroniąc ciągłość działania firmy.

Zgodność z prawem i uniknięcie kar

Dyrektywa nakłada obowiązki prawne. Brak wdrożenia może skutkować wysokimi sankcjami finansowymi i utratą reputacji.

Budowanie zaufania partnerów

Spełnienie wymogów NIS2 pokazuje, że organizacja poważnie traktuje bezpieczeństwo, co zwiększa wiarygodność w oczach kontrahentów i rynku.

Wzrost odporności biznesu

Wdrożenie NIS2 to nie tylko compliance – to inwestycja w stabilność i ciągłość procesów, co chroni przed kosztownymi przestojami i stratami.

Zgodność z NIS2 w środowiskach ERP

Pobierz e-booka

Pytania i odpowiedzi

1. Dlaczego Dyrektywa NIS2 jest ważna dla firm w Polsce?

NIS2 ma na celu podniesienie poziomu cyberbezpieczeństwa w całej UE. W Polsce oznacza to obowiązek wdrożenia procedur i technologii chroniących przed cyberatakami, co jest kluczowe w obliczu rosnącej liczby incydentów i zagrożeń dla infrastruktury krytycznej.

Dyrektywa weszła w życie w UE w styczniu 2023 r., a państwa członkowskie musiały ją wdrożyć do 17 października 2024 r. W Polsce przepisy są implementowane w ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która ma obowiązywać od 2025 r.

NIS2 obejmuje przede wszystkim firmy z sektorów kluczowych (energetyka, transport, zdrowie, bankowość, infrastruktura cyfrowa) oraz ważnych (usługi pocztowe, gospodarka odpadami, produkcja żywności, dostawcy ICT). Kryterium: powyżej 50 pracowników lub obrót >10 mln euro.

Wśród głównych obowiązków wynikających z Dyrektywy NIS2 należy wymienić: 

  • Zarządzanie ryzykiem IT
  • Procedury reagowania na incydenty
  • Zapewnienie ciągłości działania
  • Ocena ryzyka w łańcuchu dostaw
  • MFA, szyfrowanie, kontrola dostępu
  • Audyty i testy bezpieczeństwa
  • Szkolenia dla pracowników
  • 24h – wstępne zgłoszenie
  • 72h – raport główny
  • 30 dni – raport końcowy z analizą i działaniami naprawczymi
  • Podmioty kluczowe: do 10 mln € lub 2% globalnego obrotu
  • Podmioty ważne: do 7 mln

    W Polsce dodatkowo do 100 mln PLN w przypadku poważnych naruszeń.

Nie, chyba że działają w sektorach krytycznych (np. dostawcy usług DNS, chmury). Standardowo obejmuje średnie i duże przedsiębiorstwa.

  • Audyt bezpieczeństwa
  • Polityki i procedury cyberbezpieczeństwa
  • Szkolenia pracowników
  • Mechanizmy raportowania incydentów
  • Ocena ryzyka w łańcuchu dostaw

Wymogi NIS2 muszą być spójne z RODO (ochrona danych) i DORA (odporność operacyjna w finansach). Firmy muszą unikać konfliktów między regulacjami.

Wczesne wdrożenie zmniejsza ryzyko cyberataków, pozwala uniknąć kar i buduje przewagę konkurencyjną dzięki lepszemu bezpieczeństwu.

kontakt@lukardi.com

+ 48 733 007 830

kontakt@lukardi.com

+ 48 733 007 830

Twoje potrzeby,
nasze wsparcie.
Porozmawiajmy

Twoje potrzeby, nasze wsparcie.
Porozmawiajmy

Twoje potrzeby, nasze wsparcie. Porozmawiajmy

Menu

O nas

Kariera

Aktualności

Relacje inwestorskie

Polityka prywatności

Dane firmy​

Lukardi S.A.
ul. Tęczowa 3
60-275 Poznań
NIP: 5213683072
REGON: 360098885
KRS: 0000545448

Kontakt

kontakt@lukardi.com

tel: +48 733 007 830

Certyfikat ISO