Nowe wymagania dla organizacji o znaczeniu publicznym i gospodarczym

NIS 2 koncentruje się na zarządzaniu ryzykiem dla sieci i systemów informacyjnych, w tym na czynnikach organizacyjnych i ludzkich, takich jak polityki dostępu i zarządzanie tożsamością. CER natomiast rozszerza perspektywę o odporność operacyjną na ryzyka fizyczne i środowiskowe:

  • dostęp do obiektów,
  • zakłócenia pracy personelu,
  • sabotaż,
  • katastrofy naturalne,
  • ataki o charakterze terrorystycznym.

Wspólnym mianownikiem tych regulacji jest ciągłość działania. Nie wystarczy ochrona sieci czy kopii zapasowych – konieczne jest podejście obejmujące całą organizację, niezależnie od obszaru jej działalności. Oznacza to także większą odpowiedzialność za to, kto, kiedy i na jakich zasadach przebywa na terenie firmy.

Zarządzanie dostępem w środowiskach regulowanych – rola, której nie można pominąć

Wprowadzenie nowych przepisów oznacza konieczność przeorganizowania wielu procesów wewnętrznych. Zarządzanie dostępem to jeden z tych obszarów, który przez lata traktowany był jako działanie wspierające – dziś jest podstawowym narzędziem kontroli nad środowiskiem pracy.

Aby spełnić wymagania NIS 2 i CER w zakresie zarządzania ryzykiem, odporności oraz wykazywalności zastosowanych środków, organizacje wdrażają m.in.

  • przypisywanie dostępu do określonych stref na podstawie zdefiniowanych ról i obowiązków,
  • rejestrowanie i archiwizowanie informacji o obecności osób na terenie obiektów,
  • szybkie wycofywanie uprawnień w sytuacjach nadzwyczajnych,
  • gotowość do wykazania, kto miał dostęp do danego obszaru w określonym czasie.

Systemy zarządzania dostępem nie mogą więc ograniczać się do funkcji otwierania drzwi – ich zadaniem jest dostarczanie informacji i wsparcia dla procesów nadzorczych, operacyjnych oraz kontrolnych.

Typowe wyzwania organizacyjne – co może utrudniać zgodność z regulacjami?

W wielu firmach – niezależnie od branży – zarządzanie dostępem jest nadal rozproszone, zależne od lokalnych procedur i słabo powiązane z systemami IT czy strukturą organizacyjną. Skutkiem są liczne ryzyka, m.in.:

  • trudność w odtworzeniu historii dostępu do stref szczególnego znaczenia,
  • brak centralnej informacji o aktualnych uprawnieniach,
  • opóźnienia w odbieraniu dostępów po zakończeniu współpracy lub zmianie stanowiska,
  • zbyt szeroki dostęp dla pracowników zewnętrznych i podwykonawców,
  • ręczne nadawanie uprawnień bez automatycznej weryfikacji zgodności z polityką organizacyjną.

W warunkach, w których wiele lokalizacji działa w trybie ciągłym, a personel bywa rotacyjny, ręczne nadzorowanie dostępu jest źródłem błędów i utraty kontroli. Brak spójnego, centralnego mechanizmu zarządzania uprawnieniami utrudnia nie tylko bieżące zarządzanie bezpieczeństwem, ale także szybkie reagowanie na incydenty, audyty oraz zmiany organizacyjne.

Co zmieniają przepisy NIS 2 i CER – obowiązki dla sektorów regulowanych i podmiotów kluczowych

Zgodnie z regulacjami, organizacje muszą wdrożyć podejście oparte na ocenie ryzyka, automatyzacji procesów oraz monitorowaniu wszystkich zdarzeń związanych z dostępem. Przykłady konkretnych obowiązków:

  • wprowadzenie środków zabezpieczających strefy o ograniczonej dostępności,
  • przypisanie odpowiedzialności za nadzór nad systemem kontroli dostępu,
  • integracja systemu KD z procedurami reagowania na incydenty i planami ewakuacyjnymi, jako element wspierający zarządzanie kryzysowe i ciągłość działania,
  • zapewnienie identyfikowalności – kto, gdzie, kiedy i na jakiej podstawie uzyskał dostęp,
  • gotowość do wygenerowania raportu z historii uprawnień, zmian i zdarzeń na potrzeby audytowe.

Dodatkowo organizacje uznane za „podmioty krytyczne” mogą zostać zobowiązane do przedłożenia planu odporności operacyjnej, obejmującego również zasady dostępu do infrastruktury fizycznej.

Dobrze zaprojektowany system kontroli dostępu, jak impero 360 od Unicard Systems, powinien więc spełniać trzy podstawowe funkcje.

  • ograniczanie dostępu zgodnie z rolą i zakresem obowiązków: osoba pracująca w administracji nie potrzebuje wejścia do strefy technicznej, a pracownik zewnętrzny może mieć dostęp jedynie w określonych godzinach i lokalizacjach. Uprawnienia muszą być dostosowane do rzeczywistych potrzeb – bez wyjątków.
  • rejestrowanie i analizowanie zdarzeń: wszystkie próby wejścia, wyjścia, zmiany uprawnień czy próby nieautoryzowanego dostępu powinny być automatycznie zapisywane. Dane te służą nie tylko jako dokumentacja, ale również jako wsparcie w analizie ryzyka i identyfikacji naruszeń.
  • reagowanie na zagrożenia i incydenty: system musi pozwalać na szybkie działania – zdalne zablokowanie przejść, uruchomienie procedur awaryjnych, zidentyfikowanie osób obecnych w strefie objętej incydentem. Ważne, aby działał także w sytuacjach zakłócenia łączności.

Zarządzanie dostępem w praktyce – kiedy technologia wspiera odporność organizacyjną

Wymagania formalne to jedno – skuteczność systemu zależy także od jego dopasowania do środowiska pracy. W praktyce oznacza to m.in.:

  • tworzenie stref logicznych i fizycznych z przypisaniem uprawnień,
  • możliwość zarządzania dostępem z poziomu jednej platformy – niezależnie od liczby lokalizacji,
  • integrację z systemami alarmowymi, kadrowymi, ERP i zarządzania incydentami,
  • obsługę różnych form uwierzytelniania: jak karty, kody, urządzenia mobilne, biometria, dobierane adekwatnie do poziomu ryzyka i charakteru strefy,
  • możliwość nadawania uprawnień czasowych – np. dla firm serwisowych czy dostawców.

Dzięki takim rozwiązaniom, kontrola dostępu przestaje być zamkniętym systemem, a zaczyna współdziałać z całą strukturą zarządzania ryzykiem i bezpieczeństwem.

Przykłady podejścia do zarządzania dostępem w kontekście infrastruktury krytycznej i wymagań regulacyjnych dostępne są na stronie: https://unicard.pl/branze/infrastruktura-krytyczna/