Umów się na DEMO
PASK 2.7.0: zarządzanie dostępami w odpowiedzi na potrzeby biznesu.
15 lutego 2026

Nowelizacja UKSC wdrażająca  dyrektywę NIS2: jak PASK wspiera realizację nowych wymagań.

5 maja 2026

Dyrektywa NIS2 zmieniła podejście do ochrony systemów i danych w wielu sektorach gospodarki. Jej celem było odejście od „papierowych” procedur na rzecz realnych działań oraz przejście do proaktywnego zarządzania ryzykiem, także w ramach łańcucha dostaw.  Firmy muszą dziś nie tylko posiadać procedury, ale realnie kontrolować dostęp do systemów, danych oraz kont, w szczególności tych uprzywilejowanych. Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC), wdrażająca dyrektywę NIS2, wyraźnie przesuwa akcent z reakcji na incydenty na stałe zarządzanie ryzykiem, odpornością organizacji i bezpieczeństwem operacyjnym. 

W praktyce oznacza to konieczność wiedzy o tym, jakie zasoby posiada organizacja, kto z nich korzysta oraz czy dostęp do nich jest uzasadniony i aktualny. Samo istnienie polityk bezpieczeństwa nie wystarcza. Kluczowe stają się procesy, które można egzekwować, monitorować i wykazać podczas audytu. 

Nowe przepisy nakładają na podmioty kluczowe i ważne obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI), obejmującego zarówno obszar organizacyjny, jak i techniczny. Jednym z jego fundamentów staje się uporządkowane zarządzanie tożsamością oraz uprawnieniami użytkowników. 

Dostęp do systemów nie może być przypadkowy, nadmiarowy ani pozostawać poza kontrolą organizacji. Powinien wynikać z roli jaką pełni pracownik oraz zakresu obowiązków jakie wynikają z aktualnych potrzeb biznesowych. Co równie istotne, każda historyczna decyzja o nadaniu, zmianie lub odebraniu uprawnień powinna być łatwo weryfikowalna. 

Największy problem firm: nie przepisy, lecz praktyka 

W wielu organizacjach nadal funkcjonują ręczne procesy zarządzania dostępem. Konta zakładane są na podstawie e-maila, uprawnienia przekazywane między działami, a ich przegląd odbywa się sporadycznie lub wcale. Efektem są: 

  • nadmiarowe dostępy, 
  • aktywne konta byłych pracowników, 
  • brak spójności między systemami, 
  • ograniczona widoczność uprawnień, 
  • większe ryzyko błędów i nadużyć. 

Takie środowisko trudno uznać za zgodne z podejściem wymaganym przez NIS2 i nowelizację UKSC. 

Cykl życia uprawnień pod kontrolą

Szczególnego znaczenia nabiera zarządzanie cyklem życia tożsamości. Pracownik rozpoczynający współpracę powinien szybko otrzymać właściwe uprawnienia. Przy zmianie stanowiska dostęp powinien zostać automatycznie dostosowany do nowej roli. Zakończenie współpracy powinno skutkować natychmiastowym odebraniem dostępów (proces JML). 

To właśnie w tych momentach najczęściej pojawiają się luki bezpieczeństwa: pozostawione aktywne konta, nadane „tymczasowo” uprawnienia czy brak właściciela procesu.

IAM jako praktyczna odpowiedź na wymagania NIS 2

W tym kontekście systemy klasy Identity & Access Management (IAM) przestają być dodatkiem IT, a stają się narzędziem wspierającym zgodność regulacyjną i bezpieczeństwo operacyjne.

Rozwiązania IAM pomagają organizacjom uporządkować obszar dostępu poprzez: 

  • centralne zarządzanie uprawnieniami, 
  • automatyzację onboardingów i offboardingów , 
  • Zrozumiałe modele ról biznesowych, 
  • cykliczne recertyfikacje dostępów, 
  • rozliczalność działań użytkowników, 
  • ograniczanie nadmiarowych uprawnień, 
  • pełną ścieżkę audytową zmian. 

Dzięki temu firma zyskuje nie tylko większe bezpieczeństwo, ale również sprawniejsze procesy wewnętrzne i mniejsze obciążenie zespołów IT.

Jak wspiera to PASK

System klasy IAM, taki jak PASK, pozwala kompleksowo uporządkować zarządzanie tożsamością i dostępem – od nadawania uprawnień, przez automatyzację procesów, po regularne przeglądy dostępów i raportowanie zgodności. 

W praktyce oznacza to większą przejrzystość środowiska IT, szybszą obsługę użytkowników oraz ograniczenie ryzyka wynikającego z działań manualnych, w szczególności ryzyka związanego z nieodebraniem uprawnień byłemu pracownikowi. Osierocone konta stanowią istotne zagrożenie dla bezpieczeństwa organizacji. 

Zgodność to dopiero początek 

Organizacje, które potraktują wymagania NIS 2 wyłącznie jako obowiązek regulacyjny, zrobią minimum. Te, które wykorzystają ten moment do uporządkowania obszaru IAM, zyskają coś więcej: lepszą kontrolę, większą efektywność operacyjną i realne wzmocnienie bezpieczeństwa. 

Należy również pamiętać, że podmioty nieobjęte UKSC (NIS 2) również powinny zadbać o bezpieczeństwo danych w swojej organizacji. Fakt, że nie zostały zaklasyfikowane jako podmioty kluczowe lub ważne nie oznacza, że nie posiadają danych, które należy chronić, takich jak dane osobowe lub dane objęte tajemnicą przedsiębiorstwa. Obowiązek ochrony danych osobowych wynika z RODO, którego krąg adresatów jest zdecydowanie szerszy niż UKSC.