NIS2 plus AI: mapowanie Art. 21 na konkretne kontrole, jedna ściąga
Dziesięć obszarów Art. 21 NIS2 zmapowanych na system AI. Dla każdego obszaru pytanie, które zada audytor, i jeden artefakt, który trzeba pokazać.

NIS2 plus AI: mapowanie Art. 21 na konkretne kontrole, jedna ściąga
Czas czytania: ok. 10 minut. Klaster: compliance. Autor: Fryderyk.
Odpowiedź najpierw
Art. 21 ustawy o krajowym systemie cyberbezpieczeństwa, wdrażający NIS2, wymienia dziesięć obszarów środków zarządzania ryzykiem. Żaden nie mówi wprost „sztuczna inteligencja", ale każdy ma konkretne przełożenie na system AI uruchomiony w organizacji. Ta ściąga mapuje wszystkie dziesięć obszarów na pytanie, które audytor faktycznie zada, i na kontrolę, którą trzeba pokazać. W skrócie: analiza ryzyka obejmuje system AI jako aktyw, obsługa incydentów rozpoznaje zdarzenia związane z AI, ciągłość działania zakłada scenariusz niedostępności modelu, bezpieczeństwo łańcucha dostaw domyka umowę z dostawcą AI, a nadzór kierownictwa zatwierdza decyzję o wdrożeniu. Reszta obszarów, od kryptografii po kontrolę dostępu, dokłada warstwy techniczne. Jeśli umiesz dla każdego z dziesięciu punktów wskazać jeden artefakt, jesteś gotowy do rozmowy z audytorem. Jeśli któryś punkt jest pusty, to jest twoja luka.
Spis treści
- Jak czytać tę ściągę
- Dziesięć obszarów Art. 21 zmapowanych na AI
- Tabela zbiorcza: obszar, pytanie audytora, artefakt
- Trzy pułapki mapowania
- Minimalny zestaw startowy
- FAQ
- Disclosure i biases
- Czego tu nie pokrywam
- Powiązane notatki
Jak czytać tę ściągę
Art. 21 ust. 2 wymienia obszary, w których podmiot kluczowy i ważny musi wdrożyć środki zarządzania ryzykiem. Lista jest celowo technologicznie neutralna: nie wymienia żadnej konkretnej technologii, bo ma przetrwać zmiany rynkowe. To dobra wiadomość, bo nie musisz czekać na osobną regulację „AI w NIS2". Zła wiadomość jest taka, że to na tobie spoczywa przełożenie ogólnych kategorii na konkretny system.
Dla każdego z dziesięciu obszarów podaję trzy rzeczy: o co w nim chodzi w kontekście systemu AI, jakie pytanie zada audytor i jaki pojedynczy artefakt odpowiada na to pytanie. Celowo redukuję każdy obszar do jednego dowodu. W praktyce dokumentów bywa więcej, ale jeśli nie umiesz wskazać przynajmniej jednego, obszar jest niepokryty.
Ściąga zakłada, że system AI jest już w twojej inwentaryzacji aktywów. Jeśli nie jest, zacznij od tego, bo bez wpisu w inwentaryzacji pozostałe dziewięć punktów nie ma do czego się odnosić.
Dziesięć obszarów Art. 21 zmapowanych na AI
1. Polityki analizy ryzyka i bezpieczeństwa systemów informatycznych
System AI to system informatyczny, więc wpada tu wprost. Audytor pyta: czy zrobiliście analizę ryzyka dla tego konkretnego systemu, a nie tylko ogólną dla organizacji. Artefakt: analiza ryzyka systemu AI, pokrywająca wyciek danych wejściowych, niedostępność, jakość odpowiedzi w procesach krytycznych i ryzyko dostawcy.
2. Obsługa incydentów
Pytanie audytora: czy wasza procedura incydentów rozpoznaje zdarzenia związane z AI, na przykład wyciek danych przez zapytanie do modelu albo kompromitację konta z dostępem do narzędzia. Artefakt: procedura reagowania na incydenty z jawnie wymienionymi scenariuszami AI i ścieżką eskalacji do CSIRT.
3. Ciągłość działania i zarządzanie kryzysowe
Pytanie: co się dzieje z procesem biznesowym, gdy system AI staje się niedostępny. Artefakt: wpis w planie ciągłości działania opisujący zależność procesu od systemu AI i tryb pracy zastępczej. To obszar najczęściej pomijany, bo zespoły traktują asystenta AI jako dodatek, a nie jako zależność operacyjną.
4. Bezpieczeństwo łańcucha dostaw
Dostawca modelu lub platformy AI jest elementem łańcucha dostaw. Pytanie: jak ocenialiście jego bezpieczeństwo i co mówi umowa. Artefakt: umowa z dostawcą (MSA lub DPA) z klauzulami bezpieczeństwa, sub-processorów i wyjścia. Przy wdrożeniu on-prem łańcuch jest krótszy, ale nie znika: aktualizacje modelu, wsparcie i warunki licencji nadal są częścią łańcucha.
5. Bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu systemów
Pytanie: jak zarządzacie zmianami i podatnościami w systemie AI przez cały cykl życia. Artefakt: udokumentowany proces aktualizacji modelu i komponentów, z oceną wpływu zmiany. Nowy model to nie tylko lepsza jakość, to też nowy profil ryzyka.
6. Polityki oceny skuteczności środków zarządzania ryzykiem
Pytanie: skąd wiecie, że wdrożone zabezpieczenia działają. Artefakt: zapis przeglądu lub testu kontroli wokół systemu AI, choćby prostego, ale udokumentowanego. Audytor szuka dowodu pętli zwrotnej, nie deklaracji.
7. Podstawowe praktyki cyberhigieny i szkolenia
Pytanie: czy użytkownicy systemu AI wiedzą, czego do niego nie wprowadzać i jak rozpoznać nadużycie. Artefakt: materiał szkoleniowy lub zapis instruktażu obejmujący zasady korzystania z narzędzia AI, w szczególności klasyfikację danych, których nie wolno wprowadzać.
8. Kryptografia i szyfrowanie
Pytanie: jak chronione są dane w tranzycie i w spoczynku w obrębie systemu AI. Artefakt: opis zastosowanego szyfrowania dla połączeń do systemu i dla przechowywanych danych, w tym logów zapytań, jeśli te zawierają dane wrażliwe.
9. Bezpieczeństwo zasobów ludzkich, kontrola dostępu i zarządzanie aktywami
Pytanie: kto ma dostęp do systemu AI i do danych, które przez niego przepływają. Artefakt: macierz dostępu do systemu i do repozytoriów danych, z którymi się integruje, plus wpis w inwentaryzacji aktywów. Tu spina się rejestr systemu z polityką dostępu.
10. Uwierzytelnianie wieloskładnikowe i zabezpieczona komunikacja
Pytanie: czy dostęp do systemu AI i jego konsoli administracyjnej jest chroniony wieloskładnikowo. Artefakt: konfiguracja MFA dla dostępu użytkowników i administratorów oraz opis zabezpieczonych kanałów komunikacji wewnątrz organizacji.
Tabela zbiorcza: obszar, pytanie audytora, artefakt
| Obszar Art. 21 | Pytanie audytora | Artefakt |
|---|---|---|
| 1. Analiza ryzyka | Czy jest analiza dla tego systemu AI | Analiza ryzyka systemu AI |
| 2. Obsługa incydentów | Czy procedura rozpoznaje zdarzenia AI | Procedura incydentów ze scenariuszami AI |
| 3. Ciągłość działania | Co, gdy system AI jest niedostępny | Wpis w planie ciągłości działania |
| 4. Łańcuch dostaw | Jak oceniono dostawcę AI | Umowa z klauzulami bezpieczeństwa i wyjścia |
| 5. Rozwój i utrzymanie | Jak zarządzacie zmianą modelu | Proces aktualizacji z oceną wpływu |
| 6. Ocena skuteczności | Skąd wiecie, że kontrole działają | Zapis przeglądu lub testu kontroli |
| 7. Cyberhigiena i szkolenia | Czy użytkownicy wiedzą, czego nie wprowadzać | Materiał szkoleniowy dla użytkowników AI |
| 8. Kryptografia | Jak chronione są dane w systemie | Opis szyfrowania tranzytu i spoczynku |
| 9. Kontrola dostępu i aktywa | Kto ma dostęp do systemu i danych | Macierz dostępu plus wpis w inwentaryzacji |
| 10. MFA i komunikacja | Czy dostęp jest wieloskładnikowy | Konfiguracja MFA i zabezpieczonych kanałów |
Wydrukuj tę tabelę, przejdź wiersz po wierszu i przy każdym wpisz nazwę swojego dokumentu. Puste pole to lista zadań przed audytem.
Trzy pułapki mapowania
Pierwsza: traktowanie systemu AI jako osobnej kategorii compliance z własnym, równoległym zestawem polityk. To mnoży pracę i tworzy obieg dokumentów, którego nikt nie utrzymuje. AI jest pozycją w istniejących artefaktach, nie osobnym silosem.
Druga: pokrycie tylko obszarów oczywistych (analiza ryzyka, łańcuch dostaw) i pominięcie ciągłości działania oraz oceny skuteczności. To właśnie te mniej oczywiste punkty odróżniają organizację, która rozumie NIS2, od tej, która odhaczyła listę powierzchownie.
Trzecia: pominięcie nadzoru kierownictwa. Po nowelizacji ustawy odpowiedzialność spoczywa wprost na kierownictwie, więc decyzja o wdrożeniu systemu AI powinna być zatwierdzona i udokumentowana na właściwym poziomie, a nie tylko na poziomie zespołu IT. Pisałem o tym szerzej w notatce o odpowiedzialności zarządu.
Minimalny zestaw startowy
Jeśli zaczynasz od zera i masz ograniczony czas, trzy artefakty domykają większość ryzyka i dają audytorowi punkt zaczepienia: wpis w inwentaryzacji aktywów (obszar 9), analiza ryzyka systemu AI (obszar 1) oraz umowa z dostawcą z klauzulami bezpieczeństwa i wyjścia (obszar 4). Te trzy nie wystarczą do pełnej zgodności, ale pokrywają pytania, które padają najwcześniej, i pokazują, że system AI nie jest białą plamą. Resztę uzupełniasz iteracyjnie, rozszerzając istniejące dokumenty, a nie tworząc nowe.
FAQ
Czy Art. 21 w ogóle wspomina o AI?
Nie. Lista obszarów jest technologicznie neutralna i nie wymienia żadnej konkretnej technologii. To celowe. System AI podlega tym samym dziesięciu obszarom co każdy inny system informatyczny, a zadaniem organizacji jest przełożenie ogólnych kategorii na konkretne kontrole.
Czy wdrożenie on-prem zmienia to mapowanie?
Nie zmienia listy obszarów, ale zmienia ciężar niektórych. Przy przetwarzaniu wewnątrz organizacji łańcuch dostaw jest krótszy, a ekspozycja danych mniejsza, więc obszary 4 i 8 zawierają mniej ryzyka do opisania. Wszystkie dziesięć pozostaje w grze.
Ile dokumentów naprawdę potrzebuję?
Tyle, by dla każdego z dziesięciu obszarów wskazać co najmniej jeden artefakt. Część artefaktów pokrywa kilka obszarów naraz, na przykład inwentaryzacja aktywów dotyka obszarów 1 i 9. Liczy się pokrycie, nie liczba osobnych plików.
Czy ta ściąga zastępuje opinię prawną?
Nie. To narzędzie robocze do uporządkowania przygotowań. Interpretacja Art. 21 zależy od sektora i stanu faktycznego, a praktyka audytowa dopiero się kształtuje. Decyzje compliance konsultuj z prawnikiem specjalizującym się w cyberbezpieczeństwie.
// disclosure i biasesDisclosure i biases
Piszę z perspektywy osoby pracującej nad rozwiązaniami AI uruchamianymi poza chmurą publiczną, więc naturalnie podkreślam wątki on-prem i kontrolę przepływu danych. Starałem się oddzielić treść przepisów od preferencji architektonicznej. Ten tekst nie jest opinią prawną i nie wyczerpuje obowiązków podmiotu kluczowego ani ważnego. Mapowanie jest moją interpretacją roboczą, nie wykładnią urzędową.
// co tu nie pokrywamCzego tu nie pokrywam
Nie wchodzę w klasyfikację systemów AI pod kątem AI Act, bo to osobny reżim z własnymi kategoriami ryzyka. Nie omawiam progów i terminów zgłaszania incydentów do CSIRT, które zasługują na osobną notatkę. Pomijam też różnice sektorowe poza produkcją oraz szczegóły techniczne zabezpieczeń samego modelu.
Powiązane notatki
Buduje CortexMine, on-prem AI platform dla europejskich producentów objętych NIS2. Tam, gdzie ta stronniczość mogłaby zaważyć na wnioskach, oznacza to inline.
Audit readiness NIS2 plus AI: 7 dokumentów, które wytwarzasz przed audytorem
NIS2 nie wymaga osobnej polityki AI. Wymaga, by system AI był wpięty w siedem istniejących dokumentów compliance. Lista i tabela, co pokazać audytorowi.
ISO 27001 a AI vendor: trzy kontrole, które warto zmapować dziś
ISO 27001 nie zna pojęcia „AI", ale dostawca AI dotyka trzech kontroli standardu naraz: relacji z dostawcami, klasyfikacji przepływu informacji i logowania. Które zmapować dziś – i jak spinają się z NIS2.