Platforma jest adresowana do JST, szkół publicznych i instytucji podległych, które mogą być zobowiązane do spełnienia wymogów NIS2/KSC jako operatorzy usług kluczowych lub — po nowelizacji KSC — jako podmioty ważne. Platforma obsługuje również organizacje stosujące NIS2 dobrowolnie jako ramy zarządzania cyberbezpieczeństwem.
Dokument opisuje funkcje platformy według dziesięciu obszarów art. 21 §2 NIS2 (lit. a–j) oraz dodatkowych wymogów proceduralnych KSC.
Przed wdrożeniem kontroli niezbędne jest ustalenie, czy organizacja jest objęta zakresem NIS2 / KSC i w jakiej kategorii. Platforma udostępnia kreator samoidentyfikacji, który prowadzi administratora przez proces kwalifikacji.
OUK, Podmiot ważny, IBTI, Poza zakresem. Wynik jest zapisywany w profilu Dzierżawcy.nis2.identification.update i identyfikatorem aktora.org_unit_id) i izolowane przez mechanizm RLS PostgreSQL — jednostka podległa nie widzi desygnacji innej jednostki.
Art. 23 NIS2 i art. 11 KSC nakładają obowiązek raportowania incydentów w trzech etapach czasowych. Platforma obsługuje pełny cykl — od wykrycia do raportu finalnego — z wbudowanymi timerami terminów i stanem przepływu pracy.
| Etap | Termin (od wykrycia) | Treść wymagana | Wsparcie platformy |
|---|---|---|---|
| 24H Wczesne ostrzeżenie | 24 godziny | Klasyfikacja incydentu (poważny / nie); wstępna ocena; informacja o podejrzeniu działania zamierzonego lub transgranicznego. | Formularz wczesnego ostrzeżenia z predefiniowanymi klasyfikatorami; timer odlicza od momentu rejestracji; powiadomienie e-mail do IBTI przy zbliżaniu się terminu (T−4h). |
| 72H Zgłoszenie incydentu | 72 godziny | Ocena wpływu (liczba użytkowników, czas niedostępności); wskazanie przyczyn; opis zastosowanych środków. | Formularz rozszerzony z polami wpływu; automatyczne wypełnianie danych z systemu (MTTR, czas zdarzenia); export do PDF; kod KSC-INC w dzienniku audytu. |
| 30D Raport końcowy | 30 dni (1 miesiąc) | Szczegółowy opis; podatności; środki długoterminowe; wpływ transgraniczny; decyzja o ujawnieniu. | Szablon raportu końcowego z sekcjami wymaganymi przez CERT Polska; przycisk eksportu paczki dowodowej; podpisanie przez IBTI (elektroniczny zapis akceptacji); archiwizacja przez 5 lat. |
Wszystkie trzy etapy są powiązane z jednym rekordem incydentu. Zmiana stanu (np. 24h_reported → 72h_reported) jest nieodwracalna i rejestrowana w dzienniku audytu z sumą kontrolną SHA-256.
Platforma dostarcza wbudowaną bibliotekę obowiązków wynikających z KSC i NIS2, zmapowanych na zadania kontrolne (ControlTask). Każdy obowiązek może mieć przypisane:
spełniony / w realizacji / nie dotyczy / do weryfikacji.| Grupa | Przykładowe obowiązki | Domyślna częstotliwość przeglądu |
|---|---|---|
| Zarządzanie ryzykiem | Ocena ryzyka, rejestr ryzyk, leczenie ryzyk | Roczna + po incydencie |
| Zarządzanie incydentami | Procedura reagowania, testy procedury, rejestr incydentów | Półroczna |
| Ciągłość działania | BCP/DRP, backup, testy przywracania | Roczna |
| Bezpieczeństwo łańcucha dostaw | Ocena dostawców, umowy bezpieczeństwa, rejestr podwykonawców | Roczna |
| Uwierzytelnianie i dostęp | Polityka haseł, MFA, przegląd uprawnień | Półroczna |
| Szyfrowanie | Klasyfikacja danych, szyfrowanie w spoczynku i transporcie | Roczna |
| Świadomość i szkolenia | Szkolenia obowiązkowe, testy phishingowe, rejestr szkoleń | Roczna |
| Podatności i aktualizacje | Skany CVE, harmonogram patchów, testy penetracyjne | Kwartalna |
Na żądanie audytora lub organu nadzorczego platforma generuje paczkę audytową w formacie ZIP. Paczka jest podpisana hash–em SHA-256 i zawiera:
audit-pack-{tenant}-{date}.zip
├── manifest.json # skroty SHA-256 wszystkich plikow, wersja, data generowania
├── audit-log.csv # pelny dziennik audytu (chain-verified)
├── controls/
│ ├── controls-export.csv # status wszystkich zadan kontrolnych
│ └── evidence/ # zalaczone dowody (pliki PDF, screenshoty)
├── incidents/
│ ├── incident-list.csv # lista incydentow z kodami KSC-INC
│ └── reports/ # raporty 24h/72h/30d jako PDF
├── risk-register.csv # rejestr ryzyk z leczeniami
└── nis2-alignment.csv # mapowanie art. 21 §2 (a-j) ze statusem
Weryfikacja integralności paczki jest możliwa niezależnie od platformy — manifest.json zawiera sygnatury wszystkich plików. Paczka nie zawiera hasłeń ani sekretów uwierzytelniających.
Platforma obsługuje wielopoziomową strukturę organizacyjną (JST → jednostki podległe → szkoły / instytucje). Każda jednostka posiada własny profil desygnacji IBTI/ITSO.
Każda tabela chroniona RLS nosi kolumny tenant_id i org_unit_id. Middleware ustawia parę GUC app.current_tenant_id + app.current_org_unit_id przy każdym żądaniu. PostgreSQL wymusza reguły RLS na poziomie silnika — kod aplikacji nie może ich ominąć.
Przykładowy efekt: koordynator cyberbezpieczeństwa JST widzi dane wszystkich podległych jednostek; dyrektor szkoły widzi wyłącznie dane swojej szkoły — bez żadnej logiki filtrowania w kodzie Python.
| Pole | Opis |
|---|---|
designation_type |
IBTI / ITSO / inne (wartość konfigurowalna per Dzierżawca) |
person_name |
Imię i nazwisko wyznaczonej osoby |
org_unit_id |
Jednostka objęta desygnacją (może obejmować poddrzewa) |
effective_from / effective_to |
Okres ważności desygnacji; historyczne zmiany są zachowane |
legal_basis_ref |
Odwołanie do przepisu (np. „art. 14 ust. 1 KSC”) |
audit_trail |
Każda zmiana rejestrowana z kodem nis2.designation.update |
Poniższa tabela pokazuje, jak konkretne funkcje platformy wspierają każdy z dziesięciu obszarów wymaganych przez NIS2 art. 21 §2.
| Art. 21 §2 | Wymaganie (skrót) | Wsparcie platformy | Status |
|---|---|---|---|
| a | Polityki bezpieczeństwa informacji i analiza ryzyka | Kreator polityk; rejestr ryzyk ze strategią leczenia; przypisanie właścicieli ryzyk; eksport do PDF z sumą SHA-256. | Dostępne |
| b | Obsługa incydentów | Pełny cykl 24h/72h/30d z timerami; formularze raportowania; eksport paczki audytowej; historia incydentów per org_unit. | Dostępne |
| c | Ciągłość działania, kopie zapasowe, zarządzanie kryzysowe | Zadania kontrolne dla BCP/DRP; rejestr testów backupów; platforma sama realizuje politykę 3-2-1 (R2 + B2, oba EU) dla danych Dzierżawców. | Dostępne |
| d | Bezpieczeństwo łańcucha dostaw i relacji z dostawcami | Rejestr podwykonawców (/legal/subprocessors); zadania kontrolne dla oceny dostawców; DPA per dostawca. | Dostępne |
| e | Bezpieczeństwo w nabywaniu, projektowaniu i konserwacji systemów | Zadania kontrolne dla SDLCsecurity (code review, zarządzanie podatnościami); integracja z Jira Cloud dla łączenia zadań kontrolnych z ticketami. | Dostępne |
| f | Polityki i procedury oceny skuteczności środków zarządzania ryzykiem | Metryki compliance per dzierżawca; wskaźnik pokrycia kontrolami; historia zmian statusów; eksport CSV do analizy zewnętrznej. | Dostępne |
| g | Podstawowe praktyki higieny cybernetycznej i szkolenia | Zadania kontrolne dla szkoleń (termin, załącznik certyfikatu, status); rejestr szkoleń per pracownik (jeśli org_unit aktywne). |
Dostępne |
| h | Polityki i procedury kryptografii i szyfrowania | Dokumentacja polityki szyfrowania w katalogu kontrolnym; platforma stosuje TLS 1.3, Argon2id, LUKS, Vault envelope encryption dla własnych danych. | Dostępne |
| i | Bezpieczeństwo zaobów ludzkich, polityki dostępu, zarządzanie aktywami | RBAC per dzierżawca; zaproszenia z przypisaniem roli; przegląd dostępu (offboarding task); rejestr aktywów jako zadania kontrolne. | Dostępne |
| j | Uwierzytelnianie wieloskładnikowe, SSO, bezpieczna komunikacja | Obowiązkowe TOTP MFA lub WebAuthn (klucze sprzętowe); SAML 2.0 SSO; OIDC per dzierżawca; szyfrowanie komunikacji end-to-end (TLS 1.3 z Cloudflare). | Dostępne |
NIS2 i RODO nakładają częściowo pokrywające się obowiązki. Platforma obsługuje oba jednocześnie:
Transparentne ograniczenia: poniższe funkcje są poza zakresem platformy — Dzierżawca musi zapewnić je samodzielnie lub przez innego dostawcę.
| Obszar | Co platforma robi | Czego nie robi |
|---|---|---|
| Zgłoszenie do CSIRT / organu | Generuje raport, eksportuje PDF | Nie wysła automatycznie do CERT Polska / organu nadzorczego (API nie jest publiczne) |
| Testy penetracyjne | Rejestruje wyniki jako dowód | Nie przeprowadza testów penetracyjnych infrastruktury Dzierżawcy |
| Monitoring bezpieczeństwa (SOC/SIEM) | Integracja z systemami zewnętrznymi przez API | Nie jest systemem SIEM ani SOC — nie analizuje logów sieciowych Dzierżawcy |
| Porada prawna | Udostępnia szablony i checklisty | Nie świadczy usług prawnych ani compliance advisory; dokumenty są informacyjne |
| Certyfikacja ISO / NIS2 | Generuje dokumentację auditową | Nie wystawia certyfikatów; certyfikacja wymaga niezależnego audytora |
| Odzysk po ransomware | Procedury BCP/DRP jako zadania kontrolne | Nie jest rozwiązaniem backup/DR dla infrastruktury Dzierżawcy — tylko dla danych platformy |
| Pytania o NIS2 / KSC | compliance@parakscol.pl |
| Zgłoszenie incydentu (platforma) | security@parakscol.pl |
| Ogólne zapytania | kontakt@parakscol.pl |
| Organ nadzorczy (KSC) | CERT Polska / CSIRT GOV — cert.pl |
| Organ nadzorczy (RODO) | UODO — uodo.gov.pl |