Podpisana przez Prezydenta w lutym 2026 r. znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca w Polsce założenia unijnej dyrektywy NIS2, przenosi nacisk z ogólnych deklaracji na konkretne środki zarządzania bezpieczeństwem w systemach informacyjnych. W praktyce oznacza to większą odpowiedzialność organizacji za kontrolę dostępu, autentyczność logowań oraz ochronę danych przed nieuprawnioną zmianą.
Michael Wendrowski
Prezes zarządu, Rublon sp. z o.o.
Art. 8 ustawy o KSC nie wymienia uwierzytelniania wieloskładnikowego (MFA) wprost, ale część opisanych w nim obowiązków dotyczących wdrożenia systemu zarządzania bezpieczeństwem najskuteczniej realizuje się właśnie poprzez MFA. Wdrożone środki techniczne i organizacyjne muszą zapewniać m.in. bezpieczną eksploatację systemów, kontrolę dostępu, zapewnienie poufności, integralności, dostępności i autentyczności informacji oraz ochronę przed nieuprawnioną modyfikacją. W praktyce uwierzytelnianie wieloskładnikowe wspiera realizację tych wymogów, ograniczając ryzyko przejęcia kont i nieautoryzowanych zmian w systemach informacyjnych.
Art. 8 ustawy o KSC nie wymienia uwierzytelniania wieloskładnikowego (MFA) wprost, ale część opisanych w nim obowiązków dotyczących wdrożenia systemu zarządzania bezpieczeństwem najskuteczniej realizuje się właśnie poprzez MFA.
Znowelizowana ustawa ustanowiła również terminy na osiągnięcie zgodności: 6 miesięcy na zgłoszenie do wykazu podmiotów kluczowych i ważnych oraz 12 miesięcy na wdrożenie wymaganych mechanizmów zarządzania ryzykiem i rozpoczęcie pracy z państwowym systemem do zgłaszania incydentów i wymiany informacji o zagrożeniach S46. Z perspektywy zarządzania dostępem oznacza to konieczność uporządkowania procesów uwierzytelniania tam, gdzie ryzyko przejęcia konta może wpływać na ciągłość działania usług, a czasu na dostosowanie się do wymogów wcale nie ma dużo.
W kontekście ustawy o KSC uwierzytelnianie MFA pełni funkcję praktycznego mechanizmu ograniczającego ryzyko przejęcia konta i nieautoryzowanego dostępu. MFA utrudnia przejęcie kont pracowników, wzmacnia kontrolę dostępu do systemów informacyjnych i pomaga potwierdzić, że dostęp uzyskują wyłącznie osoby uprawnione. Ma to znaczenie zarówno dla ochrony danych, jak i dla ograniczenia ryzyka nieautoryzowanych zmian w konfiguracji, logach czy usługach zależnych od systemów krytycznych.
MFA utrudnia przejęcie kont pracowników, wzmacnia kontrolę dostępu do systemów informacyjnych i pomaga potwierdzić, że dostęp uzyskują wyłącznie osoby uprawnione.
Praktycznym przykładem podniesienia poziomu bezpieczeństwa poprzez wdrożenie MFA jest zabezpieczenie zdalnego dostępu administratorów do serwerów, firewalli, VPN-ów i środowisk zdalnego pulpitu za pomocą polskiego Rublon MFA. Dostęp uprzywilejowany stanowi jeden z najważniejszych wektorów ryzyka – przejęcie takiego konta może prowadzić do naruszenia poufności danych, zakłócenia dostępności usług i utraty integralności systemów. Rublon MFA umożliwia centralne zarządzanie dodatkowymi składnikami logowania oraz objęcie dodatkową weryfikacją dostępu pracowników do infrastruktury IT organizacji, co pomaga spełnić wymogi art. 8 ustawy o KSC dotyczące kontroli dostępu i autentyczności logowań. Rublon MFA można także wykorzystać do zabezpieczenia wewnętrznych systemów łączności i aplikacji firmowych, do czasowego przydzielania dostępu specjalistom wykonującym jednorazowe zadanie oraz do ochrony dostępu dostawców do systemów organizacji.
