Ontologia NIS-2 Compliance | LexCyberAI
Entity-Relationship Model • Semantic Graph Database • Automated Reasoning Engine

Ontologia NIS-2 Compliance

Compliance to nie checklista. To ekosystem połączonych encji, gdzie każda zmiana kaskadowo wpływa na cały system. Ontologia to formalny model pojęć, relacji i reguł, który łączy procesy bezpieczeństwa, dowody zgodności i decyzje zarządcze. Dzięki temu każda metryka KPI, każdy audyt i każdy workflow operacyjny mają jedno źródło prawdy.

Od dokumentów do semantycznego grafu wiedzy

Tradycyjne systemy compliance traktują dane jako izolowane dokumenty. Ontologia tworzy knowledge graph — formalna reprezentacja wszystkich encji, ich właściwości i relacji semantycznych zgodna z RDF/OWL.

Legacy vs. Ontological Approach

Od dokumentów do semantycznego grafu wiedzy

Legacy approach: Silosy i listy
Tradycyjne systemy compliance traktują dane jako izolowane dokumenty: Excel z incydentami, PDF z politykami, SharePoint z rejestrami ryzyk. Brak relacji między encjami.
Incident_2024_047.xlsx
Risk_Register_Q3.pdf
Asset_Inventory.docx

Brak połączeń. Brak kontekstu. Brak intelligence.
Rezultat: Audytor pyta „jaki był wpływ incydentu 047 na kluczowe procesy?” — spędzasz 3 dni na manualnym łączeniu dokumentów.
Ontological approach: Knowledge graph
Ontologia compliance to formalna reprezentacja wszystkich encji, ich właściwości i relacji semantycznych. To typed, directed graph zgodny z RDF/OWL.
Incident:047 → affects → Asset:DB-PROD-01
Asset:DB-PROD-01 → critical_for → Process:Payments
Process:Payments → owned_by → Person:CFO

Pełna traceability. Instant context. Automated insights.
Rezultat: Audytor pyta to samo pytanie — otrzymuje odpowiedź w 8 sekund wraz z pełnym audit trail i impact analysis.
Dlaczego ontologia w NIS-2?

Best practices: od modelu domenowego do dashboardów

Zaczynamy od modelu domenowego, który zasila dashboardy, workflowy i raporty. Decyzje są reprodukowalne, a audyt – natychmiastowy.

🧠

Semantic reasoning

System „rozumie” że jeśli Vendor ma problem, automatycznie identyfikuje wpływ na wszystkie Assets, Processes i Risks przez transitive relationships.

Bi-directional traversal

Możesz pytać „które incydenty wpłynęły na proces X?” lub „który proces jest najbardziej narażony na ryzyka?” — graf odpowiada w obie strony.

💡

Emergent intelligence

Im więcej połączeń, tym więcej insights: hotspots ryzyka, single points of failure, compliance debt — emergują z grafu bez programowania.

Architektura

Architektura ontologii NIS-2

Warstwa encji

8 kluczowych typów encji z właściwościami i constraints

Incydent

  • Nasilenie
  • Status
  • Oś czasu

Ryzyko

  • Prawdopodobieństwo
  • Wpływ
  • Postępowanie z ryzykiem

Zasób

  • Krytyczność
  • Typ
  • Lokalizacja
  • Właściciel

Osoba

  • Rola
  • Odpowiedzialność
  • Poziom dostępu

Dostawca

  • Poziom (tier)
  • SLA
  • Status audytu

Proces

  • RTO
  • RPO
  • Krytyczność

BCP/DRP

  • Status testów
  • Ostatnie ćwiczenia

Ład korporacyjny

  • Polityka
  • Zatwierdzenie
  • Audyt

Warstwa relacji

Typy relacji semantycznych między encjami

  • wpływa na: Incydent → Zasób/Proces
  • materializuje się jako: Ryzyko → Incydent
  • krytyczny dla: Zasób → Proces
  • należy do: Zasób/Proces → Osoba
  • dostarcza: Dostawca → Zasób
  • zależny od: Proces → Zasób/Dostawca
  • obejmuje: BCP → Proces
  • zarządzany przez: dowolny element → Ład korporacyjny

Warstwa inteligencji

Automatyczne lub hybrydowe rozumowanie i obliczanie właściwości

📡

Promień wpływu

Zasięg skutków w powiązanych elementach

⚠️

Propagacja ryzyka

Ryzyko dostawcy → Ryzyko zasobu

📋

Dług zgodności

Zaległe incydenty

🔴

Wykrywanie SPOF

Analiza pojedynczej zależności

Gotowość audytowa

Wskaźnik kompletności

🔍

Wykrywanie anomalii

Odchylenie od wzorca

🔮

Predykcja

Uczenie maszynowe na osadzeniach grafowych

🎲

Co-jeśli

Scenariusze symulacyjne

Model Dziedzinowy

Kluczowe encje powiązane z NIS-2

Encje powiązane są z artykułami NIS-2 / projektem ustawy o KSC oraz z modułami funkcjonalnymi systemu

Podmiot / Organizacja
Art. 2, 3 NIS 2 • KSC
Governance
Jednostka objęta NIS-2; definicje sektora, krytyczności, właściciele procesów, rola zarządu i należyta staranność.
Usługa Istotna/Krytyczna
Załączniki I/II • ISO 27001 A.5/A.8
Governance
Katalog usług o znaczeniu dla ciągłości działania; powiązane zasoby, właściciele, RTO/RPO, kryteria klasyfikacji.
Zasób / System / Aplikacja
Art. 21 ust. 2 • A.5, A.8, A.12
Risk
Inwentarz IT/OT (ITAM): sprzęt, oprogramowanie, konta, dane, klasyfikacja i właścicielstwo zasobów.
Ryzyko
Art. 21 • ENISA RMF • A.6, A.8
Risk
Scenariusze, prawdopodobieństwo/impact, rating, apetyt na ryzyko, powiązania z kontrolami i planami postępowania.
Kontrola / Środek bezpieczeństwa
Art. 21 ust. 2 (MFA, kopie, szyfrowanie) • A.5–A.8
Risk
Środki organizacyjne i techniczne (IAM/MFA, backup, patching, monitorowanie, szyfrowanie, hardening) z dowodami działania.
Incydent
Art. 23–24 (zgłaszanie) • A.5.24, A.5.29
Incident/BCM
Zdarzenia, klasyfikacja, wpływ, notyfikacje (CSIRT/organ), SLA, działania naprawcze, wnioski po-incydentowe.
Plan Ciągłości / Odporność
Art. 21 (ciągłość) • ISO 22301
Incident/BCM
Plany BCM/DR, RTO/RPO, testy, runbooki, krytyczne zależności i eskalacje.
Dostawca / Umowa
Art. 21 ust. 2 (łańcuch dostaw) • A.5.19, A.5.20
Supply chain
Ocena ryzyka dostawcy, zapisy umowne o bezpieczeństwie, audyty, certyfikacje, dowody SLA.
Podatność / Skan / Patch
Art. 21 (zarz. podatności) • A.8.8
Risk
Wyniki SCA/SAST/DAST, CVE, priorytetyzacja, cykl patchowania i potwierdzenie wdrożeń.
Kopie zapasowe / Odzysk
Art. 21 (backup) • A.8.13
Incident/BCM
Zasady 3-2-1, testy odtwarzania, szyfrowanie kopii, dzienniki z powodzeniem/niepowodzeniem zadań.
Użytkownik / Tożsamość (IAM/MFA)
Art. 21 (MFA, IAM) • A.5.15, A.5.17
People
Cykl życia kont, uprawnienia, MFA, recertyfikacje dostępów, logi administracyjne.
Szkolenie / Świadomość
Art. 20 (kompetencje) • A.6.3
People
Programy szkoleń, frekwencja, testy wiedzy, przypisania do ról i procesów.
Polityka / Procedura
Art. 21 (środki) • KSC • A.5–A.8
Governance Evidence
Repo polityk i procedur z wersjonowaniem, akceptacjami, przeglądami oraz przypisaniem do kontroli i dowodów.
Dowód / Log / Artefakt
Art. 29 (nadzór, kary) • A.5.36
Evidence
Zrzuty, raporty, logi, protokoły testów – z metadanymi (kto/kiedy/co), integralnością i ścieżką audytu.
Mapowanie

Mapowanie wymagań NIS-2 na encje i moduły

Wybrane kluczowe przykłady powiązań. Każdy wiersz łączy przepis z encjami/relacjami, dowodami i modułami funkcjonalnymi systemu.

Przepis / Zakres Encje i relacje Dowody (artefakty) Moduły / KPI
Art. 21 ust. 2 – środki techniczne/organizacyjne (IAM/MFA, backup, patching, monitorowanie, szyfrowanie) Zasób ⇄ Kontrola ⇄ Dowód; Użytkownik ⇄ Tożsamość; Kopia ⇄ Test odzysku Raporty backupów, logi SIEM, rejestry patchy, polityki, zrzuty MFA SZBI / ISO 27001, ITAM, BCM
Art. 23–24 – zgłaszanie incydentów (CSIRT / organ) Incydent ⇄ Usługa krytyczna ⇄ Podmiot; Incydent ⇄ Zgłoszenie ⇄ Dowód Zgłoszenia, linia czasu, RCA, komunikacja z CSIRT Reagowanie na incydenty, BCM
Łańcuch dostaw – wymagania kontraktowe i ocena ryzyka Dostawca ⇄ Umowa ⇄ Kontrole ⇄ Dowody; Dostawca ⇄ Ryzyko Umowy z klauzulami bezpieczeństwa, oceny, audyty, certyfikaty Polityki łańcucha dostaw, Zarządzanie ryzykiem
Governance – należyta staranność zarządu, role i odpowiedzialność Podmiot ⇄ Rola ⇄ Właściciel procesu; Polityka ⇄ Akceptacja ⇄ Przegląd Rejestry ról, protokoły szkoleń zarządu, przeglądy polityk Strategia i zarządzanie, Edukacja
BCM – ciągłość działania i odporność Usługa ⇄ Plan BCM/DR ⇄ Test ⇄ Dowód; Zasób ⇄ Zależności Wyniki testów, runbooki, RTO/RPO, decyzje eskalacyjne Reagowanie i ciągłość działania
Praktyka

Case studies: Ontologia w akcji

Ransomware w critical infrastructure
T+0: Wykrycie ataku

Incident:RW-2024-089 automatycznie identyfikuje:

  • 47 zainfekowanych Assets (server farm)
  • 12 Processes dotknięcych (via critical_for relation)
  • 3 zmaterializowane Risks z Risk Register
  • 8 Persons w crisis team (via responsible_for)
  • BCP:DR-PLAN-003 aktywowany automatycznie
T+24h: Pełna traceability

System generuje pełny impact report z graph traversal: które procesy były offline, ile transakcji lost, koszty downtime, compliance implications.

ROI: Czas response skrócony z 8h do 22 minut. Koszt downtime: -73%.
Supply chain risk propagation
Discovery: Vendor audit czerwona flaga

Vendor:CLOUD-PROVIDER-X failed audit → System wykonuje:

  • Traverse: Vendor → supplies → Assets (124 assets)
  • Traverse: Assets → critical_for → Processes (89 processes)
  • Compute: Aggregate impact score = 8.7/10 (CRITICAL)
  • Identify: 23 Processes bez backup vendor (SPOF)
  • Alert: 5 Persons (process owners + CISO + CTO)
  • Auto-create: Remediation plan w Risk Register
ROI: Avoided vendor lock-in cost: €2.3M. Risk mitigation time: -67%.
Audit NIS-2: Instant compliance proof
Auditor query: „Prove Art. 21 compliance”

System response w real-time:

  • Risk management: 234 Risks in register, 100% mapped to Assets/Processes
  • Supply chain: 47 Vendors, all with SLA + audit trail
  • Asset inventory: 1,247 Assets, 98.7% coverage, ownership complete
  • BCP/DRP: 34 critical Processes, all with RTO/RPO, tested
ROI: Audit prep time: 12 tygodni → 2 dni. Zero findings w audit.
Funkcje

Moduły i KPI – widok funkcjonalny

Funkcje zgodnie z kompleksową listą modułów NIS-2. Każdy kafel łączy się z ontologią (encje/relacje) i dowodami.

📊

Strategia i Zarządzanie Ryzykiem

Ład, odpowiedzialność, apetyt na ryzyko, matryce decyzji, przeglądy zarządcze.

🛡️

SZBI – ISO 27001:2022

Polityki, cele bezpieczeństwa, Statement of Applicability, audyty wewn./zewn.

💻

IT Asset Management (ITAM)

Inwentarz IT/OT, właściciele, klasyfikacja danych, CMDB, relacje usług.

⚠️

Ramy Zarządzania Ryzykiem (ENISA)

Identyfikacja, analiza, ocena, plany postępowania, monitorowanie.

🚨

Reagowanie i Ciągłość Działania (BCM)

Incident, DR/BCP, testy, runbooki, powiadomienia CSIRT/organ.

🔗

Polityki Bezpieczeństwa Łańcucha Dostaw

Ocena dostawców, zapisy umowne, SLA, audyty, certyfikacje.

🔒

Bezpieczeństwo Sieci i Ochrona Systemów

Hardening, segmentacja, EDR/SIEM, zarządzanie podatnościami i patching.

🎓

Edukacja, Procedury i Kryptografia

Program szkoleń, KVIs, procedury operacyjne, szyfrowanie i klucze.

🔐

RODO, Zarządzanie, Audyt, IOD

Rejestry czynności, DPIA, polityki prywatności, incydenty danych.

Zarządzanie zgodnie z ISO 27001:2022

Kontrole A.5–A.8, mierniki skuteczności, zgodność cross-standard.

📋

Rejestry i komunikacja z organami

Rejestry zgłoszeń, kontaktów, raporty okresowe, korespondencja.

Decyzje

Przepływy decyzyjne oparte na ontologii

Krótkie scenariusze „od danych do decyzji”. Każdy krok bazuje na encjach i dowodach – to nadaje spójność panelom KPI i raportom audytowym.

1

Zgłoszenie incydentu → klasyfikacja → powiadomienie

Zdarzenie → Incydent powiązany z Usługą i Zasobami → ocena wpływu → SLA i kanały (CSIRT/organ) → RCA i wnioski.

2

Podatność → priorytetyzacja → patch

CVE → ryzyko → właściciel zasobu → okno serwisowe → dowód wdrożenia (log, raport) → KPI „czas remediacji”.

3

Dostawca → ocena ryzyka → klauzule w umowie

Profil dostawcy → scoring → wymagane kontrole → zapisy kontraktowe → przeglądy i audyty okresowe.

4

Governance → przegląd zarządczy → decyzje

KPI zgodności i ryzyka → odchylenia → plany działań, budżet, akcept ryzyka → komunikacja i zadania.

Traceability

Wersjonowanie i audyt

Ontologia obejmuje wersjonowanie polityk, dowodów, kontroli i ról. Każda zmiana ma autora, datę i uzasadnienie – audyt jest natychmiastowy.

📦

Repo dowodów

Integralność, metadane (kto/kiedy/co), unikanie „sierocych” plików dzięki powiązaniu z encjami.

🔍

Ścieżka decyzji

Dlaczego podjęto decyzję? Które KPI, ryzyka i dowody ją uzasadniały? – wszystko w jednym miejscu.

🔄

Rozszerzalność

Mapowania cross-regulatory (DORA, ISO 22301, RODO) dodajemy bez zmiany fundamentu danych.

Wdrożenie

Jak wdrażamy: Bootcamp → Pilot → Produkcja

Praktyka „operating system” – szybkie mapowanie, wyniki w dniach, a nie miesiącach.

1

Faza 1 – Mapowanie domeny

Warsztaty, encje i relacje, priorytetyzacja wymagań (NIS-2 / KSC), szybkie KPI.

2

Faza 2 – Integracje i dowody

Źródła danych (ITAM, SIEM, ticketing), repo dowodów, pulpity decyzyjne.

3

Faza 3 – Scenariusze decyzyjne

Incydenty, podatności, łańcuch dostaw – eskalacje, automatyzacje i raportowanie.

4

Faza 4 – Operacjonalizacja

Wersjonowanie, audyty, cykl PDCA, cross-mapowania (DORA/ISO/RODO).

Zbuduj swoją ontologię compliance

NIS-2 Compliance Bootcamp to nie tylko wdrożenie narzędzia. To budowa Twojego knowledge graph — operating system dla compliance.

Umów konsultację

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking 'Accept All', you consent to our use of cookies.

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by