Czy model Zero Trust stanie się nowym standardem dowodzenia „rozsądności" cyberbezpieczeństwa w sporach sądowych i postępowaniach regulacyjnych?
Artykuł opublikowany w Risk & Compliance Magazine analizuje rosnącą rolę architektury Zero Trust jako miernika korporacyjnej staranności w ochronie danych — zarówno w postępowaniach litygacyjnych, jak i w ocenach regulatorów. Wnioski są istotne także dla europejskich organizacji podlegających NIS2 i DORA.
Zero Trust to już nie buzzword — to standard
Wstęp — dlaczego tradycyjne cyberbezpieczeństwo nie wystarcza
Gail Gottehrer — prawniczka specjalizująca się w cyberbezpieczeństwie i AI — argumentuje w publikacji z numeru kwiecień–czerwiec 2026 Risk & Compliance Magazine, że postęp sztucznej inteligencji radykalnie zmienił krajobraz cyberzagrożeń. Artykuł wskazuje, że generatywna AI umożliwia przestępcom tworzenie spersonalizowanych ataków phishingowych, obniża barierę wejścia na rynek ransomware-as-a-service i skraca czas eksploatacji podatności. Jednocześnie publikacja podkreśla, że rosnące uzależnienie organizacji od usług chmurowych, modelu BYOD, rozproszonych zespołów i dostawców zewnętrznych podważa skuteczność tradycyjnego modelu bezpieczeństwa typu „castle and moat”, opartego na założeniu, że użytkownicy wewnątrz sieci korporacyjnej mogą być zaufani.
Dla audytorów, CISO i compliance managerów artykuł formułuje kluczowe pytanie: czy sposób, w jaki organizacja chroni informacje, obroni się jako „rozsądny” przed sądem lub regulatorem? To pytanie jest równie aktualne w kontekście europejskim — dyrektywa NIS2 i rozporządzenie DORA stawiają przed podmiotami kluczowymi i organizacjami sektora finansowego analogiczne wymagania dotyczące adekwatności środków cyberbezpieczeństwa.
Główne tezy artykułu — Zero Trust jako nowy perymetr bezpieczeństwa
Koniec ery „castle and moat”
Publikacja dokumentuje, w jaki sposób tradycyjny model bezpieczeństwa perymetrycznego stracił adekwatność. Autorka wskazuje na udokumentowane przypadki kradzieży poświadczeń, szkody wyrządzone przez malicious insiders oraz kampanie socjotechniczne zakończone skutecznymi atakami phishingowymi i business email compromise. Według artykułu technologie powszechnie stosowane w organizacjach — usługi chmurowe, IoT, BYOD, outsourcing — dodatkowo podważają model oparty na zaufaniu do perimetru sieci.
Artykuł podkreśla, że rosnące wdrożenia agentic AI dodatkowo ograniczą użyteczność modelu „castle and moat”, ponieważ autonomiczne systemy operują pomiędzy platformami bez uwzględniania tradycyjnych granic sieciowych.
Tożsamość jako nowy perymetr — zasady Zero Trust
Publikacja przedstawia Zero Trust jako model oparty na zasadzie „never trust, always verify” — odrzuceniu automatycznego zaufania wobec jakiegokolwiek użytkownika, urządzenia czy systemu. Autorka identyfikuje kluczowe filary tego podejścia: weryfikację tożsamości każdego podmiotu uzyskującego dostęp do zasobów IT, dostęp oparty na zasadzie least privilege, kontekstowe zarządzanie dostępem wykorzystujące AI do oceny ryzyka, ciągłe monitorowanie i adaptację do zmian w ryzyku oraz mikrosegmentację sieci.
Artykuł zwraca uwagę, że podejście tożsamościowe jest kluczowe w kontekście agentic AI — Zero Trust traktuje agentów AI jako tożsamości nieosobowe (non-human identities), do których stosuje te same mechanizmy weryfikacji i kontroli dostępu co do użytkowników ludzkich. Według autorki, raport Gartnera z 2024 roku wskazuje, że 63% organizacji globalnie w pełni lub częściowo wdrożyło strategię Zero Trust.
Wsparcie federalne i precedensy regulacyjne w USA
Publikacja szczegółowo dokumentuje rządowe wsparcie dla modelu Zero Trust w Stanach Zjednoczonych. Autorka przywołuje Executive Order 14028 prezydenta Bidena z maja 2021 roku, Memo M-22-09 z OMB, Zero Trust Maturity Model opublikowany przez CISA, a także kontynuację podejścia Zero Trust przez administrację Trumpa — w tym „Cyber Strategy for America” z marca 2026 roku. Artykuł wskazuje również na publikacje NIST: SP 800-207 (Zero Trust Architecture) i SP 1800-35 (Implementing a Zero Trust Architecture).
Szczególnie istotny — zdaniem autorki — jest precedens ugody FCC z T-Mobile z września 2024 roku, w ramach której T-Mobile zobowiązał się do przejścia na architekturę Zero Trust i przeznaczenia ponad 15,7 mln USD na transformację cyberbezpieczeństwa. Publikacja podkreśla, że FCC opisała wdrożenie Zero Trust jako jedną z najważniejszych zmian poprawiających security posture organizacji.
Implikacje litygacyjne — Zero Trust jako miecz i tarcza
Artykuł formułuje centralną tezę: Zero Trust staje się kluczowym elementem dowodowym w sporach sądowych dotyczących naruszeń danych. Autorka zarysowuje dwa scenariusze. W pozwach zbiorowych pełnomocnicy powodów będą argumentować, że ataki phishingowe, kradzież poświadczeń czy ataki na łańcuch dostaw to ryzyka przewidywalne, a organizacje polegające na tradycyjnych modelach zamiast Zero Trust nie spełniają standardów branżowych „rozsądnego cyberbezpieczeństwa”. Z kolei pełnomocnicy pozwanych będą wskazywać na wdrożenie least privilege access, ciągłe monitorowanie i mikrosegmentację jako dowód adekwatności programu cyberbezpieczeństwa i zgodności z wymogami prawnymi.
Perspektywa norm ISO
ISO/IEC 27001:2022 — operacjonalizacja zasad Zero Trust w ISMS
Artykuł argumentuje, że organizacje muszą wykazać „reasonableness” swoich zabezpieczeń cybernetycznych. ISO/IEC 27001:2022 dostarcza do tego certyfikowalnych ram. Filary Zero Trust opisane w publikacji — weryfikacja tożsamości, least privilege, ciągłe monitorowanie — znajdują bezpośrednie odzwierciedlenie w kontrolach Załącznika A normy: A.5.15 (kontrola dostępu), A.5.16 (zarządzanie tożsamością), A.5.18 (prawa dostępu), A.8.2 (uprzywilejowane prawa dostępu), A.8.16 (monitorowanie aktywności). Artykuł wskazuje na mikrosegmentację sieci jako filar Zero Trust — norma adresuje to przez A.8.22 (segmentacja sieci).
Autorka podkreśla, że standardy NIST, choć prawnie niewiążące, są regularnie przywoływane przez regulatorów i sądy jako dowód standardów branżowych. ISO 27001 pełni analogiczną rolę w kontekście europejskim i międzynarodowym — certyfikat ISMS stanowi udokumentowany, audytowalny dowód wdrożenia mechanizmów, które autorka identyfikuje jako elementy składowe „rozsądnego cyberbezpieczeństwa”.
ISO 37301:2021 — compliance management jako rama due diligence
Publikacja wielokrotnie odnosi się do compliance with statutory requirements i „corporate diligence” jako przedmiotu oceny sądowej. ISO 37301:2021 operacjonalizuje tę potrzebę na poziomie systemu zarządzania zgodnością. Norma wymaga identyfikacji obowiązków compliance (kl. 4.5), oceny ryzyk niezgodności (kl. 6.1), ustanowienia kontroli i procedur operacyjnych (kl. 8.2) oraz ciągłego monitorowania i raportowania wyników compliance (kl. 9.1).
W kontekście tez artykułu wdrożenie CMS zgodnego z ISO 37301 pozwala organizacji wykazać, że systematycznie identyfikuje swoje obowiązki regulacyjne — w tym wynikające z NIS2, DORA czy krajowych przepisów o cyberbezpieczeństwie — oraz że posiada procesy monitorowania zgodności i reagowania na niezgodności. To dokładnie ten rodzaj „dowodu staranności„, o którym pisze autorka w kontekście obrony w postępowaniach litygacyjnych.
Kontekst regulacyjny UE — NIS2 i DORA jako europejski odpowiednik presji regulacyjnej
Artykuł szczegółowo dokumentuje federalne regulacje USA wspierające Zero Trust. W kontekście europejskim analogiczną presję regulacyjną tworzą dyrektywa NIS2 (UE 2022/2555) — nakładająca na podmioty kluczowe i ważne wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa, kontroli dostępu, monitorowania i obsługi incydentów — oraz rozporządzenie DORA (UE 2022/2554), które od 17 stycznia 2025 roku wymaga od podmiotów sektora finansowego wdrożenia zaawansowanych mechanizmów odporności operacyjnej ICT, w tym zarządzania ryzykiem dostawców ICT.
Oba akty prawne de facto wymuszają podejście zbieżne z zasadami Zero Trust. Dla organizacji europejskich ISO 27001 i ISO 37301 stanowią naturalne narzędzia do operacjonalizacji tych wymogów — i jednocześnie do budowania dowodów due diligence w przypadku kontroli regulatora czy postępowania sądowego.
Praktyczne implikacje — co powinien zrobić CISO i compliance manager
Artykuł formułuje jasny wniosek: prawnicy, CISO, risk managerowie i specjaliści ds. governance powinni ocenić, gdzie na „spektrum Zero Trust” znajduje się ich organizacja. W kontekście norm ISO oznacza to konkretne działania:
Po pierwsze — przeprowadzenie gap analysis kontroli ISMS (ISO 27001) pod kątem zasad Zero Trust: czy organizacja wdrożyła kontrolę dostępu opartą na tożsamości (A.5.15–5.18), czy stosuje zasadę least privilege (A.8.2), czy monitoruje aktywność w trybie ciągłym (A.8.16), czy posiada segmentację sieci (A.8.22).
Po drugie — weryfikacja, czy system zarządzania zgodnością (ISO 37301) obejmuje obowiązki wynikające z NIS2/DORA i czy procesy monitorowania compliance pokrywają wymogi dotyczące cyberbezpieczeństwa.
Po trzecie — udokumentowanie podjętych działań jako materiału dowodowego. Autorka podkreśla, że w postępowaniach sądowych kluczowe jest wykazanie nie tylko wdrożenia technologii, ale systematycznego procesu zarządzania — a to jest istotą certyfikowalnych systemów zarządzania ISO.
Po czwarte — uwzględnienie tożsamości nieosobowych (non-human identities) — w tym agentów AI — w politykach kontroli dostępu, co artykuł identyfikuje jako rosnący obszar ryzyka.
Podsumowanie
Publikacja Gail Gottehrer formułuje tezę, która ma fundamentalne znaczenie dla zarządzania cyberbezpieczeństwem: Zero Trust przestaje być tylko modelem architektonicznym, a staje się miernikiem korporacyjnej staranności w ochronie danych. Dla europejskich organizacji podlegających NIS2 i DORA ta obserwacja jest równie aktualna — z tą różnicą, że ramy normatywne ISO 27001 i ISO 37301 oferują certyfikowalne narzędzia do operacjonalizacji zarówno zasad Zero Trust, jak i wymogów regulacyjnych. W świecie, w którym cyberbezpieczeństwo jest oceniane nie tylko technologicznie, ale i prawnie — udokumentowany system zarządzania staje się najlepszą linią obrony.
Bibliografia:
- Gottehrer, G. „Proving Reasonable Cyber Security: The Emerging Role of Zero Trust”. Risk & Compliance Magazine, Apr–Jun 2026, s. 129–134. www.riskandcompliancemagazine.com
- ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. iso.org
- ISO 37301:2021. Compliance management systems — Requirements with guidance for use. iso.org
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. (NIS2). eur-lex.europa.eu
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. (DORA). eur-lex.europa.eu
- NIST SP 800-207 (2020). Zero Trust Architecture. nist.gov
- NIST SP 1800-35 (2025). Implementing a Zero Trust Architecture. nist.gov
FAQ: Zero Trust
Czym jest model Zero Trust i dlaczego zastępuje tradycyjne cyberbezpieczeństwo?
Zero Trust to podejście do cyberbezpieczeństwa oparte na zasadzie „nigdy nie ufaj, zawsze weryfikuj". W odróżnieniu od tradycyjnego modelu perymetrycznego („castle and moat"), Zero Trust wymaga weryfikacji tożsamości każdego użytkownika, urządzenia i systemu — niezależnie od lokalizacji. Model ten obejmuje kontrolę dostępu opartą na least privilege, ciągłe monitorowanie i mikrosegmentację sieci.
Jak Zero Trust wiąże się z normą ISO 27001?
ISO/IEC 27001:2022 zawiera kontrole bezpośrednio odpowiadające filarom Zero Trust: zarządzanie tożsamością (A.5.16), kontrola dostępu (A.5.15), uprzywilejowane prawa dostępu (A.8.2), monitorowanie aktywności (A.8.16) i segmentacja sieci (A.8.22). Certyfikat ISO 27001 stanowi udokumentowany dowód wdrożenia tych mechanizmów.
Czy wdrożenie Zero Trust może chronić firmę w postępowaniu sądowym?
Tak — wdrożenie architektury Zero Trust może służyć jako dowód „rozsądności" programu cyberbezpieczeństwa w sporach sądowych dotyczących naruszeń danych. Precedensem jest ugoda FCC z T-Mobile z 2024 roku, w której przejście na Zero Trust było jednym z kluczowych wymogów regulacyjnych.
Jaki jest związek Zero Trust z dyrektywą NIS2 i rozporządzeniem DORA?
Dyrektywa NIS2 i rozporządzenie DORA nakładają na organizacje europejskie wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa, kontroli dostępu i ciągłego monitorowania — zasady zbieżne z modelem Zero Trust. Normy ISO 27001 i ISO 37301 stanowią narzędzia do operacjonalizacji tych wymogów regulacyjnych.
Od czego zacząć wdrażanie podejścia Zero Trust w organizacji?
Pierwszym krokiem jest gap analysis kontroli ISMS pod kątem zasad Zero Trust: weryfikacja polityk kontroli dostępu opartej na tożsamości, zasady least privilege, ciągłego monitorowania i segmentacji sieci. Następnie warto ocenić, czy system zarządzania zgodnością (ISO 37301) obejmuje obowiązki wynikające z NIS2 i DORA.
