NIS2 – kolejne kluczowe obszary, które muszą znać organizacje
1. Jakie obowiązki nakłada NIS2 na organizacje?
Dyrektywa NIS2 wprowadza konkretne i mierzalne obowiązki w obszarach zarządzania, technologii oraz raportowania incydentów, dlatego w praktyce nie są to już ogólne „zalecenia”, lecz wymagania podlegające kontroli.
Obowiązki organizacyjne
Organizacje objęte NIS2 muszą wdrożyć systemowe podejście do zarządzania cyberbezpieczeństwem, dlatego obejmuje ono m.in.:
formalne zarządzanie ryzykiem cyberbezpieczeństwa,
polityki bezpieczeństwa informacji i ciągłości działania,
procedury reagowania na incydenty,
regularne szkolenia pracowników i kadry zarządzającej,
nadzór nad bezpieczeństwem w łańcuchu dostaw.
Kluczową zmianą jest to, że bezpieczeństwo IT przestaje być wyłączną domeną działu technicznego, a tym samym staje się elementem zarządzania całą organizacją.
Obowiązki techniczne
NIS2 nie wskazuje konkretnych technologii, ale określa obszary, które organizacja powinna zabezpieczyć adekwatnie do poziomu ryzyka. Należą do nich m.in.:
bezpieczeństwo systemów informatycznych i sieci,
zarządzanie dostępami i tożsamością,
kopie zapasowe i odtwarzanie danych,
monitoring oraz wykrywanie incydentów,
zabezpieczenia przed cyberatakami.
Środki techniczne powinny być dopasowane do skali działalności organizacji oraz znaczenia systemów dla ciągłości świadczonych usług.
Obowiązki raportowe
Ważnym elementem NIS2 oraz UKSC jest zgłaszanie incydentów zgodnie z określonym harmonogramem.
wstępne zgłoszenie incydentu – w ciągu 24 godzin,
raport szczegółowy – w ciągu 72 godzin,
raport końcowy – po zakończeniu obsługi incydentu.
Wymaga to zatem jasno określonych procedur, ról i kanałów komunikacji. W przeciwnym razie brak przygotowania organizacyjnego może prowadzić do opóźnień w raportowaniu oraz zwiększonego ryzyka sankcji.
2. Odpowiedzialność zarządu i sankcje – co się realnie zmienia?
NIS2 w sposób bezprecedensowy wzmacnia odpowiedzialność kadry zarządzającej za cyberbezpieczeństwo, dlatego rola zarządu w obszarze bezpieczeństwa staje się kluczowa.
Rola zarządu
Zgodnie z dyrektywą zarząd:
- zatwierdza środki zarządzania ryzykiem cyberbezpieczeństwa,
- nadzoruje ich wdrożenie,
- odpowiada za zapewnienie odpowiednich zasobów,
- musi posiadać wiedzę umożliwiającą świadome podejmowanie decyzji.
Brak zaangażowania zarządu nie jest już usprawiedliwieniem – ponieważ dyrektywa wprost wskazuje na jego odpowiedzialność.
Sankcje
W przypadku naruszeń możliwe są m.in.:
- wysokie administracyjne kary finansowe,
- nakazy wdrożenia określonych środków technicznych i operacyjnych,
- czasowe zakazy pełnienia funkcji kierowniczych,
- zwiększony nadzór regulatora.
To wyraźny sygnał, że cyberbezpieczeństwo jest traktowane na równi z innymi obszarami ryzyka regulacyjnego, dlatego organizacje powinny uwzględniać je w strategicznym
3. Jak przygotować organizację do NIS2 i UKSC krok po kroku?
Przygotowanie do NIS2 to proces, a nie jednorazowy projekt, dlatego warto podejść do niego etapowo. Poniżej przedstawiamy kolejne kroki wdrożenia.
Krok 1: Identyfikacja statusu organizacji
Na początku organizacja powinna ustalić, czy kwalifikuje się jako podmiot kluczowy lub ważny. Następnie analizuje sektor działalności, wielkość firmy oraz rolę w łańcuchu dostaw. W rezultacie może określić zakres obowiązków wynikających z regulacji.
Krok 2: Inwentaryzacja procesów i systemów
Kolejnym krokiem jest identyfikacja kluczowych procesów biznesowych, następnie mapowanie systemów IT oraz określenie najważniejszych punktów krytycznych.
Krok 3: Analiza luk
Kolejny etap to porównanie stanu obecnego z wymaganiami NIS2 oraz identyfikacja braków organizacyjnych i technicznych. W efekcie możliwe jest określenie priorytetów działań oraz zaplanowanie dalszych kroków dostosowawczych.
Krok 4: Uporządkowanie ról i odpowiedzialności
W tym kroku przypisujemy jasną odpowiedzialność za bezpieczeństwo, a także określamy rolę zarządu, IT, zespołów bezpieczeństwa oraz biznesu.
Krok 5: Wdrożenie i testy
Na tym etapie integrujemy narzędzia i procedury, następnie je aktualizujemy, a także przeprowadzamy szkolenia oraz równolegle testujemy reagowanie na incydenty.
Cykliczna weryfikacja
Po wdrożeniu wymagana jest regularna weryfikacja zastosowanych środków – ustawowo co 3 lata. W praktyce jednak organizacja powinna dostosować kalendarz przeglądów do własnych potrzeb i tempa zmian. Następnie określa się kluczowe procesy biznesowe, a kolejnym krokiem jest mapowanie systemów IT oraz wskazanie punktów krytycznych.
4. NIS2 a dostawcy IT i łańcuch dostaw – co to oznacza w praktyce?
NIS2 po raz pierwszy tak silnie akcentuje bezpieczeństwo łańcucha dostaw, dlatego odpowiedzialność nie kończy się na własnej organizacji.
W praktyce oznacza to, że podmioty objęte dyrektywą muszą m.in.:
- oceniać ryzyka związane z dostawcami,
- weryfikować ich praktyki bezpieczeństwa,
- uwzględniać cyberbezpieczeństwo w umowach,
- monitorować kluczowych partnerów.
Co to oznacza dla dostawców IT?
W praktyce dostawcy mogą spodziewać się przede wszystkim:
- większych wymagań kontraktowych,
- audytów i ankiet bezpieczeństwa,
- konieczności udokumentowania procesów i zabezpieczeń,
- presji na standaryzację i formalizację działań.
Podsumowując, NIS2 wpływa na cały ekosystem organizacji, dlatego nawet podmioty formalnie nią nieobjęte podnoszą poziom bezpieczeństwa, wzmacniając odporność całego łańcucha dostaw.
NIS2 to nie tylko wymóg regulacyjny – to ryzyko, za które odpowiada zarząd. Zadbajmy o to, żebyś miał właściwe odpowiedzi, zanim regulator zacznie zadawać pytania.
Administratorem danych wprowadzonych do formularza jest Finture Sp. z o.o. Dane osobowe będą przetwarzane w celu nawiązania kontaktu i udzielenia odpowiedzi na pytania. Więcej informacji o przysługujących prawach i zasadach przetwarzania danych, dostępne jest w polityce prywatności.
