Co o NIS2 musi wiedzieć CIO?
Dyrektywa NIS2 w sposób istotny zmienia rolę CIO w organizacji. Cyberbezpieczeństwo przestaje być wyłącznie obszarem operacyjnym IT – staje się natomiast elementem odpowiedzialności strategicznej, podlegającej nadzorowi regulatorów i zarządu. Dla CIO oznacza to nowe obowiązki, ale jednocześnie wzmocnienie pozycji w strukturze decyzyjnej organizacji.
CIO jako kluczowy partner w spełnieniu wymagań NIS2
Choć NIS2 formalnie wskazuje odpowiedzialność zarządu, w praktyce to CIO staje się jednym z głównych architektów zgodności organizacji z dyrektywą. To właśnie CIO posiada wiedzę o systemach, zależnościach technologicznych, dostawcach IT oraz realnych ryzykach operacyjnych.
W związku z tym rola CIO przesuwa się z zarządzania infrastrukturą w stronę:
- współtworzenia strategii zarządzania ryzykiem cyberbezpieczeństwa,
- doradzania zarządowi w zakresie decyzji technologicznych,
- koordynacji działań IT, bezpieczeństwa i biznesu.
Zakres systemów i usług objętych NIS2
Jednym z pierwszych wyzwań dla CIO jest identyfikacja systemów i usług krytycznych z punktu widzenia NIS2. Dyrektywa nie ogranicza się do „core IT” – obejmuje wszystkie systemy, których niedostępność, naruszenie integralności lub poufności może zakłócić świadczenie usług.
Dlatego też dla CIO oznacza to konieczność:
- mapowania systemów IT do procesów biznesowych,
- identyfikacji punktów krytycznych i pojedynczych punktów awarii,
- uwzględnienia systemów utrzymywanych przez dostawców zewnętrznych (SaaS, cloud, outsourcing).
Zarządzanie ryzykiem – nie tylko technicznie
NIS2 wymaga podejścia opartego na ryzyku. W rezultacie CIO musi wyjść poza klasyczne bezpieczeństwo infrastruktury i uwzględnić:
- ryzyka operacyjne i biznesowe wynikające z incydentów IT,
- zależności w łańcuchu dostaw,
- wpływ incydentów na ciągłość działania.
W praktyce oznacza to ścisłą współpracę z obszarami takimi jak compliance, prawny, bezpieczeństwo informacji czy zarządzanie ciągłością działania.
Obowiązki raportowe – gotowość operacyjna IT
Z perspektywy CIO jednym z najbardziej wymagających elementów NIS2 są krótkie terminy raportowania incydentów.
Aby im sprostać, CIO musi zapewnić:
- monitoring zdarzeń i incydentów,
- jasne kryteria kwalifikacji incydentu jako istotnego,
- procedury eskalacji i komunikacji wewnętrznej,
- gotowość do dostarczenia danych technicznych w ciągu pojedynczych godzin, a nie dni.
Brak przygotowania technicznego i procesowego może skutkować nie tylko sankcjami, ale również utratą zaufania zarządu.
Relacje z dostawcami IT i chmurą
NIS2 znacząco wzmacnia wymagania wobec bezpieczeństwa łańcucha dostaw. W konsekwencji dla CIO oznacza to konieczność:
- weryfikacji poziomu bezpieczeństwa kluczowych dostawców IT,
- przeglądu umów pod kątem zapisów dotyczących bezpieczeństwa i incydentów,
- zapewnienia sobie realnego dostępu do informacji w przypadku incydentu po stronie dostawcy.
W praktyce zatem CIO staje się właścicielem relacji technologicznych również od strony regulacyjnej.
CIO a odpowiedzialność zarządu
Choć NIS2 wskazuje na odpowiedzialność zarządu, to CIO pełni rolę kluczowego doradcy. Oczekuje się mianowicie, że:
- będzie potrafił przełożyć ryzyka techniczne na język biznesu,
- dostarczy zarządowi rzetelnych informacji do podejmowania decyzji,
- wskaże realne konsekwencje braku inwestycji w bezpieczeństwo.
Dla wielu organizacji oznacza to tym samym konieczność zmiany sposobu raportowania IT – z technicznego na menedżerski.
Co CIO powinien zrobić już teraz?
Z perspektywy NIS2 CIO powinien w pierwszej kolejności:
- upewnić się, czy organizacja podlega pod NIS2,
- następnie zainicjować mapowanie procesów i systemów IT,
- ocenić dojrzałość obecnych mechanizmów bezpieczeństwa,
- przygotować organizację IT do współpracy z zarządem i regulatorami,
- a także zaplanować działania długofalowe, a nie tylko „compliance na papierze”.
NIS2 to nie tylko wymóg regulacyjny – to ryzyko, za które odpowiada zarząd. Zadbajmy o to, żebyś miał właściwe odpowiedzi, zanim regulator zacznie zadawać pytania.
Administratorem danych wprowadzonych do formularza jest Finture Sp. z o.o. Dane osobowe będą przetwarzane w celu nawiązania kontaktu i udzielenia odpowiedzi na pytania. Więcej informacji o przysługujących prawach i zasadach przetwarzania danych, dostępne jest w polityce prywatności.
