CyberSec Update #14: Praktyczne wskazówki dla zarządów
Back to compliance: praktyczne wskazówki dla zarządów w kontekście NIS2 i UKSC
Kim jesteśmy? Dokąd zmierzamy?
Na pierwsze z powyższych pytań pomagał odpowiedzieć Cybersec Update #2. Dzisiaj – kilka dni po wejściu w życie ustawy implementującej dyrektywę NIS2 – postaramy się pomóc w odpowiedzi na drugie, nie mniej fundamentalne pytanie, istotne z perspektywy zarządów i zgodności regulacyjnej.
Po ustaleniu, że Twoja organizacja zostanie objęta NIS2/UKSC, kolejnym krokiem powinno być sprawdzenie, w jakim stopniu dotychczas funkcjonujące procedury spełniają wymagania ustawy oraz w jakim zakresie należy podjąć dalsze działania, by zapewnić zgodność (compliance) z nowymi przepisami.
Audyt luki – narzędzie zgodności i zarządzania ryzykiem
Audyt luki to nie formalność, lecz narzędzie biznesowe pozwalające szybko ocenić, co działa, a co wymaga poprawek w kontekście NIS2 i UKSC. Audyt pokazuje, które usługi i systemy są krytyczne dla działalności, gdzie występują największe ryzyka oraz jakie luki proceduralne i techniczne stoją w sprzeczności z wymaganiami ustawy.
Wyniki audytu mogą również pozytywnie zaskoczyć, jeśli okaże się, że organizacja wdrożyła już więcej środków bezpieczeństwa, niż pierwotnie zakładano. Niczym Pan Jourdain z komedii Moliera* ze zdziwieniem odkrywamy wówczas, że przez cały czas „mówiliśmy prozą”.
W praktyce audyt luki (gap analysis) powinien obejmować m.in. inwentaryzację zasobów, ocenę bezpieczeństwa łańcucha dostaw, weryfikację mechanizmów zarządzania ryzykiem oraz gotowość do zgłaszania incydentów. W analizie warto uwzględnić zarówno aspekty prawne, jak i techniczne.
Audyt luki nie kończy procesu zgodności z NIS2/UKSC – jest jego fundamentem i punktem odniesienia dla dalszych działań. Dlatego warto traktować go jako inwestycję w ciągłość działania biznesu, a nie wyłącznie obowiązek regulacyjny.
Co dalej po audycie luki?
Kolejnym etapem jest budowa i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI / ISMS), który zapewni trwałą zgodność z wymaganiami ustawy. Wdrożenie SZBI może zająć nawet kilka miesięcy, jednak rzetelnie przeprowadzony audyt luki pozwala stworzyć jasną mapę drogową całego procesu.
Raport z audytu pomaga lepiej zrozumieć wymagania NIS2 i UKSC, zaplanować działania oraz sprawnie zrealizować wdrożenie. To jednak temat na osobną historię, którą przybliżymy w kolejnej części cyklu.
* Molier, „Mieszczanin szlachcicem”
