Cybersec Update #2: Jak się przygotować na NIS2?

Kim jesteśmy? Status podmiotu w świetle NIS2

Tak jak każdy człowiek na pewnym etapie życia zadaje sobie fundamentalne pytanie o to, kim jest i czego powinien od siebie oczekiwać, tak każda organizacja potencjalnie objęta NIS2/KSC2 musi zacząć od ustalenia swojego statusu w świetle tych regulacji. To pierwszy i kluczowy krok – bez niego nie wiemy, jakie konkretnie wymagania nas dotyczą i czy w ogóle musimy się do czegoś dostosowywać. Przy czym, ustalenie tego zazwyczaj wcale nie będzie oczywiste – należy wziąć pod uwagę branże, w której organizacja działa (dyrektywa i ustawa wskazują sektory kluczowe i sektory ważne), ale także kryteria dotyczące wielkości podmiotu (mierzonej według liczby personelu oraz wysokości przychodów).

Ustawa wchodzi w życie miesiąc od dnia publikacji w Dzienniku Ustaw, a czas na dostosowanie się do jej wymagań wynosi 6 miesięcy od dnia wejścia w życie – łącznie daje to 7 miesięcy. Nie możemy jednak zapomnieć, że na zgłoszenie się do wykazu podmiotów ważnych i kluczowych możemy mieć jeszcze mniej czasu. Zgodnie z art. 34 ust. 3 ustawy Minister Cyfryzacji ogłosi harmonogram składania wniosków o wpis do wykazu.

Audyt luki – co mamy, a czego brakuje?

Gdy już ustalimy, że jesteśmy objęci ustawą i w jakim charakterze (podmiot ważny/kluczowy), czas na sprawdzenie, czy i w jakim zakresie spełniamy wymagania. W tym celu warto przeprowadzić tzw. audyt luki (gap analysis), aby zweryfikować stan gotowości organizacji.

Jak pokazują dotychczasowe doświadczenia, wiele podmiotów częściowo już dysponuje odpowiednimi rozwiązaniami prawnymi i technicznymi – często nie zdając sobie z tego sprawy. Gap analysis pomoże to wszystko zinwentaryzować i zidentyfikować rzeczywiste braki.

Wdrożenie – to więcej niż kilka dokumentów

Gdy już ustalimy, co mamy, a czego nam brakuje, możemy rozpocząć właściwe wdrożenie. Wbrew powtarzanemu czasami poglądowi, nie będzie się ono ograniczało do stworzenia kilku dokumentów.

Realne i pełne dostosowanie do wymogów NIS2/KSC2 musi obejmować kompleksowe działania, m.in.:

• odpowiednie ułożenie struktury organizacyjnej w firmie i zakresów obowiązków
• przeprowadzenie analizy ryzyka
• spisanie i wdrożenie niezbędnych polityk i procedur (np. polityka bezpieczeństwa informacji, polityki tematyczne)
• przygotowanie wzorów dokumentów (np. umów z dostawcami, kwestionariuszy)
• zapewnienie niezbędnych zasobów i środków technicznych (np. związanych z automatyzacją procesów, monitorowaniem systemów)
• negocjacje z dostawcami ICT
• regularne szkolenia i audyty bezpieczeństwa (na które również należy zawrzeć odpowiednie umowy z wyspecjalizowanymi podmiotami)

Zgodność to proces, nie jednorazowe działanie

Przy czym, jak by to mógł ująć któryś z bohaterów „Władcy Pierścieni” – wdrożenie się kończy, ale walka o zgodność z NIS2 dopiero się zaczyna. Jednym z istotnych wymogów nowych regulacji jest konieczność ciągłej weryfikacji stosowanych środków, odpowiedniego nadzoru i nieustannego wyciągania wniosków z prowadzonych ćwiczeń, testów i codziennej praktyki.

Czy ISO 27001 i 22301 wystarczą?

W poprzednim wpisie z cyklu Cybersec Update analizowaliśmy, czy wdrożenie norm ISO automatycznie oznacza zgodność z NIS2/KSC2. Odpowiedź brzmi: zdecydowanie nie, choć certyfikaty te mogą znacząco ułatwić proces dostosowania. Normy ISO tworzą pewien szkielet zgodny z założeniami NIS2, ale nie obejmują szeregu specyficznych wymagań nowych regulacji – od szczegółowych zasad raportowania incydentów, przez konkretne ramy czasowe audytów, po rozszerzoną odpowiedzialność zarządu.

Po dalsze szczegóły dotyczące konkretnych wymagań zapraszamy do kolejnych odsłon cyklu, w którym razem z Jarosławem Strasiem i Andrzejem Broniewskim rozpracowujemy NIS2.