Nowa UKSC (NIS2) została przyjęta
- Katarzyna Celińska
- 3 dni temu
- 2 minut(y) czytania
Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementująca dyrektywę NIS2, została przyjęta i podpisana. To moment, w którym wiele organizacji w Polsce powinno zadać sobie jedno podstawowe pytanie:
Czy jesteśmy objęci regulacją jako podmiot kluczowy lub ważny?
Czy nasz obecny system bezpieczeństwa spełnia nowe wymagania?
W BW ADVISORY Sp. z o.o. przeanalizowaliśmy nowe przepisy i przygotowaliśmy dokument „NIS2.0 – Dobre praktyki”, który przekłada wymagania ustawowe na konkretne działania operacyjne dla firm.
Nowa ustawa to nie kosmetyczna zmiana przepisów. To przejście z podejścia deklaratywnego do systemowego zarządzania ryzykiem ICT.
Regulacja wymaga od firm m.in.:
➡️ formalnego systemu zarządzania ryzykiem cyber,
➡️ skutecznego procesu obsługi i raportowania incydentów,
➡️ realnego nadzoru zarządu nad cyberbezpieczeństwem,
➡️ zarządzania ryzykiem w łańcuchu dostaw,
➡️ zapewnienia ciągłości działania i odporności operacyjnej.
To oznacza konieczność uporządkowania procesów, odpowiedzialności i dokumentacji, ale przede wszystkim wdrożenia realnych mechanizmów kontrolnych.
Odpowiedzialność zarządu – nowa rzeczywistość
Jedną z kluczowych zmian jest wzmocnienie odpowiedzialności kierownictwa.
Zarząd nie może już traktować cyberbezpieczeństwa jako wyłączną domenę IT czy odpowiedzialność CISO. Nowe przepisy wymagają:
➡️ zatwierdzania polityk bezpieczeństwa,
➡️ nadzoru nad systemem zarządzania ryzykiem,
➡️ zapewnienia adekwatnych zasobów,
➡️ monitorowania skuteczności wdrożonych zabezpieczeń.
Brak zaangażowania zarządu może skutkować nie tylko sankcjami administracyjnymi, ale również odpowiedzialnością osobistą.
Łańcuch dostaw
Jednym z najtrudniejszych obszarów wdrożeniowych jest zarządzanie dostawcami ICT.
Firmy muszą:
➡️ klasyfikować dostawców pod kątem krytyczności,
➡️ weryfikować zapisy umowne w zakresie bezpieczeństwa,
➡️ analizować ryzyka,
➡️ monitorować usługi chmurowe i outsourcingowe.
W praktyce oznacza to konieczność wdrożenia dojrzałego modelu TPRM.
Od czego zacząć?
Z naszego doświadczenia wynika, że pierwszym krokiem powinna być rzetelna analiza luki, obejmująca:
➡️ identyfikację statusu regulacyjnego organizacji,
➡️ ocenę istniejących polityk i procedur,
➡️ mapowanie kontroli na wymagania ustawy,
➡️ ocenę dojrzałości procesów,
➡️ przygotowanie planu działań naprawczych.
Bez tej analizy trudno mówić o świadomym i efektywnym wdrożeniu.
W dokumencie „NIS2.0 – Dobre praktyki” pokazujemy, jak nowe wymagania można zintegrować z istniejącymi frameworkami. Celem nie jest tworzenie równoległych systemów, lecz wzmocnienie obecnego modelu governance.
Autor: Sebastian Burgemejster
Komentarze