Mentionsy

Jak sprawdzić, czy dobrze wdrożyliśmy NIS-2?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa, która wdraża Dyrektywę NIS-2 wchodzi w życie.

Zarówno to, czy się podlega pod NIS-2, jak i to, czy poprawnie się wdrożyło, można sprawdzić sobie na naszej stronie za pomocą takiej specjalnej ankiety, do której odsyłamy, do której też link znajduje się pod tym odcinkiem.

To jest duża zmiana w kontekście NISA-1.

To z tego co pamiętam z naszej ankiety są trzy kluczowe pytania, które trzeba sobie zadać, żeby ocenić czy podlegam bądź nie podlegam pod NIS-2.

Natomiast jeśli chodzi o te przepisy, które są powiązane z dyrektywą NIS-2, tym się w firmie zainteresować.

Natomiast jest o tyle przełomowa, że pierwszy NIS dawał pewną swobodę w implementacji tych przepisów w poszczególnych krajach.

NIS drugi, mówiąc krótko, to jest dyrektywa o wysokim wspólnym poziomie cyberbezpieczeństwa.

Oczywiście za niezgodność, krótko mówiąc za niewdrożenie wymagań NISA drugiego.

Nie chcę straszyć, ale jednocześnie chciałbym powiedzieć, że NIS-2 to jest twardy wymóg i w przypadku incydentu, w momencie kiedy ustawa już wejdzie w życie,

No i właśnie przechodzimy do clou naszej rozmowy, czyli tego jak sprawdzić, czy dobrze wdrożyliśmy NIS-2.

NIS-2 i ustawa, która wdraża te regulacje do systemu prawnego w Polsce,

Ja rozumiem, że może istnieć pokusa tego, żeby NISA-2 zamknąć technologią, ale to nie ta ustawa.

Nie wiemy co chronimy, zatem ta identyfikacja aktywów, identyfikacja tych właściwości, tych aktywów jest takim pierwszym elementem wdrożenia NIS-2.

Czy oprócz tego rozumiemy jakie są wymagania narzucane nam przez NIS-2?

NIS-2 to nie tylko rozumienie bezpieczeństwa przez pryzmat IT.

NIS-2 to rozumienie swojej roli w całej układance bezpieczeństwa w organizacji.

To wszystko wskazuje na to, że NIS-2 także poprzez definiowanie zarządzania ryzykiem cyberbezpieczeństwa w firmie sugeruje, że to nie jest taki one-off.

NIS-2 też mówi o wyrażaniu adekwatnych środków w zależności od wyników analizy ryzyka.

Ja myślę, że mamy pewną tendencję do tego, żeby mówić, że wdrażanie bardzo wysokopoziomowych, może nie tyle wysokopoziomowych, skomplikowanych środków zarządzania bezpieczeństwem, czy też w ogóle zarządzania incydentami jest trudne, jest skomplikowane i będzie wyzwaniem w kontekście NISA.

Po pierwsze może DORA, ale tak naprawdę NIS-2 w szerokim zakresie pierwszy raz na takiej powiedziałbym warstwie ustawodawczej mówi wprost o zarządzaniu dostawcami.

NIS-2 skupia się też na incydentach i raportowaniu, później pewnie monitorowaniu wdrożenia jakichś poprawek.

Natomiast w pozostałych organizacjach, czy też właśnie, biorąc pod uwagę ten zakres podmiotowy NISA-2, no to tę świadomość na pewno trzeba będzie rozszerzyć.

NIS-2 tak naprawdę nie mówi nic wielkiego o danych osobowych.

I to sprawia, że podlegam pod NISA-2.

Ponieważ częścią podmiotów, które również podlegają pod NISA 2 są podmioty publiczne.

To na koniec poproszę cię jeszcze o taką odezwę do narodu jako eksperta od NISA-2.

Gdybyś naszych słuchaczy i widzów miał zostawić z taką jedną myślą, jednym przesłaniem, co będzie kluczem do zgodności z NIS-2?

I wydaje mi się, że to również zadziała podobnie z NIS-2, czyli apeluję do zarządów organizacji, aby naprawdę nie lekceważyły wymagań związanych z NIS-2, bo to po pierwsze może dużo kosztować zarówno organizacja, jak i osobiście członków zarządu.

Adam Woźniak, partner w Digital Drive, ekspert cyberbezpieczeństwa i, jak usłyszeliście, ekspert także od NISA drugiego, co jest powiązane, więc trudno, żeby było inaczej.

Ten podcast, o którym wspomniałeś, jakby ktoś chciał sobie zrobić taką podróż w czasie, kiedy w 2024 rozmawialiśmy o NIS-2.