Mentionsy

Mianowicie będziemy mówić o NIS2, a w zasadzie połączeniu NIS2, ISO i jak to rozumieć, w jaki sposób to wytłumaczyć.

pojawiło nam się NIS2.

Teraz pytanie jest takie, jak jest NIS2, to znaczy, że było NIS1, a może było NIS0?

Dlaczego jest NIS2?

W ogóle czym jest NIS?

Był NIS1, bo jest NIS2.

NIS1 obowiązywał nas wcześniej, obowiązywał tylko wybrane podmioty.

Nie musiał sam podejmować weryfikacji NIS2.

Muszę raportować, że jestem objęty NIS2.

Ponieważ jak powiedziałeś, NIS2, idąc ścieżką NIS1, to jest wymagania co do cyberbezpieczeństwa jakichś podmiotów, które mają większe znaczenie dla państwa, gospodarki narodowej i tak dalej.

Podejrzewam, że oni nie wpadają pod NIS1 ani NIS2, ale na przykład mieliśmy klienta, który też myślał, że idzie ścieżką kebabową, mimo że prowadzi działalność w zupełnie innej branży, ale sprawdzili na przykład, że handlują jednym wybranym surowcem, który na tej liście się znajduje.

Ale teraz tak, sprawdzamy i to jest takie sprawdzenie powiedziałbym wstępne, dlatego że tych czynników jest bardzo dużo, bo wracając trochę do tematu NIS2 i czemu to ma służyć.

I problem z NIS2 polega na tym, te wszystkie dyskusje, które teraz się odbywają przy pracach nad projektem ustawy,

Wyjdziemy sobie na stronę internetową naszej firmy, wejdziemy w panel administracyjny i popatrzymy na ilość zapytań, które zostały zablokowane przez dostawcę hostingu.

A jak teraz zbliżamy się lub zamierzamy wpaść tutaj do tego stawu z NIS-em, czy ISO tutaj jest jakimś kołem ratunkowym?

NIS ma dodatkowe wymagania w stosunku do ISO.

ISO mówi w wielu punktach z NISem wspólnie.

ISO pomaga nam zapewnić schemat działania, schemat dokumentowania tego działania, bo pamiętajmy, że w NIS-ie będziemy musieli raportować jak działamy i dlaczego.

NIS w wielu miejscach to doprecyzowuje, bo jeszcze projekt ustawy nam nie sprecyzował wszystkiego, ale na przykład, że incydenty będziemy raportowali do konkretnego organu, czy to będzie NASK, czy to będzie jakiś NASK, czy CIRT branżowy, to się okaże.

W szczególności w NIS-ie jest wskazane wprost, że w ramach naruszenia bezpieczeństwa możemy dostać działania do wdrożenia i mieć na nie określony czas.

I teraz samemu te trzy osoby z NIS-em nie poradzą sobie.

Czego najbardziej się boimy w tym sposobie wprowadzania NIS-u, NIS2 w rzeczywistości?

Ponieważ wdrażamy już części klientów pod NIS i korzystamy z ISO, to pytanie w jakim stopniu, bo moim zdaniem to jest ogromne ryzyko, boimy się szalotonerii.

Momentu takiego, w którym wszyscy ci, którzy zajmowali się fotowoltaiką albo dostarczają teraz, nie wiem co, dostarczali wodę do biura, ale ten biznes się skończył, to oni się teraz wezmą za NIS2, bo widzą przecież, my wiemy jak to zrobić, przeczytaliśmy ustawy, to jest proste.

Bo to nie jest tak, że my wdrożymy NIS2 i powiemy, jest OK, bo ktoś to będzie weryfikował.

Podsumowując nasze dzisiejsze spotkanie, rozmawialiśmy, zaczęliśmy od norm ISO, czyli takich rynkowych standardów zarządzania ryzykiem i bezpieczeństwem w organizacji, przeszliśmy do tego NIS-u.

Wejdzie ustawa albo się pojawi, to wszyscy się przerzucą z nieznanych nam dziedzin życia, gospodarki na wdrażanie NIS.