Mentionsy

Dzisiaj pomoże mi w tym Daniel Lampart, który od lat zajmuje się bezpieczeństwem informacji systemami ISO 27001, nowymi rozporządzeniami jak choćby NIS 2 i ma bardzo szeroką wiedzę.

Zacznijmy od podstaw, bo załóżmy, że tutaj są osoby, które nigdy nie słyszały o tematach bezpieczeństwa informacji, o tym czym jest NIS 2, czym jest KSC, więc jak mógłbyś wyjaśnić, co aktualnie się zmieniło, jaki jest kontekst tego, że pojawiła się dyrektywa NIS 2 w Polsce, że prezydent podpisał nowelizację o KSC i jaki jest to przełom dla rynku polskiego?

Dyrektywa NIS jest to dyrektywa, która w prawodawstwie unijnym funkcjonuje już od lat.

My mieliśmy teraz, no nie teraz, kilka lat temu nowelizację tej dyrektywy na dyrektywę NIS 2, która jest w Polsce zaimplementowana do polskiego ustawodawstwa ustawą o Krajowym Systemie Cyberbezpieczeństwa.

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, która właśnie implementuje tą dyrektywę drugą, czyli NIS 2, bardzo mocno rozszerzyła ten katalog, ponieważ wcześniej pod ten katalog operatorów usług kluczowych podlegały np.

Natomiast ten katalog w dyrektywie NIS 2 całkowicie się rozszerzył.

Po pierwsze dyrektywa NIS 2 określiła operatorów usług kluczowych jako podmioty, które mają ekwiwalent zatrudnienia właściwie, nie należy tego mylić tylko z umowami o pracę, ekwiwalent zatrudnienia od 50 osób w górę.

I teraz, jeżeli ktoś dobrze rozumie ISO 9001, to myślę, że powinien sobie też poradzić z ISO 27001 i z NIS 2.

Sama dyrektywa NIS 2 oraz ustawa o systemie cyberbezpieczeństwa nie mówi wprost o normie 27001, mówi o systemie zarządzania bezpieczeństwem informacji.

Których firm bezpośrednio dotyczy NIS 2, a których może dotrzeć pośrednio?

No właśnie, bo to jest to, o czym już wspomnieliśmy, czyli są podmioty, które będą po prostu wprost podlegały prawnie i nie będą miały żadnego pola manewru, po prostu dostaną decyzję administracyjną, że jesteś operatorem usługi kluczowej i masz 6 miesięcy na wdrożenie wymagań, przejście audytu.

Natomiast szacuje się, że nawet do 50 tysięcy firm łącznie będzie podlegać pod NIS 2, ponieważ będzie w tym łańcuchu dostaw.

Ponieważ w NIS 2 i wymaganiach ustawy...

Jest to podmiot, który w ogóle nie podlega pod NIS 2 bezpośrednio, ponieważ podmiot, który po prostu robi konstrukcje stalowe, ale między innymi te konstrukcje robi też dla branży automotive.

Oczywiście takie najważniejsze sektory produkcyjne objęte wymaganiami dyrektywy NIS 2 i ustawy o krajowym systemie cyberbezpieczeństwa to przede wszystkim firmy produkujące sprzęt elektroniczny, komputery, wyroby elektryczne, niektóre maszyny, bo tam mamy określone kody, jakie to są podmioty.

taki typowy przykład to producenci komponentów, elektroniki przemysłowej również do automotive, sprzętu i oprogramowania IT do automotive, więc to są podmioty, które będą podlegać pod NIS 2.

Wiedzę w zakresie wymagań normy 27001, która, tak jak powiedziałem, jest doskonałym frameworkiem do NIS 2 i ustawy o ochronie systemu cyberbezpieczeństwa, ale szukałbym szkoleń, kursów, które również nawiązują, jak to połączyć z NIS 2, czyli wymagania normy plus jak się ma do tego NIS 2 i jakie tam ewentualnie są rozszerzenia dodatkowe, precyzyjne wymagania.

Jeszcze rozszerzyć go właśnie na aspekty NIS 2, czyli dostajecie od nas gotowiec, który pozwoli wam wejść w ten świat, zrozumieć go z bliska, zrozumieć go praktycznie i rozwijać się po prostu w tym kierunku.