Czy Twoja organizacja jest gotowa na NIS2?

Checklista zgodności krok po kroku

Będzie to klasyczny truizm, ale najtrudniej zacząć zmianę, zmianę samego siebie. Każdy z nas, kto od lat zajmuje się bezpieczeństwem informacji, czy cyberbezpieczeństwem, ma dziś poczucie, że tempo zmian w świecie cyfrowym przerosło dotychczasowe zasady gry. To już nie tylko nowy sposób na prowadzenie biznesu – to także nowe prawo, nowe obowiązki i nowe oczekiwania wobec organizacji, ale i samych organizacji wobec nas. Właśnie w tym kontekście pojawia się Dyrektywa NIS2, a wraz z nią znowelizowana ustawa o Krajowym Systemie Cyberbezpieczeństwa, która już niebawem stanie się obowiązującym prawem.

Wielu z nas zadaje dziś to samo pytanie: czy naprawdę jesteśmy gotowi na NIS2? Jeszcze inni zadają pytanie: jak bardzo nie jestem gotowy na NIS2? Osobiście nie wiem, która z grup jest liczniejsza, ale obie grupy dobrze kombinują. To jedno czy drugie pytanie nie jest tylko formalne. Dyrektywa stawia przed organizacjami znacznie wyższe wymagania niż jej poprzedniczka. Nie chodzi już o wdrożenie kilku polityk i przeszkolenie pracowników. Chodzi o zbudowanie odporności organizacyjnej, o kulturę bezpieczeństwa, w której technologia, procesy i ludzie działają jako jeden system.

Rola CISO dziś to nie tylko rycerz na białym koniu z klawiaturą w ręku, którego zadaniem jest „bronić systemy”, lecz musi być łącznikiem między technologią, biznesem i zarządem i budować w organizacji zdolność adaptacji nadchodzących zmian. Dlatego jeśli jesteś CISO, dyrektorem bezpieczeństwa, liderem w obszarze zgodności czy IT/OT – potraktuj ten wpis jako ramowy przewodnik/checklistę do oceny, przygotowania organizacji i wdrożenia działań mających na celu zapewnienie zgodności z filozofią NIS2 – bo dyrektywa ta, to nie tylko prawo. W przypadku NIS2 nie wystarczy „zrobić dokumentację, odłożyć w koszulkach do szafy, nie giąć i zapomnieć”. Wymagana jest integracja procesów, technologii i kultury organizacyjnej, która musi być stale doskonalona w celu zapewnienia zgodności ale co ważniejsze zapewnienia bezpieczeństwa informacji w naszej organizacji i możliwości ciągłego świadczenia usługi.

Dlaczego NIS2 to coś więcej niż kolejny obowiązek regulacyjny

NIS2 to nie jest tylko kolejny dokument wymyślony Brukseli. To jeden z najbardziej praktycznych aktów prawnych w historii europejskiego cyberbezpieczeństwa wymusza nie tylko wdrożenie środków technicznych, ale przede wszystkim zmianę sposobu myślenia o odpowiedzialności i odporności organizacji. To swoisty punkt zwrotny, który sprawi, że bezpieczeństwo staje się elementem zarządzania strategicznego (opartego bezpośrednio o struktury najwyższego kierownictwa) w każdej organizacji objętej zakresem dyrektywy. Nowe przepisy obejmą niebawem dziesiątki tysięcy organizacji w Polsce (gdyby dodać łańcuchy dostaw tych organizacji liczba ta w zrośnie do ponad 100 tysięcy), które wcześniej nie podlegały prawie żadnym regulacjom w zakresie bezpieczeństwa teleinformatycznego (lub wymogi te nie były faktycznie egzekwowane)  – od szpitali i podmiotów administracji publicznej przez producentów żywności, dostawców oprogramowania i firmy kurierskie czy logistyczne aż na przestrzeni kosmicznej kończąc.

Celem nowej dyrektywy jest zwiększenie bezpieczeństwa cyfrowego, w tym poprawa odporności i zdolności reagowania na incydenty, podmiotów publicznych i prywatnych, właściwych organów państwowych, jak i całej UE, a przy tym zapewnienie większego bezpieczeństwa odbiorcom świadczonych usług – czyli nam wszystkim – obywatelom UE. Dyrektywa NIS2 w odróżnieniu od poprzedniczki zrezygnowała z rozróżnienia zakresu obowiązków w zakresie cyberbezpieczeństwa w zależności od kategorii podmiotu. Zgodnie z NIS2 będą stosowane jednolite obowiązki do podmiotów kluczowych, jak i do podmiotów ważnych.

Dlatego pytanie o gotowość nie sprowadza się do zapewnienia jedynie zgodności organizacji z przepisami. Chodzi o zrozumienie, czy organizacja potrafi reagować, przewidywać i utrzymywać ciągłość działania w obliczu zakłóceń, bo w praktyce oznaczać to może, że słabość nawet jednego ogniwa w łańcuchu dostaw może stać się ryzykiem krytycznym dla niej, dotkliwym dla obywateli i systemowym dla państwa.

Od zgodności do odporności

Chyba wszyscy zgodzimy się, że pierwszym krokiem faktycznie jest uznanie, że „zgodność” to minimum i bez tego ogólnie rzecz ujmując – jesteśmy tam gdzie światło nie dochodzi, bo łamać będziemy przepisy prawa powszechnie obowiązującego. Jednak skuteczne, oczekiwane wdrożenie wymagań NIS2 powinno być potraktowane jako proces budowy odporności operacyjnej, czyli zdolności do funkcjonowania mimo incydentów, awarii czy ataków, proces który zapewni nam nie tylko bezpieczeństwo i ciągłość działania, ale proces pozwalający na zaoszczędzenie, a często poprzez zdobycie nowych rynków zarobienie – dużych pieniędzy.

To wymaga nie tylko technicznych zabezpieczeń, ale też odpowiedzialności na poziomie zarządu, spójnych procedur i rzeczywistego zaangażowania pracowników, stworzenia swoistej organizacyjnej kultury bezpieczeństwa. Zajmijmy się jednak najpierw samą zgodnością, czyli budową fundamentów pod nasze marzenia…

Checklista gotowości krok po kroku

Poniżej znajduje się checklistowa lista kroków, które możesz zastosować w organizacji jako punkt wyjścia do odpowiedzi na pytania jakie postawiliśmy sobie na początku tego tekstu

1. Zacznij od identyfikacji – czy Twoja organizacja w ogóle podlega pod NIS2? Ustal, czy jesteś uznany za podmiot kluczowy lub ważny. Warto też ocenić, czy Twoi kluczowi klienci nie znajdą się w tej grupie, bo ich obowiązki mogą pośrednio dotyczyć również Ciebie.
2. Zaadresuj odpowiedzialność – NIS2 jasno wskazuje, że odpowiedzialność za spełnienie wszystkich wymogów NIS2 ponosi najwyższe kierownictwo. To nie tylko formalność – członkowie zarządu muszą rozumieć ryzyka, jakie niesie ich działalność, i aktywnie nimi zarządzać. Zrozumienie tej odpowiedzialności bardzo często dostarcza osobom operacyjnym większe zasoby.
3. Zrozum swoje ryzyka – przeprowadź analizę ryzyka, która uwzględni nie tylko klasyczne zagrożenia informatyczne, ale też awarie fizyczne, błędy ludzkie i zależności naszych systemów i usług od dostawców. Pamiętaj, że zgodnie z NIS2 – skuteczne zarządzanie ryzykiem to proces ciągły, a nie coroczny raport.
4. Zmapuj, czym naprawdę zarządzasz – większość organizacji nie ma pełnej widoczności swoich zasobów. Wykaz systemów, usług, danych, urządzeń i specjalistycznych zasobów ludzkich to podstawa. Zarządzanie aktywami powinno być wsparte przez właściwe technologie: systemy CMDB, m.in. narzędzia do automatycznego wykrywania zasobów (on-premises, chmura, urządzenia IT/OT). Nie można obronić czegoś, czego się nie widzi.
5. Zadbaj o dostawców – nowością wynikającą z NIS2 jest silny nacisk na bezpieczeństwo w łańcuchu dostaw. Sprawdź, czy Twoi partnerzy handlowi mają wdrożone odpowiednie środki ochrony i czy w umowach znajdują się zapisy o prowadzeni audytów, eskalacji incydentów oraz współpracy przy ich obsłudze.
6. Reaguj, nie tylko wykrywaj – każdy plan reagowania na incydenty jest tyle wart, ile ostatni test, który przeszedł. Przeprowadzaj realistyczne ćwiczenia z udziałem działu IT, technicznego (np. automatyki ruchu), komunikacji, prawników i dostawców. Sprawdź, jak Twoja organizacja poradziłaby sobie, gdyby awarii uległ kluczowy system.
7. Zabezpiecz podstawy – monitoring bezpieczeństwa i wydajności, zasady dostępu użytkowników, aktualizacje oprogramowania, szyfrowanie danych i klasyfikacja informacji, kopie zapasowe i kontrola konfiguracji to fundamenty, o których łatwo zapomnieć. Wiele incydentów wynika nie z wyrafinowanych ataków, lecz z zaniedbań w prostych, podstawowych obszarach.
8. Buduj świadomość, nie strach – szkolenia z cyberbezpieczeństwa powinny uczyć rozumienia jego kontekstu, a nie tylko unikania kliknięcia w podejrzany link. Opracuj plany szkoleń dla poszczególnych grup pracowników. Zapraszaj pracowników do udziału w ćwiczeniach, organizuj krótkie symulacje i rozmowy o tym, jak wygląda incydent w praktyce.
9. Testuj ciągłość działania – plany awaryjne muszą być realistyczne. Sprawdź, czy Twoje zespoły potrafią przywrócić kluczowe usługi w określonym czasie i czy kopie zapasowe rzeczywiście da się odtworzyć.
10. Mierz i doskonal – zgodność z NIS2 to nie stan stały, lecz zmienny proces. Warto ustalić wskaźniki, które pozwolą monitorować postępy: czas reakcji na incydent, liczbę dostawców z przeprowadzonym audytem, liczbę przeszkolonych pracowników, procent systemów z aktualnymi poprawkami i wiele innych możliwych do efektywnego mierzenia.

Nowe spojrzenie: NIS2 jako katalizator zmiany kultury

Dyrektywa NIS2 jest często postrzegana jako zbiór obowiązków. Tak to szereg wymagań, lecz prosto możemy przełożyć to na realne życie. Odpowiedzmy sobie na proste pytania. Czy nie narzucono nam przepisów drogowych? Czy nie narzekamy na ograniczenie prędkości? Czy nie odstrasza nas taryfikator mandatów? Zapewne odpowiedź brzmi tak, ale spójrzmy na to z drugiej strony. Czy chcesz móc przejść bezpiecznie przez ulicę na zielonym świetle? W ogóle czy chcielibyśmy żyć w świecie bez takich przepisów. Jestem pewien, że jest tylko jedna rozsądna odpowiedź. Przepisy powstają, bo w cyberświecie spędzamy już zdecydowanie więcej czasu niż na ulicach. 

Dyrektywa NIS2 może stać się punktem zwrotnym, impulsem do stworzenia prawdziwej kultury bezpieczeństwa w organizacji. Nie chodzi mi tu o wdrożenie kolejnych procedur, lecz o zmianę sposobu myślenia: od przewidywania, poprzez prewencję do skutecznej reakcji.

Kilka „hintów” od „wdrożyciela”

Moje doświadczenie wskazuje, że najwięcej problemów nie wynika z braku zasobów czy umiejętności, lecz z braku struktury i zrozumienia problemu – trzeba krok po kroku, co sprawdzić, co musimy poprawić, kogo włączyć w proces i jak mierzyć postępy.

Często obserwuję, że organizacje mają problem ze zrównoważeniem działań w obszarze bezpieczeństwa. Jednym wydaje się, że im więcej technologii tym lepiej, innym, że segregator z dokumentacją i raz do roku odbyty na sztucznych danych przegląd zarządzania załatwia wszystko. By funkcjonować sprawnie i bezpiecznie. Należy połączyć te dwie wizje – np. przeprowadzać przeglądy na poziomie C, co miesiąc na podstawie informacji z właściwie wdrożonych i skonfigurowanych narzędzi bezpieczeństwa.

Zwykle ryzyko w organizacji szacowane jest raz w roku – w kontekście NIS2 trzeba myśleć o ciągłym kontrolowaniu ryzyka — np. co kwartał rewiduj czy zaszły kluczowe zmiany w architekturze, co pół roku wykonaj przegląd zmian w łańcuchu dostaw (np. sprawdzenie czy nie pojawił się nowy dostawca, lub czy jego usługa nie uległa zmianie tworząc nowe ryzyka). Stwórz harmonogram działań, prostych do zrobienia a niezwykle istotnych z punktu widzenia bezpieczeństwa.

Wiele organizacji traktuje dostawców dosłownie jako „outsourcing” i nie chce włączać ich jako integralną część organizacji z punktu widzenia bezpieczeństwa – warto to zmienić i zbudować „ekosystem dostawców zorientowany na bezpieczeństwo”. To powinno oznaczać m.in.: szkolenia lub wspólne ćwiczenia z obszaru zarządzania incydentem, wspólny plan reakcji, dzięki temu zyskujesz „personel”, które wesprze Cię w przypadku incydentu.

Inwentaryzacja aktywów to chyba najbardziej żmudna praca do wykonania, jednak ułatwi ona życie wszystkim interesariuszom a zwłaszcza Tobie. Użyj do tego technologii mapujących zależności aby mieć obraz aktywa i jego elementów powiązanych, a odkryjesz drzwi do Narni.

W kontekście NIS2 warto wykroczyć poza standardowe szkolenie (nie klikaj, uważaj) – zaplanuj np. dwa razy do roku małe ćwiczenia (mogą być tylko sztabowe) w grupach mieszanych (np. bezpieczeństwo + IT + biznes), np. scenariusz „szybkie przełączenie DC czy awaria energii elektrycznej – kto i gdzie dzwoni, kto podejmuje decyzję, jak raportujemy”. Dzięki temu kultura bezpieczeństwa w organizacji wchodzi na wyższy poziom a ludzie poznają siebie i swoje role w organizacji.

Podsumowując

Jeśli najwyższe kierownictwo potraktuje NIS2 jako szansę, organizacje zyskają nie tylko zgodność z przepisami, lecz także odporność operacyjną a co najważniejsze przewagę konkurencyjną i zaufanie klientów. Pozostaje mi powtórzyć w jednym zdaniu to wszystko o czym pisałem we wstępie, bez właściwego wdrożenia dyrektywy zostajesz w tyle, a zostając w tyle, wypadasz z gry. Bo ostatecznie NIS2 to nie tylko zgodność – to test dojrzałości całego ekosystemu cyfrowego Twojej firmy. A gotowość na wymogi NIS2 jest dziś miarą tego, jak bardzo jesteś gotowy na przyszłość.