5 Kroków do Zgodności z NIS2: Praktyczny Przewodnik dla Organizacji z UE

Przed inwestycją w działania na rzecz zgodności potwierdź, czy Twoja organizacja rzeczywiście podlega zakresowi stosowania NIS2. Dyrektywa wyróżnia dwie kategorie podmiotów objętych przepisami:

Progi wielkości: NIS2 stosuje się do organizacji zatrudniających co najmniej 50 pracowników LUB osiągających roczny obrót co najmniej 10 mln EUR, działających w sektorach objętych dyrektywą. Mniejsze organizacje mogą również zostać objęte, jeśli są jedynym dostawcą usługi krytycznej lub jeśli dane państwo członkowskie rozszerzy zakres stosowania.

Sektory objęte dyrektywą obejmują: energetykę, transport, bankowość, rynki finansowe, ochronę zdrowia, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną, przestrzeń kosmiczną, usługi pocztowe, gospodarkę odpadami, chemikalia, produkcję żywności, wytwórstwo, dostawców cyfrowych oraz organizacje badawcze.

Działanie: Udokumentuj swoje ustalenia na piśmie — w tym kategoria sektora, która ma zastosowanie, oraz krajowe przepisy implementacyjne, którym podlegasz.

Po potwierdzeniu zakresu stosowania porównaj swój aktualny poziom bezpieczeństwa z wymogami art. 21 NIS2. To serce dyrektywy — nakazuje stosowanie „odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych".

Środki przewidziane w art. 21 obejmują:

• Analizę ryzyka i polityki bezpieczeństwa systemów informatycznych
• Obsługę incydentów (wykrywanie, reagowanie, odtwarzanie)
• Ciągłość działania i odtwarzanie po awarii
• Bezpieczeństwo łańcucha dostaw
• Bezpieczeństwo w zakresie nabywania i rozwijania sieci i systemów informatycznych
• Polityki i procedury oceny skuteczności środków
• Praktyki higieny cybernetycznej i szkolenia z zakresu cyberbezpieczeństwa
• Kryptografię i szyfrowanie
• Bezpieczeństwo zasobów ludzkich, kontrolę dostępu i zarządzanie aktywami
• Uwierzytelnianie wieloskładnikowe i bezpieczne systemy komunikacji

Dla każdego obszaru udokumentuj stan bieżący, zidentyfikuj luki i przypisz priorytety ryzyka. Jeśli Twoja organizacja posiada certyfikat ISO 27001, możesz bezpośrednio zmapować istniejące kontrole SZBI — należy spodziewać się, że 75–80% wymogów jest już spełnionych.

Uzupełnij luki zidentyfikowane w Kroku 2, priorytetyzując je według ryzyka. Do typowych obszarów wymagających inwestycji należą:

• Procedury reagowania na incydenty z terminami raportowania właściwymi dla NIS2 — wczesne ostrzeżenie w ciągu 24 godzin i powiadomienie w ciągu 72 godzin do NCA muszą być wdrożone operacyjnie, a nie tylko udokumentowane
• Uwierzytelnianie wieloskładnikowe (MFA) — wdrożenie na wszystkich kontach uprzywilejowanych, dostępach zdalnych i systemach krytycznych
• Program bezpieczeństwa łańcucha dostaw — ocena i dokumentowanie praktyk bezpieczeństwa kluczowych dostawców, w tym wymogów bezpieczeństwa w umowach
• Szkolenia i świadomość kadry zarządzającej — NIS2 wyraźnie wymaga, aby organy zarządzające uczestniczyły w szkoleniach; dokumentuj frekwencję i treść
• Ujawnianie podatności i zarządzanie poprawkami — formalne procedury śledzenia i usuwania podatności w określonych ramach czasowych
• Testowanie ciągłości działania — plany muszą być testowane, nie tylko opracowywane; dokumentuj wyniki ćwiczeń

Priorytetyzuj kontrole mające zarówno wysokie znaczenie regulacyjne, jak i wysoką wartość redukcji ryzyka. Nie próbuj wdrażać wszystkiego jednocześnie — podejście oparte na ryzyku jest zarówno zgodne z NIS2, jak i praktycznie uzasadnione.

Większość państw członkowskich UE wymaga od podmiotów objętych dyrektywą formalnej rejestracji w Krajowym Organie Właściwym (NCA). Jest to obowiązek prawny odrębny od wszelkich technicznych działań na rzecz zgodności — i często pomijany przez organizacje koncentrujące się wyłącznie na wdrażaniu kontroli.

Wymagania rejestracyjne różnią się w zależności od państwa członkowskiego, ale zazwyczaj obejmują:

• Nazwę organizacji, status prawny i klasyfikację sektorową
• Listę zakresów adresów IP i nazw domen
• Dane kontaktowe do zgłaszania incydentów bezpieczeństwa
• Wskazanie osób zarządzających odpowiedzialnych za zgodność z NIS2

Sprawdź wymagania dla każdego państwa członkowskiego UE, w którym działa Twoja organizacja. Niektóre państwa członkowskie zintegrowały rejestrację NIS2 z istniejącymi ramami sektorowymi; inne stworzyły nowe portale rejestracji online.

Zgodność z NIS2 nie jest jednorazowym projektem. Oczekiwania regulacyjne wymagają, aby objęte podmioty stale zarządzały ryzykiem cyberbezpieczeństwa i aktualizowały swoje środki. Do kluczowych działań bieżących należą:

• Roczne przeglądy wewnętrzne — ponowna ocena krajobrazu ryzyka, aktualizacja rejestru ryzyk i weryfikacja skuteczności kontroli
• Raportowanie incydentów — utrzymanie zdolności raportowania w ciągu 24h/72h oraz przeprowadzanie przeglądów po incydentach po każdym istotnym zdarzeniu
• Szkolenia kadry zarządzającej — coroczne odświeżanie świadomości zarządu; dokumentowanie uczestnictwa
• Ponowna ocena dostawców — przegląd kluczowych dostawców co najmniej raz w roku, szczególnie po incydentach bezpieczeństwa w łańcuchu dostaw
• Testowanie ciągłości działania — przeprowadzanie ćwiczeń co najmniej raz w roku; dokumentowanie i wdrażanie wniosków
• Skanowanie podatności i stosowanie poprawek — utrzymanie regularnego rytmu; dokumentowanie terminów usuwania podatności

Wbuduj działania związane ze zgodnością z NIS2 w regularny kalendarz operacyjny organizacji — nie jako odrębny strumień pracy, lecz jako element normalnego zarządzania bezpieczeństwem. Przypisz odpowiedzialność, ustal terminy przeglądów i monitoruj realizację.