Na początku naszych rozmów o tym, jak przygotować firmę na nowe wymogi NIS2, bardzo często słyszymy odpowiedź – to temat prawny, już szukamy kancelarii, która nam pomoże „to ogarnąć”.
Skoro nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa to zmiana prawa, to jest to temat dla prawników. Ale czy wyłącznie?
NIS2, czyli Network and Information Security 2, to unijna dyrektywa, która nakłada na państwa członkowskie Unii Europejskiej obowiązek wprowadzenia przepisów zmierzających do zwiększenia poziomu cyberbezpieczeństwa najważniejszych podmiotów dla państw UE. To zarówno spółki państwowe, jak i publiczne, działające w różnych branżach.
Polska wprowadza postanowienia dyrektywy NIS2 poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa, w skrócie KSC. Nowe prawo ma zacząć obowiązywać pod koniec 2024 roku i ma objąć swoim zasięgiem ponad 10 000 polskich spółek.
Wracając jednak do sedna – czy nowe prawo sprowadza się więc tylko do dokumentów, regulaminów i kwestii prawnych? Czy wymogi NIS2 można zrealizować bez specjalistycznej wiedzy z zakresu cyberbezpieczeństwa?
Otóż nie. Nowe prawo nakłada m.in. obowiązek wdrożenia tak zwanego SZBI, czyli Systemu Zarządzania Bezpieczeństwem Informacji. Jest to kompleksowa informacja o obiegu informacji w spółce, system procedur zapewniających bezpieczeństwo tych informacji, ale również zwiększających bezpieczeństwo systemów informatycznych wykorzystywanych do świadczenia usług. Samo SZBI ma również za zadanie zwiększać pewność ciągłości działania operacyjnego w przypadku incydentu cyberbezpieczeństwa oraz minimalizować jego negatywne skutki. Najlepiej, żeby SZBI było stworzone zgodnie z normami ISO 27001 (czyli normą w zakresie standaryzacji systemów zarządzania bezpieczeństwem informacji).
Liczne procedury należy uporządkować, dopracować lub stworzyć od zera tak, aby realnie zwiększały poziom cyberbezpieczeństwa w spółkach.
Ponadto, należy skompletować niezbędną dokumentację w zakresie cyberbezpieczeństwa, zbadać poziom bezpieczeństwa systemów IT, wdrożyć monitorowanie zdarzeń w sieci i obsługę incydentów (tak zwane usługi zarządzane), przeszkolić pracowników z bezpieczeństwa pracy z danymi, wdrożyć polityki informacyjne dla klientów i wiele innych.
Na większości etapów potrzebna jest wiedza ekspercka w zakresie cyberbezpieczeństwa, aby wiedzieć po co dane elementy systemu bezpieczeństwa są tworzone, czy są tworzone i wdrażane skutecznie i czy gwarantują ich efektywne działanie.
I teraz chyba można odpowiedzieć na pytanie zadane w tytule tego wpisu. Otóż wprowadzane zmiany wynikają z nowego prawa, ale zmiany dotyczą zakresu cyberbezpieczeństwa i wymagają odpowiedniej wiedzy, kwalifikacji i doświadczenia. Wdrożenie wymogów nowego prawa jak najbardziej powinno odbywać się przy udziale zespołu prawnego spółek, jak również przy udziale kluczowych osób większości z obszarów spółek, ale przy wsparciu wykwalifikowanych ekspertów w zakresie cyberbezpieczeństwa.
Nowe prawo ma wejść już wkrótce, czyli jeszcze w 2024 roku. Wdrożenie NIS2 nie trwa tydzień, to dość skomplikowany proces. Dlatego, jeśli Twoja firma będzie nim objęta to JUŻ TERAZ należy rozpocząć prace nad przygotowaniem organizacji do nowych przepisów.
Hollow Point Cybersecurity to doświadczeni specjaliści, którzy pomogą Państwu przygotować się do nowych przepisów. Czasu jest niewiele, a firm objętych nowym prawem mnóstwo. Nie czekaj, zarezerwuj nasz czas już teraz.
Więcej na temat NIS2: https://hollow-point.net/nis2/
