Pytanie, które słyszę na niemal każdym pierwszym spotkaniu, brzmi tak: skoro mamy wdrażać NIS2, to czy ISO 27001 jest nam jeszcze do czegoś potrzebne? Albo odwrotnie: mamy certyfikat ISO, więc chyba NIS2 mamy z głowy? Obie odpowiedzi to nieporozumienie. To dwie różne rzeczy, które świetnie ze sobą współpracują.
Dwie różne natury
Najważniejsza różnica jest prawna, nie techniczna.
- NIS2 to dyrektywa unijna, czyli obowiązek. Jeśli Twoja firma jest podmiotem kluczowym lub ważnym, musisz ją stosować, a za brak zgodności grożą kary i osobista odpowiedzialność kierownictwa.
- ISO/IEC 27001 to norma dobrowolna. Nikt Cię nie zmusza do certyfikacji, ale rynek, przetargi i duzi kontrahenci coraz częściej jej oczekują.
Innymi słowy: NIS2 mówi, że masz zarządzać ryzykiem cyberbezpieczeństwa. ISO 27001 daje sprawdzoną metodę, jak to robić w sposób powtarzalny i audytowalny.
Gdzie się pokrywają
Dobra wiadomość dla firm, które już mają jedno z dwóch: obszary wspólne są spore. Jeśli działa u Ciebie System Zarządzania Bezpieczeństwem Informacji zgodny z ISO 27001, masz gotowy fundament pod większość wymagań NIS2.
Wspólne elementy to między innymi:
- systematyczna analiza ryzyka i postępowanie z ryzykiem,
- polityki bezpieczeństwa i podział odpowiedzialności,
- kontrola dostępu oraz uwierzytelnianie wieloskładnikowe,
- kopie zapasowe i ciągłość działania,
- obsługa incydentów,
- bezpieczeństwo łańcucha dostaw i dostawców.
Czego ISO nie załatwia za NIS2
Certyfikat ISO 27001 nie jest jednak automatycznym dowodem zgodności z dyrektywą. NIS2 nakłada kilka rzeczy, których norma wprost nie wymusza.
- Konkretne terminy zgłaszania incydentów do właściwego organu, w tym wczesne ostrzeżenie w ciągu 24 godzin.
- Osobistą odpowiedzialność i obowiązek szkolenia kierownictwa.
- Rejestrację podmiotu i komunikację z organem nadzoru.
Widziałem firmę z ważnym certyfikatem ISO, która i tak nie miała ustalonego, kto i w jakim czasie podejmuje decyzję o zgłoszeniu incydentu. Papier był, procesu decyzyjnego nie było. To dokładnie ta luka, którą NIS2 obnaża.
Co wdrożyć najpierw
Odpowiedź zależy od tego, gdzie jesteś dzisiaj, ale zasada jest jedna: zawsze zaczynamy od ryzyka, nie od dokumentów.
Jeśli nie masz ani jednego
Zacznij od analizy luk i analizy ryzyka. To wspólny mianownik obu światów. Na tej podstawie ustal priorytety: MFA, uprawnienia, kopie zapasowe odporne na ransomware, podstawowy monitoring. Dopiero potem decyduj, czy celujesz w formalny certyfikat, czy najpierw domykasz obowiązek NIS2.
Jeśli masz ISO 27001
Zrób mapowanie posiadanych zabezpieczeń na wymagania NIS2 i skup się na różnicach: procedura zgłaszania incydentów z terminami, szkolenia zarządu, rejestracja podmiotu. To zwykle kwestia tygodni, nie miesięcy.
Jeśli masz obowiązek NIS2 i chcesz to uporządkować na stałe
Rozważ budowę systemu w duchu ISO 27001, nawet bez natychmiastowej certyfikacji. Dostajesz strukturę, która utrzymuje zgodność w czasie, zamiast jednorazowego zrywu przed kontrolą.
Praktyczny plan minimum
Dla firmy MŚP, która chce ruszyć z miejsca, sensowna kolejność wygląda tak:
- Ustal, czy NIS2 Cię dotyczy, i udokumentuj to.
- Przeprowadź analizę ryzyka i analizę luk.
- Wdróż zabezpieczenia od największego ryzyka.
- Opisz procedury, których faktycznie da się użyć w kryzysie.
- Zdecyduj o certyfikacji ISO 27001 jako sposobie utrzymania porządku.
Taka kolejność sprawia, że pieniądze idą najpierw na realne obniżenie ryzyka, a formalności są tego naturalnym efektem, a nie celem samym w sobie.
Podsumowanie
NIS2 mówi, że masz zarządzać bezpieczeństwem informacji. ISO 27001 pokazuje, jak to robić dojrzale i powtarzalnie. Nie wybieraj między nimi, potraktuj je jak dwie strony tej samej monety. Obowiązek nadaje kierunek, standard nadaje metodę.
Jeśli chcesz sprawdzić, ile z NIS2 już masz dzięki dotychczasowym praktykom i co realnie zostało do zrobienia, zajrzyj do naszych usług wdrożenia NIS2 oraz wdrożenia ISO 27001. Zaczynamy od analizy luk, żeby nie płacić dwa razy za to samo.