Pytanie, które słyszę na niemal każdym pierwszym spotkaniu, brzmi tak: skoro mamy wdrażać NIS2, to czy ISO 27001 jest nam jeszcze do czegoś potrzebne? Albo odwrotnie: mamy certyfikat ISO, więc chyba NIS2 mamy z głowy? Obie odpowiedzi to nieporozumienie. To dwie różne rzeczy, które świetnie ze sobą współpracują.

Dwie różne natury

Najważniejsza różnica jest prawna, nie techniczna.

  • NIS2 to dyrektywa unijna, czyli obowiązek. Jeśli Twoja firma jest podmiotem kluczowym lub ważnym, musisz ją stosować, a za brak zgodności grożą kary i osobista odpowiedzialność kierownictwa.
  • ISO/IEC 27001 to norma dobrowolna. Nikt Cię nie zmusza do certyfikacji, ale rynek, przetargi i duzi kontrahenci coraz częściej jej oczekują.

Innymi słowy: NIS2 mówi, że masz zarządzać ryzykiem cyberbezpieczeństwa. ISO 27001 daje sprawdzoną metodę, jak to robić w sposób powtarzalny i audytowalny.

Gdzie się pokrywają

Dobra wiadomość dla firm, które już mają jedno z dwóch: obszary wspólne są spore. Jeśli działa u Ciebie System Zarządzania Bezpieczeństwem Informacji zgodny z ISO 27001, masz gotowy fundament pod większość wymagań NIS2.

Wspólne elementy to między innymi:

  • systematyczna analiza ryzyka i postępowanie z ryzykiem,
  • polityki bezpieczeństwa i podział odpowiedzialności,
  • kontrola dostępu oraz uwierzytelnianie wieloskładnikowe,
  • kopie zapasowe i ciągłość działania,
  • obsługa incydentów,
  • bezpieczeństwo łańcucha dostaw i dostawców.

Czego ISO nie załatwia za NIS2

Certyfikat ISO 27001 nie jest jednak automatycznym dowodem zgodności z dyrektywą. NIS2 nakłada kilka rzeczy, których norma wprost nie wymusza.

  • Konkretne terminy zgłaszania incydentów do właściwego organu, w tym wczesne ostrzeżenie w ciągu 24 godzin.
  • Osobistą odpowiedzialność i obowiązek szkolenia kierownictwa.
  • Rejestrację podmiotu i komunikację z organem nadzoru.

Widziałem firmę z ważnym certyfikatem ISO, która i tak nie miała ustalonego, kto i w jakim czasie podejmuje decyzję o zgłoszeniu incydentu. Papier był, procesu decyzyjnego nie było. To dokładnie ta luka, którą NIS2 obnaża.

Co wdrożyć najpierw

Odpowiedź zależy od tego, gdzie jesteś dzisiaj, ale zasada jest jedna: zawsze zaczynamy od ryzyka, nie od dokumentów.

Jeśli nie masz ani jednego

Zacznij od analizy luk i analizy ryzyka. To wspólny mianownik obu światów. Na tej podstawie ustal priorytety: MFA, uprawnienia, kopie zapasowe odporne na ransomware, podstawowy monitoring. Dopiero potem decyduj, czy celujesz w formalny certyfikat, czy najpierw domykasz obowiązek NIS2.

Jeśli masz ISO 27001

Zrób mapowanie posiadanych zabezpieczeń na wymagania NIS2 i skup się na różnicach: procedura zgłaszania incydentów z terminami, szkolenia zarządu, rejestracja podmiotu. To zwykle kwestia tygodni, nie miesięcy.

Jeśli masz obowiązek NIS2 i chcesz to uporządkować na stałe

Rozważ budowę systemu w duchu ISO 27001, nawet bez natychmiastowej certyfikacji. Dostajesz strukturę, która utrzymuje zgodność w czasie, zamiast jednorazowego zrywu przed kontrolą.

Praktyczny plan minimum

Dla firmy MŚP, która chce ruszyć z miejsca, sensowna kolejność wygląda tak:

  1. Ustal, czy NIS2 Cię dotyczy, i udokumentuj to.
  2. Przeprowadź analizę ryzyka i analizę luk.
  3. Wdróż zabezpieczenia od największego ryzyka.
  4. Opisz procedury, których faktycznie da się użyć w kryzysie.
  5. Zdecyduj o certyfikacji ISO 27001 jako sposobie utrzymania porządku.

Taka kolejność sprawia, że pieniądze idą najpierw na realne obniżenie ryzyka, a formalności są tego naturalnym efektem, a nie celem samym w sobie.

Podsumowanie

NIS2 mówi, że masz zarządzać bezpieczeństwem informacji. ISO 27001 pokazuje, jak to robić dojrzale i powtarzalnie. Nie wybieraj między nimi, potraktuj je jak dwie strony tej samej monety. Obowiązek nadaje kierunek, standard nadaje metodę.

Jeśli chcesz sprawdzić, ile z NIS2 już masz dzięki dotychczasowym praktykom i co realnie zostało do zrobienia, zajrzyj do naszych usług wdrożenia NIS2 oraz wdrożenia ISO 27001. Zaczynamy od analizy luk, żeby nie płacić dwa razy za to samo.