Dyrektywa NIS2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na znacznie więcej firm niż jej poprzedniczka. Dla wielu organizacji oznacza to pierwszy raz, gdy zarząd odpowiada osobiście za bezpieczeństwo informacji. Poniżej praktyczna ścieżka, którą przechodzimy z klientami.
Krok 1: ustal, czy NIS2 Cię dotyczy
Zanim wydasz złotówkę, sprawdź, czy jesteś podmiotem kluczowym lub ważnym. Zależy to od sektora oraz wielkości organizacji, mierzonej zatrudnieniem i obrotem.
- Wypisz sektory, w których działa firma, i porównaj je z załącznikami dyrektywy.
- Sprawdź progi wielkości. Część firm łapie się na NIS2 mimo małego działu IT.
- Uwzględnij łańcuch dostaw. Duzi klienci potrafią wymagać zgodności umownie, nawet jeśli formalnie nie musisz.
W praktyce najwięcej nieporozumień bierze się z założenia, że NIS2 dotyczy tylko wielkich firm. To błąd, który kończy się spóźnionym startem.
Krok 2: przeprowadź analizę luk
Kiedy wiesz już, że dyrektywa Cię obejmuje, zrób uczciwe zdjęcie stanu obecnego. Porównaj to, co masz, z wymaganiami NIS2.
Co sprawdzić
- Zarządzanie ryzykiem: czy w ogóle istnieje i czy jest udokumentowane.
- Kontrola dostępu, uwierzytelnianie wieloskładnikowe i zarządzanie tożsamością.
- Kopie zapasowe i zdolność do odtworzenia po awarii.
- Obsługa i zgłaszanie incydentów.
- Bezpieczeństwo łańcucha dostaw i dostawców IT.
Efektem tego kroku jest lista luk uszeregowana według ryzyka, a nie według tego, co najłatwiej kupić.
Krok 3: wdrażaj środki od największego ryzyka
Nie próbuj robić wszystkiego naraz. Zacznij od obszarów, które najbardziej obniżają ryzyko przy rozsądnym koszcie.
- Uruchom MFA i uporządkuj uprawnienia. To tania zmiana o dużym efekcie.
- Zadbaj o kopie zapasowe odporne na ransomware i przetestuj odtwarzanie.
- Wdróż ochronę urządzeń klasy EDR oraz podstawowy monitoring.
Dopiero mając fundament, przechodź do bardziej zaawansowanych środków. Zgodność, która nie podnosi realnego bezpieczeństwa, jest stratą pieniędzy.
Krok 4: opisz procedury, których da się używać
NIS2 wymaga procedur, ale sens mają tylko te stosowane w praktyce. Skup się na dokumentach, które ktoś naprawdę otworzy w kryzysie.
- Procedura zarządzania ryzykiem i przeglądów.
- Plan ciągłości działania i odtwarzania.
- Procedura obsługi i zgłaszania incydentów, z terminami.
Krok 5: przygotuj się na zgłaszanie incydentów
To jeden z twardszych wymogów. Firma musi umieć wykryć incydent, ocenić go i zgłosić w wyznaczonym czasie.
- Ustal, kto podejmuje decyzję o zgłoszeniu i na jakiej podstawie.
- Zapewnij zdolność do zebrania faktów: logi, zakres, dane.
- Przećwicz scenariusz, zanim wydarzy się naprawdę.
Krok 6: utrzymuj zgodność w czasie
NIS2 to proces, nie projekt z datą końcową. Zaplanuj przeglądy, aktualizacje procedur i szkolenia zespołu, w tym kierownictwa, którego dyrektywa dotyczy wprost.
Jeśli chcesz przejść tę ścieżkę z kimś, kto robił to wielokrotnie, sprawdź naszą usługę wdrożenia NIS2. Zaczynamy od analizy luk, a nie od faktury za oprogramowanie.