Dyrektywa NIS2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na znacznie więcej firm niż jej poprzedniczka. Dla wielu organizacji oznacza to pierwszy raz, gdy zarząd odpowiada osobiście za bezpieczeństwo informacji. Poniżej praktyczna ścieżka, którą przechodzimy z klientami.

Krok 1: ustal, czy NIS2 Cię dotyczy

Zanim wydasz złotówkę, sprawdź, czy jesteś podmiotem kluczowym lub ważnym. Zależy to od sektora oraz wielkości organizacji, mierzonej zatrudnieniem i obrotem.

  • Wypisz sektory, w których działa firma, i porównaj je z załącznikami dyrektywy.
  • Sprawdź progi wielkości. Część firm łapie się na NIS2 mimo małego działu IT.
  • Uwzględnij łańcuch dostaw. Duzi klienci potrafią wymagać zgodności umownie, nawet jeśli formalnie nie musisz.

W praktyce najwięcej nieporozumień bierze się z założenia, że NIS2 dotyczy tylko wielkich firm. To błąd, który kończy się spóźnionym startem.

Krok 2: przeprowadź analizę luk

Kiedy wiesz już, że dyrektywa Cię obejmuje, zrób uczciwe zdjęcie stanu obecnego. Porównaj to, co masz, z wymaganiami NIS2.

Co sprawdzić

  • Zarządzanie ryzykiem: czy w ogóle istnieje i czy jest udokumentowane.
  • Kontrola dostępu, uwierzytelnianie wieloskładnikowe i zarządzanie tożsamością.
  • Kopie zapasowe i zdolność do odtworzenia po awarii.
  • Obsługa i zgłaszanie incydentów.
  • Bezpieczeństwo łańcucha dostaw i dostawców IT.

Efektem tego kroku jest lista luk uszeregowana według ryzyka, a nie według tego, co najłatwiej kupić.

Krok 3: wdrażaj środki od największego ryzyka

Nie próbuj robić wszystkiego naraz. Zacznij od obszarów, które najbardziej obniżają ryzyko przy rozsądnym koszcie.

  • Uruchom MFA i uporządkuj uprawnienia. To tania zmiana o dużym efekcie.
  • Zadbaj o kopie zapasowe odporne na ransomware i przetestuj odtwarzanie.
  • Wdróż ochronę urządzeń klasy EDR oraz podstawowy monitoring.

Dopiero mając fundament, przechodź do bardziej zaawansowanych środków. Zgodność, która nie podnosi realnego bezpieczeństwa, jest stratą pieniędzy.

Krok 4: opisz procedury, których da się używać

NIS2 wymaga procedur, ale sens mają tylko te stosowane w praktyce. Skup się na dokumentach, które ktoś naprawdę otworzy w kryzysie.

  • Procedura zarządzania ryzykiem i przeglądów.
  • Plan ciągłości działania i odtwarzania.
  • Procedura obsługi i zgłaszania incydentów, z terminami.

Krok 5: przygotuj się na zgłaszanie incydentów

To jeden z twardszych wymogów. Firma musi umieć wykryć incydent, ocenić go i zgłosić w wyznaczonym czasie.

  • Ustal, kto podejmuje decyzję o zgłoszeniu i na jakiej podstawie.
  • Zapewnij zdolność do zebrania faktów: logi, zakres, dane.
  • Przećwicz scenariusz, zanim wydarzy się naprawdę.

Krok 6: utrzymuj zgodność w czasie

NIS2 to proces, nie projekt z datą końcową. Zaplanuj przeglądy, aktualizacje procedur i szkolenia zespołu, w tym kierownictwa, którego dyrektywa dotyczy wprost.

Jeśli chcesz przejść tę ścieżkę z kimś, kto robił to wielokrotnie, sprawdź naszą usługę wdrożenia NIS2. Zaczynamy od analizy luk, a nie od faktury za oprogramowanie.