Ostatnio coraz częściej słyszę pytania „od czego w ogóle powinniśmy zacząć temat NIS2?”, dlatego postanowiłem zebrać wszystkie informacje publikowane dotychczas w postaci postów oraz ułożyć z nich wstępny plan działania w postaci checklisty złożonej z 5 kroków i ubranej w konkretne terminy:
🔸 SAMOIDENTYFIKACJA
🔸 REJESTRACJA W SYSTEMIE S46 / ZŁOŻENIE WNIOSKU O WPIS DO WYKAZU
🔸 WDROŻENIE SZBI
🔸 ZGŁASZANIE INCYDENTÓW I CIĄGŁE DOSKONALENIE
🔸 AUDYT ZGODNOŚCI
No to lecimy 😊
🟣 KROK 1: SAMOIDENTYFIKACJA
Termin: 6 miesięcy od wejścia w życie ustawy
To bardzo istotna zmiana, którą wprowadza nowelizacja ustawy, ponieważ teraz sprawdzenie czy podlegasz pod zapisy ustawy to Twoja odpowiedzialność, Drogi Kliencie.
🔸 Ustal, do którego sektora należysz;
🔸 Zweryfikuj wielkość organizacji;
- ≥ 50 pracowników?
- ≥ 10 mln EUR rocznego obrotu?
🔸 Złóż wniosek o wpis do wykazu podmiotów kluczowych i ważnych (to w kroku 2);
Pierwotny post na temat procesu samoidentyfikacji znajdziesz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7432705720879505408
Pierwotny post na temat sektorów kluczowych i ważnych (wraz z informacją co w przypadku, gdy należymy do sektora z listy, ale nie mamy ≥ 50 pracowników czy 10 mln EUR rocznego obrotu) znajdziesz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7429079670232522752
🟣 KROK 2: REJESTRACJA W SYSTEMIE S46 / ZŁOŻENIE WNIOSKU O WPIS DO WYKAZU
Termin: 6 miesięcy od wejścia w życie ustawy
Tak naprawdę dopiero tutaj termin 6 miesięcy od wejścia w życie ustawy jest wiążący. Weryfikacja będzie się odbywać poprzez porównanie daty wejścia w życie ustawy (03.04.2026) z datą wpisu w wykazie (a na to mamy 6 miesięcy, więc brak wpisu do 03.10.2026 będzie oznaczał naruszenie).
Proces ten jest relatywnie łatwy i przejrzyście opisany na stronie rządowej:
🔸 Tworzenie konta w S46: https://www.gov.pl/web/system-s46/logowanie-i-rejestracja-konta
🔸 Wpis do wykazu KSC: https://www.gov.pl/web/system-s46/wpis-do-wykazu-ksc
Pierwotny post na temat systemu S46, czym jest, jakie zadania realizuje oraz jakie instytucje wchodzą w jego skład znajdziesz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7435644131185508352
🟣 KROK 3: WDROŻENIE SZBI
Termin: 12 miesięcy od wejścia w życie ustawy
Czyli tutaj de facto jest czas do 02.04.2027.
SZBI, czyli System Zarządzania Bezpieczeństwem Informacji stanowi zbiór zasad, procedur, narzędzi oraz mechanizmów organizacyjnych. Ma na celu ochronę informacji przed nieuprawnionym dostępem, modyfikacją czy utratą i powinien zawierać takie elementy:
🔸 Polityki bezpieczeństwa (zasady nadrzędne);
🔸 Procedury oraz instrukcje (np. obsługa procesu wdrożenia nowego pracownika);
🔸 Analiza ryzyka (identyfikacja zagrożeń, plan postępowania);
🔸 Zabezpieczenia (posiadane środki techniczne i organizacyjne);
Oraz być realizowany w oparciu o cykl PDCA (Plan-Do-Check-Act), tj:
🔸 Planowanie (ang. Plan) – to tak naprawdę fundamenty (uzyskanie wsparcia kierownictwa, określenie zakresu, inwentaryzacja aktywów, analiza ryzyka, opracowanie dokumentacji);
🔸 Wdrażanie (ang. Do) – wprowadzenie planów w życie (implementacja zabezpieczeń technicznych i organizacyjnych, szkolenia pracowników, ustanowienie procesów);
🔸 Sprawdzenie (ang. Check) – dopiero na tym etapie robimy audyt wewnętrzny (weryfikacja działania procedur, przegląd zarządczy);
🔸 Działanie (ang. Act) – ciągłe doskonalenie procesu (działania korygujące, utrzymanie aktualności i skuteczności systemu). Tu de facto powinniśmy zapętlić proces, bo to właśnie ciągłe powtarzanie cyklu PDCA jest ciągłym doskonaleniem SZBI.
Więcej na temat SZBI pisaliśmy już w mini-artykule, który znajdziesz tutaj: https://www.linkedin.com/pulse/czym-tak-naprawd%C4%99-jest-szbi-i-jak-si%C4%99-do-tego-zabra%C4%87-jisgf/?trackingId=2QE99pvpTOWZLeGLOMjvPw%3D%3D
🟣 KROK 4: ZGŁASZANIE INCYDENTÓW I CIĄGŁE DOSKONALENIE
Termin: brak terminu, proces ciągły
Kiedy „odhaczymy” już temat dostępu do S46 oraz wpisu do wykazu KSC oraz zbudujemy SZBI, będzie to oznaczało, że jesteśmy już w dobrym miejscu, bo:
🔸 Mamy już dostęp do narzędzia, które umożliwia nam zgłaszanie incydentów czy komunikację z wybranymi CSIRT.
Zgłaszanie incydentów z kolei powinno wyglądać następująco:
- Wczesne ostrzeganie (24h) – wstępna ocena incydentu i zgłoszenie do właściwego CSIRT sektorowego;
- Zgłoszenie incydentu (72h) – szczegółowe zgłoszenie do właściwego CSIRT sektorowego, ocena, wpływ, wskaźniki kompromitacji;
- Raport tymczasowy (na żądanie właściwego CSIRT sektorowego) – sprawozdanie okresowe z obsługi incydentu, status działań naprawczych, współdziałanie z CSIRT;
- Raport końcowy z dowodami (1 miesiąc) – sprawozdanie końcowe zawierające przyczynę, skutki, podjęte działania, informację o usunięciu podatności (wszystko obudowane dowodami);
Tu aż prosi się by zadać pytanie jakiego systemu/rozwiązania najlepiej użyć, by sprawnie wykryć incydent, wyeliminować zagrożenie i stworzyć rzetelny raport końcowy. Ten temat będziemy jeszcze poruszać w innym materiale, w którym będziemy mapować konkretne artykuły ustawy na konkretne działania i rozwiązania informatyczne.
🔸 Mamy „bazę” w postaci SZBI, na którym możemy realnie pracować i ciągle udoskonalać zgodnie z zasadą treningu.
Najlepiej w tym miejscu zbudować świadomość i podejście, iż każda procedura powinna odnosić się do konkretnego procesu w organizacji oraz jeśli to możliwe, powinna być maksymalnie zautomatyzowana i wspierana narzędziami informatycznymi.
Wśród procedur kluczowymi kwestiami będą np. plan ciągłości działania (BCP – ang. Business Continuity Plan) czy bezpieczeństwo łańcucha dostaw (ang. Supply Chain).
Na ciągłość działania organizacji przekłada się zapewnienie dostępności kluczowych usług w przypadku awarii lub incydentu bezpieczeństwa. Chcąc przełożyć to na rozwiązania informatyczne, powinniśmy pochylić się m.in. nad takimi kwestiami jak zasilanie awaryjne, redundancja zasilania, wysoka dostępność (HA) czy backup i disaster recovery.
Więcej na temat ciągłości działania w kontekście NIS2 znajdziesz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7437799688642289664
Łańcuch dostaw z kolei możemy przedstawić jako system procesów obejmujący wszystkie czynności związane z towarem (produkcja, przeróbki, magazynowanie, transport, dystrybucja), a prościej: jako zbiór procesów, które mają miejsce od momentu złożenia zamówienia na towar (lub zasoby niezbędne do jego produkcji) do momentu dostarczenia gotowego produktu do odbiorcy końcowego.
Przekłada się to na kilka obowiązków:
- Identyfikacja i ocena ryzyka dostawców;
- Ustalenia zasad współpracy pod kątem cybersec;
- Monitorowanie i audyty;
- Dokumentowanie działań;
- Szacowanie ryzyka / zarządzanie ryzykiem.
Powyższe kroki opisywaliśmy troszkę szerzej w poście nt. zabezpieczenia łańcucha dostaw, który znajdziesz tu: https://www.linkedin.com/feed/update/urn:li:activity:7443238451577098241
🟣 KROK 5: AUDYT ZGODNOŚCI
Termin: 24 miesiące od kwalifikacji (następne co 2 lata)
Daj łapkę w górę lub napisz komentarz, jeśli właśnie zadałeś sobie pytanie „a czym jest ta cała kwalifikacja”? 😊
Kwalifikacja = moment, w którym formalnie stajesz się podmiotem kluczowym lub ważnym, czyli de facto data wpisu do wykazu KSC.
Także audyt zgodności stanowi poniekąd zakończenie cyklu wdrożeniowego, a jego celem jest m.in. sprawdzenie czy Twoja organizacja:
🔸 posiada skuteczne mechanizmy zarządzania bezpieczeństwem oraz ryzykiem;
🔸 posiada procedurę szybkiego reagowania w przypadku zagrożeń/incydentów;
🔸 posiada procedurę utrzymania ciągłości działania i bezpieczeństwa łańcucha dostaw;
🔸 posiada procedurę odtwarzania po awarii;
🔸 przeprowadza regularne testy bezpieczeństwa (w tym penetracyjne);
🔸 gromadzi, zabezpiecza i analizuje logi;
Kto przeprowadza audyt?
Podmiot zewnętrzny wybrany przez Twoją organizację, który musi być niezależny (czyli nie może być częścią organizacji czy tym samym podmiotem, który wdrażał rozwiązania).
Jakie musi mieć kompetencje?
Wiedza z zakresu cyberbezpieczeństwa, zarządzania ryzykiem, systemów bezpieczeństwa (np. ISO 27001). W praktyce oznacza to firmy audytorskie, firmy compliance czy wyspecjalizowane podmioty cybersec.
Jak ma być zrobiony audyt oraz do ma być jego efektem?
Zgodnie ze sztuką, tj. musi opierać się o standardy (np. ISO 27001 czy ISO 19011), wymagania UKSC/NIS2 oraz udokumentowane przez Ciebie procedury.
Efektem zaś jest raport, który powinien zawierać zakres, wyniki, niezgodności oraz rekomendacje.
Jak przygotować się do audytu zgodności więcej przeczytasz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7440715559446654976
Co dalej z takim raportem?
Nie musisz go nigdzie wysyłać, ani nikomu udostępniać, zostaje w organizacji. Jest on po prostu dowodem zgodności, który wyciągasz dopiero w przypadku kontroli. Państwo działa tutaj w modelu „zrób audyt i miej dowód, bo możemy zapukać i sprawdzić”.
Tutaj warto jeszcze zaznaczyć, że raport musi być spójny z rzeczywistością, mieć sens merytoryczny oraz po prostu musi dać się „obronić”, dlatego do wyboru firmy audytorskiej warto podejść rzetelnie zamiast wybierać na wstępie tę najtańszą.
Czy audyt dotyczy wszystkich podmiotów z wykazu KSC?
Formalnie nie. W świetle ustawy, obowiązkowy, cykliczny audyt dotyczy tylko podmiotów kluczowych, a podmioty ważne nie mają takiego obowiązku „za automatu”.
Nie oznacza to jednak, że podmioty ważne są całkowicie „zwolnione z audytu”, ponieważ mogą zostać zobowiązane do audytu w określonych sytuacjach (np. kontrola organu nadzorczego, wystąpienie incydentu, podejrzenie braku zgodności). Także formalnie obowiązku nie ma, ale w mojej opinii jest to gra va banque, bo w momencie kontroli nie ma dowodów, raportu, historii działań, a wtedy może zrobić się nerwowo i… drogo.
Specjalnie na koniec słówka 2 w temacie odpowiedzialności i kar.
Nie mam zamiaru straszyć, ponieważ bardzo nie lubię „narracji strachu”, którą zauważam zdecydowanie zbyt często, ale oczywiście to nie oznacza, że całkiem unikam tematu. Najważniejsze info dla Ciebie to 2-letni okres karencji, czyli kara może być nałożona po raz pierwszy dopiero po upływie 2 lat od wejścia w życie ustawy (03.04.2028), także jeśli nie zaniedbasz totalnie tematu, to możesz być spokojny.
Więcej na ten temat (za jakie naruszenia można otrzymać karę oraz czy jest jakiś wyjątek) przeczytasz tutaj: https://www.linkedin.com/feed/update/urn:li:activity:7448380822598098945
🟣 PODSUMOWANIE I CO DALEJ?
Wiesz już, Drogi Kliencie, jak zacząć w ogóle z tematem NIS2, jaka jest kolejność działań i jakie są terminy na ich wykonanie.
Mam nadzieję, że ten materiał będzie dla Ciebie pomocny, a jeśli Twój instynkt podpowiada Ci, że warto jeszcze bardziej zgłębić ten temat i podejść do niego najsolidniej jak się da, to skontaktuj się ze mną bezpośrednio, a wspólnie przenalizujemy Twój workflow i Twoje potrzeby, a potem ułożymy plan spełnienia wymogów regulacyjnych w taki sposób, by w pierwszej kolejności nie zakłócać, a w drugiej podjąć nawet próbę usprawnienia Twojego sposobu działania.
A co dalej?
Dalej możesz spodziewać się kolejnych ciekawych i przydatnych materiałów dotyczących UKSC/NIS2, w tym m.in. wspomnianego mapowania artykułów ustawy na konkretne działania i rozwiązania IT, które pomogą w spełnieniu wymogów.
Dlatego zachęcam Cię już teraz do zasubskrybowania i obserwowania kanałów WildWeb:
YouTube: https://www.youtube.com/watch?v=ABRrEq1KE3M LinkedIn: https://www.linkedin.com/feed/update/urn:li:ugcPost:7447196067051229185/?actorCompanyId=12598226 Facebook: https://www.facebook.com/WildWebKamilLuczak/posts/pfbid02DsehDDEr7WV73eSe3FaHb7esYaDYDD2kgK9rYqN3e6cWudqVcBt6fGJfykxmJZmml
Poza materiałami dotyczącymi NIS2 znajdziesz także posty i artykuły tematyczne podzielone na kategorie (aktualnie mamy w WildWeb miesiąc zasilania awaryjnego). Do tego z początkiem kwietnia ruszyliśmy z kanałem na YouTube, więc w najbliższych tygodniach możesz spodziewać się również ciekawych materiałów w formie video.
Mały spoiler: Tak, Spotify będzie kolejnym krokiem 😇
Bezpieczności!
© WildWeb