Dyrektywa NIS 2 (Network and Information Systems) wprowadzająca wysoki poziom cyberbezpieczeństwa w Unii Europejskiej, przynosi znaczące zmiany w porównaniu do swojej poprzedniej wersji. Pojawia się wiele elementów, które są wymagane, są też takie, które będą fakultatywne, dobrowolne lub wynikające ze spełnienia przez organizacje warunków progowych, do dodatkowych obowiązków.

Wszystkie te elementy tworzą podstawową strukturę systemu zarządzania cyberbezpieczeństwem, który obejmuje znacznie więcej niż tylko reakcję na ataki ransomware czy ochronę przed phishingiem.

W poprzednim projekcie ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) zakładano, że spełnienie norm ISO 27001 lub ISO 22301 będzie równoznaczne z spełnieniem wymagań NIS 2. Obecna wersja projektu usuwa te zapisy, co jest krokiem w dobrym kierunku, ponieważ dyrektywa sama w sobie zawiera podstawowe elementy struktury systemu zarządzania cyberbezpieczeństwem.

Wiele osób zastanawia się, czy muszą posiadać system zarządzania bezpieczeństwem czy właściwie – ochroną? Odpowiedź brzmi: każdy ma już jakiś system. Każdy obszar ochrony, od BHP po bezpieczeństwo żywności, bazuje na zasadach spisanych w formie procedur, instrukcji i planów. To właśnie te elementy składają się na system zarządzania, który może być dobrze zorganizowany i spójny, albo jedynie zbiorem procedur powiązanych na poziomie operacyjnym.

Normy ISO, takie jak ISO 27001 i ISO 22301, to normy najwyższego poziomu, które ułatwiają integrację systemów o różnych celach. Dzięki jednolitej strukturze HLS (High Level Structure – struktura wysokiego poziomu) normy te mają podobne wymagania, z różnicami w rozdziale dotyczącym działań operacyjnych. Wprowadzenie przez ISO tej struktury dla norm ułatwia integrację systemów o różnych celach. Dzieje się tak dzięki rozdziałom, które są tak samo ułożone i mają wysokopoziomowo podobne wymagania, choć charakterystyczne dla danego systemu zarządzania. Największe różnice znajdziemy w rozdziale 8 – działania operacyjne. Działania operacyjne i zarządzanie, to nic innego jak proces główny danego systemu np. zarządzania bezpieczeństwem informacji.

Czy wdrażając NIS 2, jesteśmy zobligowani do stosowania tych norm? Nie, ponieważ dyrektywa NIS 2 sama w sobie zawiera opis systemu cyberbezpieczeństwa. Należy jednak pamiętać, że cyberbezpieczeństwo ma konkretny cel: ochronę sieci i systemów IT. ISO 27001 skupia się na ochronie informacji, a ISO 22301 na zapewnieniu ciągłości działania przedsiębiorstwa.

Cele utrzymania cyberbezpieczeństwa nie istnieją w próżni i należy o tym pamiętać na każdym etapie. Mają one zapewnić, że informacje przetwarzane, przechowywane i przesyłane w sieciach oraz systemach IT będą zawsze poufne, integralne i dostępne. W razie przerwania usług IT, systemy muszą zostać jak najszybciej przywrócone do bezpiecznego stanu.

Kluczową kwestią w tworzeniu lub porządkowaniu systemu zarządzania cyberbezpieczeństwem jest wyznaczenie celów. Z jasno określonym celem łatwiej jest zbudować i zarządzać systemem. NIS 2 wymaga również określenia zakresu systemu, który obejmuje systemy i sieci IT dostarczające cyberbezpieczeństwo dla kluczowych informacji.

W praktyce trudno jest wyznaczyć systemy, które nie dotykają wszystkich obszarów działalności organizacji. W przypadku przedsiębiorstw wielobranżowych, rozszerzenie wymagań NIS 2 na inne działy firmy może być kosztowne i nie zawsze uzasadnione ekonomicznie.

Strategiczne zarządzanie bezpieczeństwem, w tym cyberbezpieczeństwem, jest kluczowe. System zarządzania cyberbezpieczeństwem, opisany w art. 21 i 23 dyrektywy NIS 2, obejmuje m.in.:

– Politykę analizy ryzyka,

– Politykę bezpieczeństwa systemów IT,

– Polityki i procedury oceny skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,

– Polityki i procedury kryptograficzne oraz, w stosownych przypadkach, szyfrowanie.

Pozostałe elementy systemu, takie jak obsługa incydentów, ciągłość działania, zarządzanie kryzysowe, czy bezpieczeństwo łańcucha dostaw, muszą być realizowane zgodnie z celem systemu i jego zakresem.

Warto również zauważyć, że pojęcie “polityka” ma różne znaczenia w zależności od kontekstu. W normach ISO polityka to dokument deklaratywny, wyrażający intencje i kierunek działania organizacji na bardzo wysokim poziomie ogólności. Z kolei w Polsce polityka bezpieczeństwa często kojarzona jest z Polityką Bezpieczeństwa Danych Osobowych (PBDO), która obecnie nie jest już wymagana.

Podsumowując, zarządzanie bezpieczeństwem nie jest odrębną częścią organizacji, ale jej integralnym elementem. Im lepiej system zarządzania bezpieczeństwem jest zaplanowany, zdefiniowany i mierzalny, tym bardziej organizacja będzie chroniona, funkcjonująca sprawnie i przynosząca zyski, a także dostarczająca produkty i usługi swoim klientom. Dobrze ułożony system zarządzania bezpieczeństwem jest kluczem do sukcesu każdej organizacji.