Person Agata Drozdowska
cyberbezpieczeństwo
ISO 22301
ISO 27001
nis2
19 lutego 2025
Time 8 minut czytania

ISO a Dyrektywa NIS2 – czy normy zapewniają pełną zgodność?

Person Agata Drozdowska

Obecnie trwają konsultacje dotyczące nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), czym Polska potwierdza swoją pracę nad wdrożeniem wymagań Dyrektywy NIS2 i tym samym podniesieniem poziomu cyberbezpieczeństwa w kraju. Już 17 kwietnia br. państwa członkowskie UE muszą utworzyć wykaz podmiotów objętych regulacjami, w którym firmy będą miały możliwość samodzielnej rejestracji.

W odróżnieniu od NIS, tutaj przedsiębiorcy we własnym zakresie zobowiązani będą do zakwalifikowania swojej firmy jako podmiot kluczowy lub ważny i rejestracji w systemie. Wielu przedsiębiorców jeszcze nie podjęło żadnych działań w kierunku spełnienia wymagań NIS2, co będzie skutkowało karami za naruszenie określonych przepisów Ustawy. Są jednak organizacje, które dzięki wcześniej wdrożonym systemom mogą czuć się spokojniej, ponieważ już podjęte działania i zaimplementowane rozwiązania zapewniają zgodność z Dyrektywą.

Czy normy ISO 27001 oraz ISO 22301 stanowią skuteczne narzędzie do realizacji wymagań Dyrektywy NIS2?

Ujednolicenie poziomu cyberbezpieczeństwa w całej UE jest istotne pod każdym względem, zwłaszcza dla wzmocnienia ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki. Dla wielu przedsiębiorstw jest to duże wyzwanie, dlatego warto już podjąć działania, aby sprostać tym wytycznym.

Zanim przejdziesz do wdrożenia wymagań Dyrektywy NIS2, warto sprawdzić jakie procedury, polityki bezpieczeństwa i procesy masz już opracowane w swojej organizacji. W tym może pomóc audyt wstępny (przedwdrożeniowy), który zidentyfikuje luki oraz wskaże obszary wymagające doskonalenia. W wielu sytuacjach okazuje się, że już są stworzone polityki dotyczące zarządzania ryzykiem i bezpieczeństwa informacji, a także zarządzanie incydentami, by zapobiegać, wykrywać i rozwiązywać incydenty bezpieczeństwa. Często okazuje się, że powstały procedury dotyczące ciągłość działania, które zapewniają tworzenie kopii zapasowych, odzyskiwanie danych po awarii i zarządzanie kryzysowe. W powyższych przypadkach osoba odpowiedzialna za NIS2 w Twojej firmie może czuć się zadowolona, ponieważ zadbała o niezbędne środki bezpieczeństwa, a zgodność z Dyrektywą będzie tylko formalnością.

Wymagania Dyrektywy NIS2 są ściśle powiązane z Systemem Zarządzania Bezpieczeństwem Informacji (SZBI) oraz Systemem Zarządzania Ciągłością Działania (SZCD). Nowelizowana Ustawa o Krajowym Systemie Cyberbezpieczeństwa wskazuje, że spełnienie standardów norm PN-EN ISO/IEC 27001 dotyczących Systemu Zarządzania Bezpieczeństwem Informacji oraz PN-EN ISO/IEC 22301 związanych z Systemem Zarządzania Ciągłością Działania będzie rozumiane jako spełnienie wymogów Ustawy w tym zakresie. Można stwierdzić, że organizacje, które już wdrożyły system zgodny z międzynarodowym standardem ISO, a także te, które zdecydują się na jego implementację, będą w korzystnej pozycji w kontekście wykazywania zgodności z Ustawą.

Warto podkreślić, że zgodnie z projektem Ustawy o KSC, podmioty uznawane za kluczowe lub istotne będą zobowiązane do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji nie tylko w systemie informacyjnym służącym do świadczenia usług, ale również w procesach organizacyjnych, które mają wpływ na te usługi. Jak już wspominałam, przede wszystkim w pierwszej kolejności warto chociażby przeprowadzić szczegółowy audyt oraz zweryfikować dostosowanie systemu do wymagań przepisów prawa we wszystkich niezbędnych obszarach. Jako kryterium w tym zakresie brane będzie pod uwagę spełnienie wymagań z art. 8 ustawy o KSC związanych z wdrożeniem SZBI.

Jak skorzystać z wdrożonego już SZBI w kontekście NIS2?

Zgodnie z informacjami przekazywanymi przez Ministerstwo Cyfryzacji, posiadanie zgodności z normami ISO 27001 oraz ISO 22301 jest równoznaczne z realizacją wymagań NIS2.

Wdrożony SZBI powinien zapewniać:

  • szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
  • wdrożenie środków technicznych i organizacyjnych, uwzględniających specyfikę organizacji i jej klasyfikację podmiotową.

Posiadanie tych procedur już na samym wstępie sprawia, że Twoja firma jest na dobrej drodze do spełnienia wymagań Dyrektywy NIS2. Natomiast ważna jest także kwestia certyfikacji, gdyż inaczej to wygląda w przypadku posiadania certyfikacji normy ISO 27001 i ISO 22301, inaczej mając zaimplementowane systemy w oparciu o ISO 27001 oraz ISO 22301 bez potwierdzenia certyfikatem, a jeszcze inaczej kiedy organizacja nie ma wdrożonych procedur bezpieczeństwa i ciągłością działania.

W przypadku organizacji, które posiadają certyfikację, zasadniczo nie są potrzebne dodatkowe działania, poza weryfikacją, czy kluczowe obszary wskazane w Dyrektywie NIS2 są odpowiednio realizowane. Natomiast organizacje, które wdrożyły System Zarządzania Bezpieczeństwem Informacji, lecz nie przeszły procesu certyfikacji, powinny szczególnie dokładnie zweryfikować i zgromadzić dowody potwierdzające spełnienie wymagań zawartych w poszczególnych normach. Dodatkowo, warto przygotować się na ewentualny audyt przeprowadzany przez podmiot nadzorujący.

Najtrudniejsza sytuacja dotyczy natomiast tych, którzy jeszcze nie wprowadzili polityki dotyczącej cyberbezpieczeństwa w swojej firmie. Takie organizacje powinny w dłuższym okresie dążyć do uzyskania certyfikatu zgodności lub chociażby wdrożenia systemu w oparciu o normy, a w krótkim czasie muszą skupić się na praktycznym zapewnieniu zgodności zaczynając od najbardziej rozpoznawalnej normy ISO 27001, która opisuje, jak skutecznie zadbać o bezpieczeństwo informacji w organizacji, aż po ISO 22301, odnoszącej się do kwestii zapewnienia ciągłości działania. Poniżej pokrótce wyjaśnię, co poszczególne normy regulują i jaki jest cel ich implementacji w organizacji.

ISO 27001

Norma ISO 27001 jest międzynarodowym standardem, który reguluje zarządzanie bezpieczeństwem informacji. Określa ona wymagania dotyczące tworzenia, wdrażania, utrzymywania oraz ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Jej głównym celem jest zapewnienie, aby organizacje skutecznie chroniły swoje dane, jednocześnie minimalizując ryzyko utraty informacji i ataków cybernetycznych. W ramach normy ISO 27001 uwzględniono takie kluczowe aspekty, jak polityki bezpieczeństwa, zarządzanie ryzykiem, kontrola dostępu, zarządzanie incydentami oraz zapewnienie ciągłości działania. Organizacja posiadająca ten system jest postrzegana jako odpowiedzialny partner biznesowy, a jego marka jest uznawana za prestiżową i konkurencyjną.

Jednym z najbardziej praktycznych narzędzi oferowanych przez normę ISO 27001 jest załącznik A, który przedstawia wzorcowy wykaz zabezpieczeń oraz cele ich zastosowania. Dzięki niemu można w sposób kompleksowy ocenić poziom bezpieczeństwa w organizacji oraz zweryfikować, czy do każdego z wymienionych celów zabezpieczeń przypisane są odpowiednie środki – organizacyjne, regulacyjne lub techniczne.

ISO 22301

Kolejna norma ISO 22301 określa wymagania dotyczące planowania, wprowadzania, wdrażania, eksploatacji, monitorowania, przeglądów, utrzymania oraz ciągłego doskonalenia systemu zarządzania ciągłością działania w organizacjach. Celem normy jest ochrona oraz jak najszybsze reagowanie na zakłócenia, a także minimalizacja tych zakłóceń, aby przywrócić ciągłość działania organizacji. Norma ta obejmuje takie obszary jak analiza BIA, ocena ryzyka, testowanie, przeglądy i doskonalenie.  Dzięki wdrożeniu normy, firmy mogą szybko i skutecznie reagować na różnorodne incydenty, minimalizując ich wpływ na działalność. W ten sposób mają również zapewnioną zgodność z wymaganiami NIS2.

Kompleksowe doradztwo w zakresie NIS2

Podczas spotkań z naszymi Klientami w pierwszej kolejności staramy się podnieść świadomość konieczności i istotności spełnienia tych wymagań, nie tylko dla samych wytycznych. Samo zrozumienie tego zagadnienia w kontekście ochrony swojej firmy, ale także w kontekście uniknięcia utraty wizerunku czy zaufania partnerów biznesowych, powinno być wystarczającym powodem, dla którego te starania powinny być realizowane. W ITPunkt podczas prac, budujemy z Klientami wzajemne zaufanie i zależy nam na nawiązaniu długoterminowej współpracy, ponieważ nie ograniczamy się jedynie do dostarczenia raportu, a koncertujemy się na wspieraniu Klienta w realizacji wszystkich zidentyfikowanych działań, które są niezbędne do spełnienia wymagań NIS2.

ITPunkt pomaga w spełnieniu wymagań Dyrektywy NIS2 poprzez kompleksowe usługi doradztwa w zakresie przeprowadzenia audytu, wdrożenia wymagań Dyrektywy NIS2, szkoleniach i konsultacjach ze specjalistami w dziedzinie cyberbezpieczeństwa.

Skontaktuj się z nami, jeśli szukasz rzetelnego wsparcia dopasowanego do potrzeb Twojej organizacji. Doradzimy jak sprostać wyzwaniu i zapewnić pełną zgodność z regulacjami z obszaru cyberbezpieczeństwa, które już wkrótce zaczną obowiązywać. Zadbamy o Twoje bezpieczeństwo!

Zapraszam do kontaktu:
+48 790 890 329
agata.drozdowska@itpunkt.pl

Image
Artykuły eksperckie
Audyt NIS2: klucz do cyberbezpieczeństwa Twojego biznesu

Czy Twoja firma jest gotowa na wymagania dyrektywy NIS2? Przeprowadzenie profesjonalnego audytu NIS2 to pierwszy…

cyberbezpieczeństwo
dyrektywa NIS2
nis2
21 stycznia 2025
Image
Artykuły eksperckie
Dyrektywa NIS2 – sprawdź, czy jesteś na nią przygotowany!

Wielu przedsiębiorców wciąż nie ma pewności, czy Dyrektywa NIS2 dotyczy również ich firmy. Pomożemy Wam…

cyberbezpieczeństwo
cybersecurity
dyrektywa NIS2
11 października 2024
Image
Artykuły eksperckie
Jak przygotować się do NIS2? Nie zwlekaj, zacznij od razu!

Dyrektywa Network and Informations Security 2 (NIS2) ma zwiększyć cyfrowe bezpieczeństwo kluczowych sektorów gospodarki.

cyberbezpieczeństwo
dyrektywa NIS2
08 stycznia 2025

Porozmawiajmy

Szukasz bezpiecznych rozwiązań dla swojej firmy?
Skontaktuj się z nami.

Kontakt
image