Szkolenia często są jednym z podstawowych narzędzi, po które sięgają firmy, aby dostosować się do nowych wymagań rynkowych i regulacyjnych. Wiele organizacji z różnych sektorów gospodarki przeszło szkolenia jako sposób na przygotowanie się do wymogów NIS2. Jednocześnie spotykamy wiele opinii, że warto także przeprowadzić audyt, który zapewni zgodność operacyjną z tą dyrektywą.
Trzeba jednak pamiętać, że dyrektywa NIS2 tak samo jak rozporządzenie DORA to norma, która zmienia całościowo podejście do zarządzania ryzykiem w organizacji i tematu cyberbezpieczeństwa. Z tego powodu zakres wymagań tej regulacji oraz liczba wyzwań związanych z egzekwowaniem przepisów, wykraczają poza możliwości samego szkolenia i audytów. Choć są one istotnymi elementami procesu dostosowawczego, nie wystarczą, aby w pełni sprostać wymaganiom NIS2. Co jeszcze warto uwzględnić? O tym dowiesz się w dalszej części artykułu.
Dlaczego warto korzystać ze szkoleń i audytów we wdrożeniu NIS2?
NIS2 podkreśla znaczenie uczenia się i rozwoju kadry w budowaniu operacyjnej odporności cyfrowej podmioty kluczowych i podmiotów ważnych. Organizacje objęte wymaganiami dyrektywy NIS2 powinny dysponować zdolnościami i zasobami umożliwiającymi bieżące monitorowanie podatności, cyberzagrożeń i incydentów ICT, w tym cyberataków. Dzięki temu mogą skutecznie analizować ich wpływ na swoją działalność.
Dyrektywa NIS2 zawiera kilka konkretnych fragmentów odnoszących się do konieczności przeprowadzania szkoleń. Są one przede wszystkim skupione w rozdziale IV zatytułowanym „Środki zarządzania ryzykiem w zakresie cyberbezpieczeństwa i obowiązki sprawozdawcze”. Zawarte są w nim różne działania i środki bezpieczeństwa, które powinny być uwzględnione w programach szkoleniowych.
Jest to między innymi artykuł 20, który wskazuje, że członkowie organu zarządzającego podmiotów kluczowych i ważnych muszą mieć obowiązek odbywać regularne szkolenia w celu zdobycia wystarczającej wiedzy i umiejętności pozwalających im rozpoznać ryzyko i ocenić praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływ na usługi świadczone przez dany podmiot. Oprócz tego wskazane jest odbywanie podobnych szkoleń przez innych pracowników. Wiele obszarów szkoleń jest wskazanych w artykule 21, czyli:
- Punkt b: Obsługa incydentów
- Punkt c: Tworzenie kopii zapasowych i ciągłość działania
- Punkt g: Podstawowe praktyki higieny cybernetycznej
- Punkt j: Korzystanie z uwierzytelniania wieloskładnikowego i ciągłych rozwiązań uwierzytelniania
Inwestycja w szkolenia
Szkolenia są podstawowym narzędziem, które pozwalają pracownikom zrozumieć złożoność nowych przepisów i wskazać wymagania w zakresie przystosowania działań organizacji do wymagań prawnych. Zapewniają również wiedzę o standardach bezpieczeństwa, procedurach zarządzania incydentami i nowych wymogach raportowania, co zwiększa gotowość organizacji do właściwej reakcji na zagrożenia. Warto wspomnieć, że podmioty odpowiedzialne są zobowiązane do monitorowania zmian technologicznych, by przewidywać ich wpływ na bezpieczeństwo i podatność na cyberzagrożenia. Muszą również dostosowywać procedury ochrony przed nowymi zagrożeniami. Jedną z odpowiedzi na to zadanie są szkolenia kadry. Wspierają one rozwój odpowiednich nawyków, podnosząc kulturę cyberodporności, która jest wprost wskazywana wśród zadań dla podmiotów odpowiedzialnych wynikających z dyrektywy.
Szkolenia pomagają zespołom w przygotowaniu się do reagowania na incydenty ICT, dzięki czemu mogą lepiej radzić sobie z potencjalnymi zagrożeniami. Symulacje i scenariusze stosowane w ich trakcie wzmacniają gotowość organizacji na kryzysy. Dodatkowo, szkolenia mogą być przydatne w zakresie komunikacji kryzysowej. Artykuł 9 NIS2 podkreśla konieczność posiadania przez podmioty odpowiedzialne planów komunikacyjnych na wypadek sytuacji kryzysowych związanych z incydentami ICT.
Szczególnym przypadkiem jest zarząd, którego edukacja w zakresie cyberbezpieczeństwa i wymagań DORA jest kluczowa, ponieważ jednostka ta ponosi ostateczną odpowiedzialność za zapewnienie i późniejsze utrzymanie zgodności z NIS2.
Inwestycja w audyty
Audyt z kolei jest narzędziem oceny zgodności i może pomóc w zrozumieniu miejsca organizacji na mapie zgodności z dyrektywą. Jego przeprowadzenie dostarcza konkretnej analizy stanu faktycznego, wskazując na ewentualne braki oraz obszary wymagające dostosowania do wymogów NIS2. Dzięki audytowi organizacja może rozpocząć planowanie projektu dostosowawczego i zaplanować kroki, które należy podjąć, by skutecznie wdrożyć i utrzymać zgodność z regulacją. Takie działania dostarczają organizacji wartościowych informacji o skuteczności wdrożonych procesów i procedur bezpieczeństwa. Podmiot odpowiedzialny dzięki systematycznej ocenie może na bieżąco identyfikować potrzeby szkoleniowe i obszary wymagające usprawnień, dostosowując zasoby do dynamicznie zmieniającego się środowiska ryzyka ICT.
Warto również podkreślić, że audyt jest rekomendowany nie tylko do oceny zgodności wewnętrznej, ale również jako narzędzie do monitorowania zewnętrznych dostawców, z którymi organizacja współpracuje w zakresie usług ICT. Zgodnie z artykułem 32 NIS2 podmioty odpowiedzialne są zobowiązane do regularnego korzystania z kontroli i audytu wobec zewnętrznych dostawców usług ICT. NIS2 w tym temacie wskazuje na konieczność zaangażowania audytorów posiadających odpowiednie umiejętności i wiedzę techniczną, zwłaszcza w przypadku złożonych technologicznie umów.
5 obszarów NIS2, w których samo szkolenie i audyt nie wystarczy
Szkolenia i audyty to istotne elementy procesu wdrażania NIS2, jednak ich zakres i efektywność są ograniczone w kontekście pełnego zapewnienia zgodności z dyrektywą. NIS2 nie polega jedynie na przeszkoleniu kadry zarządzającej czy pracowników ani na jednorazowej analizie zgodności. Wymagania dyrektywa NIS2 obejmują dynamiczne działania, które wykraczają poza możliwości szkoleniowe i audytowe.
Podczas gdy szkolenia pomagają zrozumieć regulacje, a audyty umożliwiają ocenę obecnego stanu bezpieczeństwa, skuteczne wdrożenie NIS2 wymaga kompleksowego i ciągłego podejścia. Obejmuje ono między innymi opracowanie strategii zarządzania ryzykiem, budowanie planów ciągłości działania, a także wdrożenie procedur zabezpieczających łańcuch dostaw. Organizacje muszą również stale aktualizować swoje działania w reakcji na nowe zagrożenia i zmiany w środowisku operacyjnym. Można powiedzieć, że zapewnienie zgodności z NIS2 to proces ciągły.
Przygotowanie do pełnej zgodności z NIS2 wymaga szerszego podejścia. W dyrektywie zawartych jest 5 obszarów, w ramach których podmioty odpowiedzialne muszą zrealizować konkretne działania.
Kompleksowe zarządzanie ryzykiem ICT
Efektywne wdrożenie wymagań NIS2 w zakresie zarządzania ryzykiem ICT opiera się na kompleksowej metodyce analizy ryzyka, identyfikacji i kategoryzacji zasobów ICT oraz regularnej analizie zagrożeń i planowaniu działań minimalizujących. Wymagane jest także konsekwentne monitorowanie środowiska ICT i dynamiczne dostosowywanie oceny ryzyka do zmieniających się warunków. Artykuł 21 ust. 1 wskazuje, że podmioty odpowiedzialne muszą wprowadzać odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.
Szkolenia i audyty, choć ważne, nie są wystarczające, by spełnić całościowe wymogi zarządzania ryzykiem określone w NIS2. Szkolenia mogą dostarczyć pracownikom podstaw teoretycznych, a audyty umożliwiają sprawdzenie wybranych aspektów zgodności jak polityka bezpieczeństwa. Jednak również niezbędne jest wypracowanie odpowiedniej dokumentacji i procedur, które będą integralną częścią całego systemu zarządzania ryzykiem ICT i będą systematycznie przeglądane oraz aktualizowane.
Testowanie operacyjnej odporności cyfrowej
Kolejnym obszarem wymagań NIS2 są polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie. Realizowane jest to poprzez kompleksowy i systematyczny program testowania operacyjnej odporności cyfrowej. Proces ten zapewnia dogłębną ocenę gotowości systemów ICT na ewentualne zagrożenia i cyberataki. Program testów odporności, powinien obejmować takie metody jak testy penetracyjne, które symulują rzeczywiste zagrożenia i sprawdzają odporność systemów w warunkach przypominających prawdziwe cyberataki. Działania te wymagają specjalistycznych narzędzi oraz zaawansowanej wiedzy technicznej, których szkolenia nie mogą zapewnić. Testy takie muszą być prowadzone w sposób regularny i kompleksowy, z wykorzystaniem metod uwzględniających rzeczywiste zagrożenia i dynamiczne zmiany w środowisku ICT, aby skutecznie chronić podmioty odpowiedzialne przed potencjalnymi zagrożeniami cyfrowymi i zapewnić bezpieczeństwo sieci.
Zgłaszanie poważnych incydentów
Efektywne zarządzanie incydentami cyberbezpieczeństwa jest ważne dla zapewnienia bezpieczeństwa najważniejszych sektorów gospodarki wspólnoty. Ten obszar w NIS2 obejmuje dynamiczne, wieloaspektowe procedury umożliwiające wczesne wykrywanie, monitorowanie, klasyfikację oraz kompleksową obsługę poważnych incydentów i cyberzagrożeń. Dyrektywa NIS2 odpowiada na pytanie jak zgłosić zaobserwowane przypadki cyberprzestępczości do odpowiednich organów takich jak CSIRT. Szkolenia mogą podnieść świadomość pracowników na temat podstaw zarządzania incydentami, a audyty zidentyfikować istniejące luki, jednak pełne wdrożenie i utrzymanie tych procedur wymaga regularnej adaptacji do nowych zagrożeń i rozwoju odpowiednich narzędzi technicznych. Proces zarządzania incydentami to ciągły cykl, który wymaga pracy ludzi i wsparcia przez zaawansowane systemy do śledzenia, klasyfikacji oraz eskalacji incydentów. Procedury te mają na celu ochronę ciągłości działania usług kluczowych oraz zapewnienie odpowiedniego poziomu bezpieczeństwa w całej Unii Europejskiej.
Dostawcy łańcuch dostaw
Dyrektywa NIS2 wprowadza szczegółowe wymogi dotyczące bezpieczeństwa łańcucha dostaw, stanowiąc znaczące rozszerzenie w stosunku do poprzedniej wersji dyrektywy NIS. Uwzględnienie łańcucha dostaw jako kluczowego obszaru zarządzania ryzykiem cyberbezpieczeństwa ma na celu zminimalizowanie podatności, które mogą być wykorzystywane przez cyberprzestępców.
Zarządzanie relacjami z dostawcami według wymagań NIS2 wymaga kompleksowego, wieloetapowego podejścia, które obejmuje ciągłe monitorowanie, precyzyjną kontrolę i specjalistyczne plany awaryjne. Efektywne zarządzanie ryzykiem związanym z łańcuchem dostaw wymaga wykraczających poza szkolenia i audyty działań obejmujących analizę ryzyka łańcucha dostaw, czy też stałe monitorowanie poziomu bezpieczeństwa dostawców zwłaszcza w zakresie usług zarządzanych. Organizacje powinny mieć plany ciągłości działania, które uwzględniają potencjalne incydenty związane z dostawcami. Powinny być przygotowane na sytuacje, w których dostawcy mogą nie być w stanie zapewnić usług z powodu incydentów bezpieczeństwa
Szkolenia i audyty mogą pomóc w zrozumieniu podstaw zarządzania relacjami z dostawcami, jednak nie zapewnią pełnej kontroli nad złożonymi strukturami podwykonawstwa. Potrzebne są szczegółowe umowy, które określają standardy bezpieczeństwa i zgodności oraz systemy do stałego monitorowania realizacji usług.
Wymiana informacji
NIS2 oprócz obowiązku informacyjnego względem odpowiednich organów daje możliwość poprzez rozdział VI podmiotom odpowiedzialnym uczestniczenia w formalnych grupach dotyczących wymiany informacji o cyberzagrożeniach. Podmioty te powinny móc wymieniać się odpowiednimi informacjami na temat cyberbezpieczeństwa, w tym informacjami o cyberzagrożeniach, potencjalnych zdarzeniach dla cyberbezpieczeństwa, podatnościach, technikach i procedurach, oznakach naruszenia integralności systemu, wrogich taktykach, a także informacjami o grupach przestępczych, ostrzeżeniami dotyczącymi cyberbezpieczeństwa i zaleceniami dotyczącymi konfiguracji narzędzi bezpieczeństwa mających wykrywać cyberataki, jeżeli wymiana takich informacji.
Celem ich jest zapewnienie sprawnej współpracy międzynarodowej między organizacjami, aby mogły one dzielić się kluczowymi informacjami o zagrożeniach, naruszeniach systemów, taktykach w zakresie cyberbezpieczeństwa i narzędziach wykrywania zagrożeń. Podmioty odpowiedzialne mogą wewnętrznie przeszkolić pracowników w zakresie komunikacji w danej grupie, jednak nie musi to być wiedza dostępna zewnętrznym firmom szkoleniowym.
Znaczenie kadry i wyzwań stojących przed zespołem
Podmiot odpowiedzialny budżetując zasoby na dostosowanie do zgodności z dyrektywą NIS2, nie może polegać wyłącznie na inwestycji w szkolenia i audyty. Tak jak szkolenia mogą dać odpowiednią wiedzę, a audyty pokazać stan faktyczny, tak ważne jest zapewnienie odpowiednich narzędzi i zasobów, które umożliwią skuteczne wdrożenie oraz utrzymanie zgodności. Zespoły odpowiedzialne za zarządzanie ryzykiem ICT i zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej stoją przed olbrzymim wyzwaniem – muszą nie tylko poznać i zrozumieć wymogi regulacji, lecz także umiejętnie wdrożyć wiele procesów jak zarządzanie ryzykiem ICT, raportowanie, testowanie, wymiana informacji, czy też te w zakresie współpracy z dostawcami łańcucha dostaw.
Praktyczne kroki do zgodności z NIS2
Wdrożenie NIS2 wymaga strategicznego podejścia i przejrzystego planu działania. Podmioty odpowiedzialne powinny skupić się na systematycznym podejściu, które obejmują zarówno ocenę obecnych procesów, dostosowanie ich, jak i wytworzenie nowych. Podobnie jest w zakresie dokumentacji i wdrożenia nowoczesnych narzędzi zarządzania zgodnością.
Stworzenie planu wdrożenia NIS2
Przygotowanie planu wdrożenia jest niezbędnym krokiem dla każdego podmiotu, który pragnie spełnić wymogi NIS2. Powinien obejmować ocenę istniejącej infrastruktury ICT, analizę procesów i procedur związanych z zarządzaniem ryzykiem oraz identyfikację obszarów wymagających dostosowania do nowych standardów. Warto zacząć od wyznaczenia zespołów odpowiedzialnych za poszczególne aspekty wdrożenia. Każdy zespół powinien mieć jasno określone zadania oraz dostęp do zasobów i technologii wspierających zarządzanie zgodnością.
Przydatne w efektywnym wdrożeniu NIS2 jest zastosowanie nowoczesnych narzędzi wspierających organizację w utrzymaniu zgodności. Konkretną grupą są narzędzia z kategorii GRC (ang. Governance, Risk, and Compliance), które centralizują dane, automatyzują procesy oraz systematyzują zarządzanie ryzykiem ICT, odciążając zespoły odpowiedzialne za zgodność z regulacjami. Dużym ułatwieniem w ramach wdrożenia NIS2 może być wykorzystanie sprawdzonego harmonogramu i wspólne wdrożenie z przydatnym narzędziem. Red Into Green może być Twoim centrum zarządzania zgodnością z NIS2 i bezpieczeństwem Twojej organizacji. Narzędzie to w 9 krokach podzielonych na 3 etapy nakreśli jasny harmonogram i pomoże Tobie wdrożyć NIS2. Po wdrożeniu, Red Into Gren pozwala spojrzeć na organizację pod kątem jej aktywów, procesów, podatności i zabezpieczeń na poziomach ogólnym i szczegółowym oraz umożliwia w sposób zautomatyzowany aktualizować wszystkie analizy, plany i raporty.
