Sytuacje, w których sama norma ISO 27001 może okazać się niewystarczająca
Norma ISO/IEC 27001:2022 jest normą międzynarodową, a nie przepisami prawnymi. Certyfikacja ISO 27001 nie gwarantuje zgodności z wymogami NIS2. Trzy obszary – bezpieczeństwo łańcucha dostaw, odpowiedzialność kierownictwa oraz ustawowy obowiązek zgłaszania incydentów bezpieczeństwa – zazwyczaj wymagają środków i dowodów wykraczających poza to, co może wykazać sam certyfikat ISO 27001.
ISO 27001 jest dobrowolną normą międzynarodową, podczas gdy NIS2 stanowi wiążące prawo europejskie. Certyfikacja nie zastępuje zatem automatycznie zgodności ze wszystkimi obowiązkami wynikającymi z NIS2, w szczególności w odniesieniu do bezpieczeństwa łańcucha dostaw, obowiązków sprawozdawczych oraz odpowiedzialności kierownictwa.
Artykuł 21 ust. 2 dyrektywy NIS2 określa dziesięć kategorii środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa, które organizacje objęte dyrektywą są prawnie zobowiązane wdrożyć. Treść normy ISO/IEC 27001:2022 oraz środki kontroli wymienione w załączniku A można przyporządkować do większości tych kategorii – choć nie odpowiadają one im w stosunku jeden do jednego jako wymogi prawne:
Bezpieczeństwo łańcucha dostaw
Dyrektywa NIS2 nakłada na organizacje obowiązek oceny ryzyka związanego z cyberbezpieczeństwem oraz zarządzania nim w całym łańcuchu dostaw – a nie tylko w obrębie własnej struktury organizacyjnej.
Ostatnie incydenty związane z cyberbezpieczeństwem wielokrotnie pokazały, że atakujący wykorzystują łańcuch dostaw, aby uzyskać nieuprawniony dostęp do większych sieci klientów. W końcu zasada efektywności – „osiągnięcie maksymalnego zasięgu przy minimalnym wysiłku!” – ma tu również zastosowanie.
W związku z tym art. 21 ust. 2 lit. d) dyrektywy NIS2 wymaga zapewnienia bezpieczeństwa łańcucha dostaw, co jest zgodne z wymaganiami 5.19–5.23 załącznika A do normy ISO 27001:
- Bezpieczeństwo informacji w relacjach z dostawcami
- Uwzględnienie bezpieczeństwa informacji w umowach z dostawcami
- Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
- Monitorowanie, audytowanie i zarządzanie zmianami w usługach dostawców
- Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze
Odpowiedzialność kadry kierowniczej
Zgodnie z dyrektywą NIS2 cyberbezpieczeństwo nie jest już postrzegane jako kwestia czysto techniczna, którą można powierzyć działowi IT.
Dyrektywa stanowi, że organ zarządzający organizacji musi przyjąć na siebie odpowiedzialność za zatwierdzanie, monitorowanie i regularny przegląd wdrażania środków zarządzania ryzykiem cyberbezpieczeństwa. W praktyce od kierownictwa wyższego szczebla oczekuje się:
- Zrozumienie zagrożeń cybernetycznych i aktywne zajmowanie się nimi,
- uczestniczy w działaniach związanych z zarządzaniem i procesach decyzyjnych dotyczących cyberbezpieczeństwa,
- zapewnia odpowiednie zasoby na środki zwiększające odporność oraz
- monitorowanie gotowości do reagowania na incydenty oraz wypełnianie obowiązków sprawozdawczych.
W zależności od krajowego wdrożenia dyrektywy NIS2 oraz odpowiednich przepisów korporacyjnych i dotyczących odpowiedzialności członkowie organu zarządzającego mogą również ponieść osobiste konsekwencje, jeśli nie wypełnią w odpowiedni sposób swoich obowiązków w zakresie cyberbezpieczeństwa. Zarządzanie cyberbezpieczeństwem staje się zatem kluczowym obowiązkiem kierownictwa – z potencjalnymi konsekwencjami regulacyjnymi i finansowymi w przypadku, gdy nie uda się w przekonujący sposób wykazać wystarczającego nadzoru.
Zgłaszanie incydentów
NIS2 wprowadza prawnie wiążące terminy: organizacje muszą złożyć wstępne powiadomienie w ramach wczesnego ostrzegania do właściwego organu w ciągu 24 godzin od stwierdzenia istotnego incydentu, a następnie bardziej szczegółowe zgłoszenie w ciągu 72 godzin oraz raport końcowy na późniejszym etapie, zgodnie z przepisami.
Wiele organizacji nie dysponuje obecnie udokumentowanymi procesami, jasno przypisanymi obowiązkami i przetestowanymi procedurami niezbędnymi do rzetelnego dotrzymania tych terminów. Istniejące ramy zarządzania incydentami w ramach systemu zarządzania bezpieczeństwem informacji (ISMS) często wymagają ukierunkowanych dostosowań, aby uwzględnić terminy regulacyjne i zewnętrzne obowiązki sprawozdawcze wprowadzone przez dyrektywę NIS2.
W praktyce oznacza to zazwyczaj wyeliminowanie trzech konkretnych luk. Po pierwsze, zdefiniowanie i udokumentowanie jasnego warunku, od którego momentu „dowiedzenia się” o poważnym incydencie rozpoczyna się 24-godzinny termin – większość procedur ISMS koncentruje się na wewnętrznej klasyfikacji ważności, a nie na terminach regulacyjnych. Po drugie, wyznaczenie konkretnej osoby odpowiedzialnej za wczesne powiadomienie i bezpośredni kontakt z krajowym zespołem CSIRT lub właściwym organem, odrębnej od osoby kierującej wewnętrzną reakcją. Po trzecie, ustanowienie podlegającej audytowi ścieżki dowodowej – obejmującej dzienniki z oznaczeniem czasu, kopie powiadomień oraz uzasadnienie wstępnej oceny powagi zdarzenia – którą można przedstawić, jeśli organ nadzorczy dokona później przeglądu sposobu dotrzymania 24- i 72-godzinnych terminów określonych w dyrektywie NIS2.
Odporność operacyjna
Organy regulacyjne i klienci coraz częściej oczekują dowodów na to, że środki zapewniające odporność zostały przetestowane — a nie tylko udokumentowane na papierze.
Od organizacji oczekuje się zatem wykazania, że są w stanie utrzymać lub szybko przywrócić krytyczne operacje podczas zdarzeń zakłócających, a nie tylko przedstawiać pisemne plany. Zazwyczaj obejmuje to:
- Planowanie ciągłości działania i regularne testy
- Ćwiczenia z zakresu odzyskiwania danych po awarii dla krytycznych systemów i danych
- Realistyczne symulacje reagowania na incydenty
- Określone i przećwiczone procedury zarządzania kryzysowego
Wszystkie te elementy razem pokazują, czy odporność jest rzeczywiście wbudowana w codzienne działania.