W przeszłości bezpieczeństwo informacji postrzegano przede wszystkim jako obowiązek działu IT. Organizacje postrzegały zarządzanie ryzykiem związanym z bezpieczeństwem informacji przede wszystkim jako wdrażanie środków technicznych i polegały na zabezpieczaniu swojej infrastruktury IT za pomocą zapór sieciowych, zabezpieczeń punktów końcowych, systemów wykrywania i zapobiegania włamaniom lub segmentacji sieci. Podejście to uzupełniano fizycznymi środkami bezpieczeństwa oraz szkoleniami uświadamiającymi mającymi na celu wzmocnienie „ludzkiej zapory sieciowej”, aby wykazać się ustrukturyzowanym podejściem do zarządzania ryzykiem związanym z bezpieczeństwem informacji.

Od tamtej pory zakres zainteresowań znacznie się poszerzył. Dzisiaj cyberbezpieczeństwo nie oznacza już jedynie ochrony zasobów informacyjnych związanych z IT, ale także zapobieganie stratom finansowym, utrzymanie ciągłości działania, zabezpieczanie kluczowych usług i łańcuchów dostaw – krótko mówiąc: wzmacnianie odporności organizacji. Nic nie ilustruje tej zmiany paradygmatu tak wyraźnie, jak dyrektywa NIS2 Unii Europejskiej.

Czym jest NIS2?

NIS2 to zaktualizowana dyrektywa Unii Europejskiej w sprawie bezpieczeństwa sieci i informacji (dyrektywa (UE) 2022/2555), która określa zharmonizowane obowiązki dotyczące cyberbezpieczeństwa i zgłaszania incydentów dla średnich i dużych organizacji w kluczowych sektorach, takich jak energetyka, przemysł chemiczny, produkcja, transport, opieka zdrowotna, infrastruktury cyfrowej oraz innych kluczowych sektorów gospodarki. Po transpozycji do prawa krajowego w państwach członkowskich Unii Europejskiej dyrektywa ta będzie wymagała od zainteresowanych organizacji wdrożenia opartych na ocenie ryzyka środków cyberbezpieczeństwa, przestrzegania rygorystycznych terminów zgłaszania incydentów wynoszących 24 lub 72 godziny oraz ponoszenia znacznych kar w przypadku poważnych naruszeń.

Chociaż NIS2 jest dyrektywą UE, jej praktyczny wpływ wykracza daleko poza granice Unii. Producenci, dostawcy technologii, firmy logistyczne i usługodawcy wchodzący w skład europejskich łańcuchów wartości coraz częściej stają przed konkretnymi oczekiwaniami w zakresie cyberbezpieczeństwa oraz wymogami dotyczącymi przedstawiania dowodów ze strony swoich klientów. Certyfikat ISO 27001 staje się w tym kontekście kluczowym sygnałem: świadczy on o tym, że organizacja zarządza ryzykiem związanym z bezpieczeństwem informacji w sposób systematyczny i zgodny z uznaną na arenie międzynarodowej normą.

Dla wielu organizacji rodzi to strategiczne pytanie:

Jeśli chcemy niezawodnie uczestniczyć w europejskich łańcuchach dostaw, czy certyfikacja ISO 27001 staje się warunkiem wstępnym?

ISO 27001 jako brama do europejskich łańcuchów dostaw

Z coraz większej liczby przetargów i ocen dostawców wyłania się jasny obraz:

  • Norma ISO 27001 stanowi uznaną i podlegającą audytowi podstawę dla wielu oczekiwań dotyczących cyberbezpieczeństwa i zarządzania, które pojawiły się w następstwie wprowadzenia dyrektywy NIS2.
  • W przypadku dostępu do wymagających relacji z klientami i krytycznych łańcuchów dostaw certyfikacja jest coraz częściej postrzegana jako minimalne oczekiwanie, a nie jako czynnik wyróżniający.
  • Organizacje posiadające dojrzały, certyfikowany system zarządzania bezpieczeństwem informacji (ISMS) są lepiej przygotowane do odpowiadania na kwestionariusze, audyty i działania w zakresie due diligence związane z dyrektywą NIS2 w całym łańcuchu dostaw.

W tym sensie certyfikacja ISO 27001 staje się skuteczną bramą do europejskich łańcuchów dostaw – nie dlatego, że sama w sobie spełnia wszystkie obowiązki wynikające z NIS2, ale dlatego, że zapewnia ustrukturyzowane, weryfikowalne ramy, których wielu europejskich klientów oczekuje obecnie jako minimalnego wymogu.

Rosnące koszty zakłóceń cybernetycznych

Obecnie incydenty cybernetyczne rzadko pozostają odosobnione — rozprzestrzeniają się kaskadowo w łańcuchach dostaw, wstrzymują działalność i narażają organizacje na kontrolę organów regulacyjnych długo po początkowym naruszeniu.

W sektorach produkcji, opieki zdrowotnej, transportu i infrastruktury krytycznej organizacje borykały się z przestojami operacyjnymi trwającymi dni, a nawet tygodnie: linie produkcyjne zatrzymały się, sieci logistyczne uległy zablokowaniu, a usługi dla klientów stały się niedostępne.

To, co sprawia, że wiele z tych incydentów budzi szczególne zaniepokojenie, to fakt, że nie zawsze zaczynały się one od wysoce wyrafinowanych ataków. W wielu przypadkach atakujący wykorzystywali słabe punkty w ekosystemach dostawców, systemy bez zainstalowanych poprawek, niewystarczający monitoring lub opóźnioną reakcję na incydent.

Dla liderów biznesu jasna stała się jedna lekcja:
kluczowym pytaniem nie jest już to, czy organizacja może zapobiec każdemu incydentowi cyberbezpieczeństwa, ale czy może kontynuować działalność, gdy taki incydent wystąpi.

Ta zmiana sposobu myślenia stanowi sedno dyrektywy NIS2.

Dlaczego dyrektywa NIS2 ma znaczenie dla zarządów

  • Cyberbezpieczeństwo stało się kwestią poruszaną na posiedzeniach zarządu, a nie wyłącznie sprawą działu IT: organy zarządzające muszą zatwierdzać i nadzorować środki zarządzania ryzykiem cyberbezpieczeństwa.
  • Krajowe przepisy wdrażające dyrektywę NIS2 mogą przewidywać kary na poziomie przewidzianym w RODO – do 10 mln EUR lub 2% globalnego rocznego obrotu w przypadku podmiotów o znaczeniu krytycznym oraz do 7 mln EUR lub 1,4% w przypadku podmiotów ważnych.
  • Członkowie organu zarządzającego mogą zostać pociągnięci do odpowiedzialności za niewłaściwy nadzór nad zarządzaniem ryzykiem związanym z cyberbezpieczeństwem, z zastrzeżeniem krajowych przepisów dotyczących odpowiedzialności.

NIS2 kładzie duży nacisk na ład korporacyjny, odpowiedzialność i odporność organizacyjną. Organizacje objęte zakresem dyrektywy muszą wykazać między innymi:

  • aktywny udział kierownictwa wyższego szczebla we wdrażaniu i monitorowaniu środków w zakresie cyberbezpieczeństwa,
  • skuteczne procesy zgłaszania poważnych incydentów związanych z bezpieczeństwem,
  • ustrukturyzowane zarządzanie ryzykiem związanym z cyberbezpieczeństwem,
  • skuteczne środki kontroli bezpieczeństwa w łańcuchu dostaw,
  • rozwiązania zapewniające ciągłość działania 

Tam, gdzie norma ISO 27001 zapewnia solidne podstawy

Organizacje posiadające certyfikat ISO 27001 dysponują już ustrukturyzowanymi ramami zarządzania ryzykiem, ładu korporacyjnego i reagowania na incydenty – a wszystkie te elementy wspierają spełnienie wymagań dyrektywy NIS2.

W swej istocie norma ISO 27001 opiera się na wyborze środków kontroli opartym na ryzyku, odnoszących się do procesów biznesowych organizacji, jasnych obowiązkach w zakresie zarządzania i politykach oraz ciągłym doskonaleniu (cykl PDCA). Zasady te można bezpośrednio zastosować do środków organizacyjnych i technicznych określonych w przepisach NIS2.

Organizacje posiadające dojrzały system zarządzania bezpieczeństwem informacji (ISMS) zazwyczaj dysponują już następującymi elementami:

  • Struktury zarządzania bezpieczeństwem informacji
  • Skuteczne procesy oceny ryzyka i postępowania z ryzykiem
  • Udokumentowane polityki bezpieczeństwa i jasno określone obowiązki
  • Procedury zarządzania incydentami
  • Cykle audytów wewnętrznych i przeglądów kierowniczych
  • Środki zarządzania łańcuchem dostaw
  • Plany przywracania sprawności po awarii i zapewnienia ciągłości działania

Elementy te stanowią solidną podstawę do wdrożenia kluczowych środków zarządzania ryzykiem w ramach NIS2.

Sytuacje, w których sama norma ISO 27001 może okazać się niewystarczająca

Norma ISO/IEC 27001:2022 jest normą międzynarodową, a nie przepisami prawnymi. Certyfikacja ISO 27001 nie gwarantuje zgodności z wymogami NIS2. Trzy obszary – bezpieczeństwo łańcucha dostaw, odpowiedzialność kierownictwa oraz ustawowy obowiązek zgłaszania incydentów bezpieczeństwa – zazwyczaj wymagają środków i dowodów wykraczających poza to, co może wykazać sam certyfikat ISO 27001.

ISO 27001 jest dobrowolną normą międzynarodową, podczas gdy NIS2 stanowi wiążące prawo europejskie. Certyfikacja nie zastępuje zatem automatycznie zgodności ze wszystkimi obowiązkami wynikającymi z NIS2, w szczególności w odniesieniu do bezpieczeństwa łańcucha dostaw, obowiązków sprawozdawczych oraz odpowiedzialności kierownictwa.

Artykuł 21 ust. 2 dyrektywy NIS2 określa dziesięć kategorii środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa, które organizacje objęte dyrektywą są prawnie zobowiązane wdrożyć. Treść normy ISO/IEC 27001:2022 oraz środki kontroli wymienione w załączniku A można przyporządkować do większości tych kategorii – choć nie odpowiadają one im w stosunku jeden do jednego jako wymogi prawne:

Bezpieczeństwo łańcucha dostaw

Dyrektywa NIS2 nakłada na organizacje obowiązek oceny ryzyka związanego z cyberbezpieczeństwem oraz zarządzania nim w całym łańcuchu dostaw – a nie tylko w obrębie własnej struktury organizacyjnej.

Ostatnie incydenty związane z cyberbezpieczeństwem wielokrotnie pokazały, że atakujący wykorzystują łańcuch dostaw, aby uzyskać nieuprawniony dostęp do większych sieci klientów. W końcu zasada efektywności – „osiągnięcie maksymalnego zasięgu przy minimalnym wysiłku!” – ma tu również zastosowanie.

W związku z tym art. 21 ust. 2 lit. d) dyrektywy NIS2 wymaga zapewnienia bezpieczeństwa łańcucha dostaw, co jest zgodne z wymaganiami 5.19–5.23 załącznika A do normy ISO 27001:

  • Bezpieczeństwo informacji w relacjach z dostawcami
  • Uwzględnienie bezpieczeństwa informacji w umowach z dostawcami
  • Zarządzanie bezpieczeństwem informacji w łańcuchu dostaw ICT
  • Monitorowanie, audytowanie i zarządzanie zmianami w usługach dostawców
  • Bezpieczeństwo informacji w zakresie korzystania z usług w chmurze

Odpowiedzialność kadry kierowniczej

Zgodnie z dyrektywą NIS2 cyberbezpieczeństwo nie jest już postrzegane jako kwestia czysto techniczna, którą można powierzyć działowi IT.

Dyrektywa stanowi, że organ zarządzający organizacji musi przyjąć na siebie odpowiedzialność za zatwierdzanie, monitorowanie i regularny przegląd wdrażania środków zarządzania ryzykiem cyberbezpieczeństwa. W praktyce od kierownictwa wyższego szczebla oczekuje się:

  • Zrozumienie zagrożeń cybernetycznych i aktywne zajmowanie się nimi,
  • uczestniczy w działaniach związanych z zarządzaniem i procesach decyzyjnych dotyczących cyberbezpieczeństwa,
  • zapewnia odpowiednie zasoby na środki zwiększające odporność oraz
  • monitorowanie gotowości do reagowania na incydenty oraz wypełnianie obowiązków sprawozdawczych.

W zależności od krajowego wdrożenia dyrektywy NIS2 oraz odpowiednich przepisów korporacyjnych i dotyczących odpowiedzialności członkowie organu zarządzającego mogą również ponieść osobiste konsekwencje, jeśli nie wypełnią w odpowiedni sposób swoich obowiązków w zakresie cyberbezpieczeństwa. Zarządzanie cyberbezpieczeństwem staje się zatem kluczowym obowiązkiem kierownictwa – z potencjalnymi konsekwencjami regulacyjnymi i finansowymi w przypadku, gdy nie uda się w przekonujący sposób wykazać wystarczającego nadzoru.

Zgłaszanie incydentów

NIS2 wprowadza prawnie wiążące terminy: organizacje muszą złożyć wstępne powiadomienie w ramach wczesnego ostrzegania do właściwego organu w ciągu 24 godzin od stwierdzenia istotnego incydentu, a następnie bardziej szczegółowe zgłoszenie w ciągu 72 godzin oraz raport końcowy na późniejszym etapie, zgodnie z przepisami.

Wiele organizacji nie dysponuje obecnie udokumentowanymi procesami, jasno przypisanymi obowiązkami i przetestowanymi procedurami niezbędnymi do rzetelnego dotrzymania tych terminów. Istniejące ramy zarządzania incydentami w ramach systemu zarządzania bezpieczeństwem informacji (ISMS) często wymagają ukierunkowanych dostosowań, aby uwzględnić terminy regulacyjne i zewnętrzne obowiązki sprawozdawcze wprowadzone przez dyrektywę NIS2.

W praktyce oznacza to zazwyczaj wyeliminowanie trzech konkretnych luk. Po pierwsze, zdefiniowanie i udokumentowanie jasnego warunku, od którego momentu „dowiedzenia się” o poważnym incydencie rozpoczyna się 24-godzinny termin – większość procedur ISMS koncentruje się na wewnętrznej klasyfikacji ważności, a nie na terminach regulacyjnych. Po drugie, wyznaczenie konkretnej osoby odpowiedzialnej za wczesne powiadomienie i bezpośredni kontakt z krajowym zespołem CSIRT lub właściwym organem, odrębnej od osoby kierującej wewnętrzną reakcją. Po trzecie, ustanowienie podlegającej audytowi ścieżki dowodowej – obejmującej dzienniki z oznaczeniem czasu, kopie powiadomień oraz uzasadnienie wstępnej oceny powagi zdarzenia – którą można przedstawić, jeśli organ nadzorczy dokona później przeglądu sposobu dotrzymania 24- i 72-godzinnych terminów określonych w dyrektywie NIS2.

Odporność operacyjna

Organy regulacyjne i klienci coraz częściej oczekują dowodów na to, że środki zapewniające odporność zostały przetestowane — a nie tylko udokumentowane na papierze.

Od organizacji oczekuje się zatem wykazania, że są w stanie utrzymać lub szybko przywrócić krytyczne operacje podczas zdarzeń zakłócających, a nie tylko przedstawiać pisemne plany. Zazwyczaj obejmuje to:

  • Planowanie ciągłości działania i regularne testy
  • Ćwiczenia z zakresu odzyskiwania danych po awarii dla krytycznych systemów i danych
  • Realistyczne symulacje reagowania na incydenty
  • Określone i przećwiczone procedury zarządzania kryzysowego

Wszystkie te elementy razem pokazują, czy odporność jest rzeczywiście wbudowana w codzienne działania.

Czy Twoja organizacja również ocenia szersze potrzeby w zakresie odporności cyberbezpieczeństwa?

Norma ISO 22301 (Zarządzanie ciągłością działania) zapewnia uzupełniające ramy pozwalające wykazać ciągłość operacyjną w sytuacjach kryzysowych.

Dowiedz się więcej

Nowe pytania zadawane przez klientów i partnerów

Certyfikacja ISO 27001 staje się warunkiem wstępnym do prowadzenia rozmów z dostawcami. Klienci europejscy oczekują nie tylko certyfikatu ISO 27001, ale także dowodów potwierdzających odporność.

Firmy w łańcuchu dostaw muszą odpowiedzieć na następujące pytania:

  • Jak szybko można przywrócić normalne funkcjonowanie po poważnym incydencie cyberbezpieczeństwa?
  • W jaki sposób ocenia się ryzyko bezpieczeństwa u kluczowych dostawców i podmiotów zewnętrznych?
  • Jaką rolę odgrywa kierownictwo wyższego szczebla w zarządzaniu cyberbezpieczeństwem?
  • Jak często testowane są plany reagowania na incydenty i plany ciągłości działania?
  • Jakie środki zostały wdrożone w celu zapewnienia ciągłości działania w przypadku zakłóceń?

Firmy, które mogą wykazać się zarówno certyfikatami, jak i sprawdzoną odpornością operacyjną, wyróżniają się na wysoce konkurencyjnych rynkach.

Czego powinny uwzględnić zespoły zarządzające

Najskuteczniejszym podejściem jest wykorzystanie istniejącego systemu zarządzania bezpieczeństwem informacji (ISMS) zgodnego z normą ISO 27001 jako podstawy do zapewnienia szerszej zgodności z NIS2 — a następnie zidentyfikowanie i wyeliminowanie konkretnych luk, których sama certyfikacja nie obejmuje.

Organizacje nie muszą wybierać między zgodnością z normą ISO 27001 a zgodnością z dyrektywą NIS2. W większości przypadków norma ISO 27001 stanowi platformę systemu zarządzania; dyrektywa NIS2 i krajowe przepisy wykonawcze podnoszą poprzeczkę w określonych obszarach. Kluczem jest zrozumienie, w jakich obszarach obecne praktyki są już zgodne z tymi wymogami prawnymi – a gdzie nadal konieczne są ukierunkowane ulepszenia.

Przydatne pytania, które powinny rozważyć zespoły kierownicze:

  • Czy nasz program cyberbezpieczeństwa odpowiednio uwzględnia ryzyko występujące w całym ekosystemie naszych dostawców?
  • Czy kadra kierownicza aktywnie angażuje się w zarządzanie cyberbezpieczeństwem, a nie tylko jest informowana po fakcie?
  • Czy potrafimy wykazać odporność operacyjną wykraczającą poza same udokumentowane procedury?
  • Czy procesy reagowania na incydenty i przywracania sprawności są regularnie testowane w oparciu o realistyczne scenariusze?
  • Czy dysponujemy udokumentowanymi procesami, które spełniają wymogi NIS2 dotyczące 24- i 72-godzinnych terminów zgłaszania incydentów?
  • Czy nasi klienci i partnerzy biznesowi oczekują czegoś więcej niż certyfikatu jako dowodu odporności?

W jaki sposób wymagania NIS2 i normy ISO 27001 odnoszą się do siebie?

Pobierz opracowanie DQS zawierające szczegółowe porównanie obowiązków wynikających z dyrektywy NIS2 oraz środków kontroli określony w normie ISO 27001. Opracowanie to ma na celu wsparcie organizacji w ocenie, w jakich obszarach ich system zarządzania bezpieczeństwem informacji (ISMS) już spełnia oczekiwania dyrektywy, a gdzie mogą nadal występować luki.

Pobierz raport

Najważniejsze wnioski

  1. Norma ISO/IEC 27001:2022 wspiera znaczną część dziesięciu środków zarządzania ryzykiem określonych w art. 21 ust. 2 dyrektywy NIS2 – choć stopień, w jakim ma to miejsce, zależy od dojrzałości i zakresu istniejącego systemu zarządzania bezpieczeństwem informacji (ISMS).
  2. Typowe obszary, na których skupiają się certyfikowane systemy ISMS, obejmują przede wszystkim: ryzyko związane z łańcuchem dostaw wykraczające poza partnerów, z którymi zawarto bezpośrednie umowy; udokumentowany proces zgłaszania incydentów w ciągu 24 lub 72 godzin z jasno określonymi czynnikami wyzwalającymi
  3. jasno przypisane obowiązki w zakresie akceptacji ryzyka na szczeblu kierownictwa wyższego szczebla
  4. Rozwiązania dotyczące sytuacji awaryjnych i ciągłości działania, które są regularnie testowane, a nie tylko opisane.
  5. Norma ISO 27001 przypisuje odpowiedzialność za ryzyko kierownictwu najwyższego szczebla (w tym w klauzuli 6.1.3(f)), ale sama w sobie nie ustanawia osobistej odpowiedzialności – wynika ona wyłącznie z dyrektywy NIS2 i odpowiednich krajowych przepisów wykonawczych (np. dotyczących organów zarządzających i obowiązków nadzorczych).
  6. Klienci i zespoły ds. zamówień traktują certyfikację ISO 27001 jako warunek wstępny oceny dostawców.
Pytania i odpowiedzi

Najczęściej zadawane pytania.

Czym jest dyrektywa NIS2?

NIS2 (druga dyrektywa w sprawie bezpieczeństwa sieci i informacji, dyrektywa (UE) 2022/2555) to dyrektywa UE, która obowiązuje na poziomie unijnym od stycznia 2023 r. i musi zostać wdrożona do prawa krajowego przez państwa członkowskie do 17 października 2024 r. Określa ona obowiązkowe wymogi w zakresie cyberbezpieczeństwa i odporności dla organizacji w szerokim zakresie kluczowych i ważnych sektorów w całej Europie, w tym w sektorach energetycznym, transportowym, produkcyjnym, opieki zdrowotnej oraz infrastruktury cyfrowej. Krajowe przepisy wdrażające NIS2 wprowadzają bezpośrednie obowiązki prawne, kary finansowe, które mogą sięgać nawet 10 mln euro lub 2% globalnego rocznego obrotu w przypadku podmiotów kluczowych (oraz 7 mln euro lub 1,4% w przypadku podmiotów istotnych), a także jaśniejszą odpowiedzialność kierownictwa wyższego szczebla za zarządzanie ryzykiem związanym z cyberbezpieczeństwem i zgodność z przepisami.

Czy norma ISO 27001 obejmuje wymagania NIS2?

Norma ISO/IEC 27001 spełnia wiele oczekiwań wynikających z dyrektywy NIS2 dzięki ustrukturyzowanemu, opartemu na ryzyku podejściu do zarządzania bezpieczeństwem informacji. Jednak sama certyfikacja nie oznacza automatycznego spełnienia wszystkich obowiązków wynikających z NIS2, zwłaszcza w odniesieniu do ustawowych terminów zgłaszania incydentów, zarządzania ryzykiem w łańcuchu dostaw oraz konkretnych wymogów dotyczących ładu korporacyjnego i odpowiedzialności nałożonych na organy zarządzające na mocy krajowych przepisów opartych na NIS2.

Czy norma ISO 27001 jest obowiązkowa w ramach NIS2?

Nie. NIS2 nie wymaga certyfikacji ISO 27001. Jednak wiele organizacji wykorzystuje normę ISO/IEC 27001 jako uznane ramy do usystematyzowania i wykazania swoich praktyk w zakresie zarządzania ryzykiem cyberbezpieczeństwa, co może znacząco wspierać ich wysiłki na rzecz wypełnienia obowiązków wynikających z NIS2 oraz spełnienia oczekiwań klientów i organów regulacyjnych.

Jaka jest największa różnica między normą ISO 27001 a dyrektywą NIS2?

ISO/IEC 27001 to dobrowolna międzynarodowa norma dotycząca systemu zarządzania, którą organizacje mogą wdrożyć w celu wykazania ustrukturyzowanego zarządzania bezpieczeństwem informacji. NIS2 to dyrektywa UE, która po wdrożeniu do prawa krajowego nakłada wiążące obowiązki prawne dotyczące zarządzania ryzykiem cyberbezpieczeństwa, odporności, zgłaszania incydentów oraz nadzoru na szczeblu kierowniczym – a za nieprzestrzeganie tych przepisów grożą potencjalnie poważne kary.

Jakie kary grożą organizacjom na mocy NIS2?

W ramach NIS2 przepisy krajowe mogą przewidywać kary administracyjne dla podmiotów o kluczowym znaczeniu w wysokości do 10 mln euro lub 2% globalnego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa, a dla podmiotów o istotnym znaczeniu – w wysokości do 7 mln euro lub 1,4% globalnego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa. Kierownictwo wyższego szczebla może również ponieść konsekwencje na mocy obowiązujących krajowych przepisów dotyczących spółek i odpowiedzialności, jeśli poważnie zaniedba swoje obowiązki nadzorcze w zakresie cyberbezpieczeństwa.

Jakie są wymogi dotyczące zgłaszania incydentów w ramach NIS2?

NIS2 wymaga od organizacji objętych zakresem stosowania przestrzegania wielopoziomowego harmonogramu zgłaszania incydentów do odpowiedniego organu krajowego lub zespołu CSIRT. Zazwyczaj obejmuje to powiadomienie wczesnego ostrzegania w ciągu 24 godzin od stwierdzenia istotnego incydentu, bardziej szczegółowe zgłoszenie incydentu w ciągu 72 godzin oraz raport końcowy w późniejszym terminie (często jeden miesiąc) określonym w prawie krajowym. Organizacje, które nie dysponują udokumentowanymi procesami, przypisanymi obowiązkami i przetestowanymi procedurami dotyczącymi tych etapów, mogą mieć trudności z dotrzymaniem tych prawnie wiążących terminów.

Czy norma ISO 27001 może pomóc w poprawie odporności operacyjnej?

Tak. Norma ISO/IEC 27001 wspiera zarządzanie ryzykiem, procedury reagowania na incydenty, środki kontroli bezpieczeństwa dostawców oraz praktyki w zakresie zarządzania, które łącznie przyczyniają się do wzmocnienia odporności organizacyjnej. Dla organizacji pragnących wykazać się odpornością zgodną z oczekiwaniami dyrektywy NIS2 oraz swoich klientów, dobrze wdrożony system zarządzania bezpieczeństwem informacji (ISMS) oparty na normie ISO 27001 stanowi cenny i powszechnie uznawany punkt wyjścia.

Dowiedz się, na czym polega certyfikacja ISO 27001

Zapoznaj się z usługami certyfikacyjnymi DQS w zakresie normy ISO 27001 — od wstępnej oceny, przez certyfikację, aż po bieżący nadzór.

Poznaj usługi cer­ty­fikacyjne DQS
Autor

Markus Jegelka

Ekspert DQS ds. systemów zarządzania bezpieczeństwem informacji (ISMS) i wieloletni audytor norm ISO 9001, ISO/IEC 27001 i katalogu bezpieczeństwa IT zgodnie z par. 11.1a/b niemieckiej ustawy o przemyśle energetycznym (EnWG) z kompetencjami w zakresie procedur testowych zgodnie z § 8a (3) BSIG.

Loading...

Powiązane artykuły i wydarzenia

Możesz być również zainteresowany tym
Blog
Loading...

Ocena TISAX® poziomu 2: Dlaczego najtańsza opcja nie zawsze jest najbardziej opłacalna

Blog
Loading...

Unijna ustawa o sztucznej inteligencji: co Twoja organizacja powinna wiedzieć w 2026 r.

Blog
Loading...

Komunikacja kryzysowa podczas ataku ransomware: Zarządzanie informacjami w sytuacji kryzysowej