Co konkretnie trzeba wdrożyć
Dyrektywa (i implementująca ją ustawa o KSC) wymaga konkretnych środków. Tak wygląda ich lista przełożona na praktykę:
Zarządzanie ryzykiem
Udokumentowana analiza ryzyka i środki adekwatne do zagrożeń – fundament, od którego zaczyna każda kontrola.
Raportowanie w 24 godziny
Wczesne ostrzeżenie do CSIRT w 24 h, raport w 72 h. Budujemy proces wykrywania, oceny i zgłaszania incydentów.
Bezpieczeństwo dostawców
Ocena ryzyka dostawców IT i umowy z wymogami bezpieczeństwa – obszar, który kontrole sprawdzają szczególnie chętnie.
Ciągłość działania
Kopie zapasowe, plany awaryjne i zarządzanie kryzysowe – przetestowane, nie tylko spisane.
Szkolenia kadry i zespołu
NIS2 wymaga szkoleń także dla zarządu, który odpowiada osobiście. Program szkoleń spinamy z platformą security awareness.
Ciągły monitoring zgodności
Platforma monitoruje kontrole i utrzymuje dowody na bieżąco – zgodność przestaje być projektem, staje się stanem.
Od klasyfikacji do utrzymania zgodności
Kolejność ma znaczenie: najpierw ustalamy, czy i jak podlegasz, dopiero potem inwestujesz.
Klasyfikacja
Analiza PKD, skali i roli w łańcuchu dostaw. Dostajesz pisemną ocenę: kluczowy, ważny albo poza zakresem.
1 tydzień
Analiza luk
Przegląd obecnych zabezpieczeń względem wymagań. Raport z priorytetami i kosztorysem.
2–3 tygodnie
Wdrożenie środków
Procesy, technologie i szkolenia według planu – zaczynając od obszarów największego ryzyka.
2–6 miesięcy
Utrzymanie
Monitoring zgodności, aktualizacje pod zmiany przepisów i wsparcie przy incydentach oraz kontroli.
ciągle
Zgodność monitorowana automatycznie, nie w Excelu
Do ciągłego monitoringu zgodności wdrażamy platformę Vanta z frameworkiem NIS2: kontrole, dowody i zadania w jednym miejscu, z automatycznymi testami tam, gdzie się da. Kontrola przychodzi? Dowody są gotowe od ręki.
Najczęstsze pytania
Skąd mam wiedzieć, czy w ogóle podlegam NIS2?
Decydują sektor (18 sektorów z załączników dyrektywy), wielkość firmy (od 50 pracowników lub 10 mln EUR obrotu) oraz rola w łańcuchu dostaw podmiotów objętych. Klasyfikację robimy bezpłatnie w pierwszej rozmowie.
Jakie kary grożą za brak zgodności?
Dla podmiotów kluczowych do 10 mln EUR lub 2% światowego obrotu, dla ważnych do 7 mln EUR lub 1,4%. Odpowiedzialność może objąć też osobiście kadrę zarządzającą.
Mamy ISO 27001. Czy to załatwia NIS2?
W dużej części – wymagania się pokrywają. Robimy mapowanie różnic i uzupełniamy tylko braki, m.in. raportowanie incydentów do CSIRT i wymogi wobec zarządu.
Jesteśmy dostawcą firmy, która podlega NIS2. Co to dla nas znaczy?
Wasi klienci muszą oceniać bezpieczeństwo dostawców, więc wymagania spłyną na Was w umowach. Wyprzedzenie tego to przewaga handlowa, nie tylko koszt.
Klasyfikacja Twojej firmy w jeden tydzień
Zanim cokolwiek kupisz, dowiedz się, czy i jak podlegasz. Pisemna ocena daje zarządowi podstawę do decyzji.