Jak przejść przez burzę regulacji: w jaki sposób NIS2 i DORA redefiniują zgodność w Europie

NIS2 i DORA zmieniają podejście do zgodności w obszarze cyberbezpieczeństwa w UE, wymagając bardziej rygorystycznego zarządzania ryzykiem, zgłaszania incydentów oraz cyfrowej odporności operacyjnej. Ten przewodnik omawia ich wpływ, pokazuje ścisłe powiązanie z ISO 27001 i przedstawia praktyczną, etapową ścieżkę przygotowania dla CISO oraz liderów biznesowych.

Wprowadzenie

Europejski krajobraz zgodności przechodzi największą transformację od wielu lat. W związku z terminem transpozycji dyrektywy NIS2 w październiku 2024 r. oraz pełnym stosowaniem DORA od stycznia 2025 r. era cyberbezpieczeństwa traktowanego jako drugoplanowa funkcja IT definitywnie dobiega końca. Te dwa akty prawne oznaczają zmianę paradygmatu: umieszczają cyberbezpieczeństwo i odporność operacyjną w centrum ładu korporacyjnego oraz czynią organy zarządzające bezpośrednio odpowiedzialnymi za skuteczność podejmowanych działań.

Dla CISO, menedżerów ds. zgodności i właścicieli procesów biznesowych nie jest to kolejny zestaw ram do mapowania zabezpieczeń. To wymóg ustanowienia zarządzanego odgórnie, opartego na ryzyku oraz możliwego do wykazania podejścia do bezpieczeństwa i odporności. NIS2 rozszerza zakres wcześniejszych regulacji na szeroki katalog podmiotów kluczowych i ważnych, natomiast DORA nakłada rygorystyczne, zharmonizowane zasady na cały sektor finansowy UE oraz jego krytycznych dostawców technologii. Stawka jest wyższa, wymagania są bardziej preskryptywne, a kary za brak zgodności — dotkliwe. Ten artykuł przeprowadzi Cię przez nowe wymagania, wykorzystując ramy ISO 27001 jako praktyczną podstawę osiągnięcia zgodności zarówno z NIS2, jak i DORA.

Co jest stawką

Konsekwencje niespełnienia obowiązków wynikających z NIS2 i DORA wykraczają daleko poza formalne upomnienie. Regulacje te wprowadzają istotne kary finansowe, odpowiedzialność osobistą kierownictwa oraz ryzyko poważnych zakłóceń operacyjnych. Zrozumienie wagi tych ryzyk jest pierwszym krokiem do zbudowania przekonującego uzasadnienia biznesowego dla inwestycji i zmian organizacyjnych.

Zwłaszcza NIS2 znacząco podnosi stawkę finansową. Jak wyjaśnia nasz kompleksowy przewodnik Zenith Controls, kary zaprojektowano tak, aby przyciągnąć uwagę na poziomie zarządu.

W przypadku podmiotów kluczowych grzywny mogą sięgnąć do 10 mln EUR albo 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego — w zależności od tego, która kwota jest wyższa. W przypadku podmiotów ważnych maksymalna kara wynosi 7 mln EUR albo 1,4% całkowitego rocznego światowego obrotu.

Kwoty te są porównywalne z karami na poziomie GDPR, co pokazuje zamiar UE, aby rygorystycznie egzekwować standardy cyberbezpieczeństwa. Choć wymagania są zharmonizowane na poziomie UE, dokładna konstrukcja kar może nadal nieznacznie różnić się w zależności od sposobu transpozycji NIS2 do prawa krajowego przez poszczególne państwa członkowskie. Ryzyko nie jest jednak wyłącznie finansowe. NIS2 wprowadza możliwość czasowego zakazu pełnienia funkcji kierowniczych wobec osób uznanych za odpowiedzialne za naruszenia, czyniąc cyberbezpieczeństwo kwestią osobistej rozliczalności prezesów i członków zarządów.

DORA, choć koncentruje się na sektorze finansowym, wprowadza własny zestaw presji regulacyjnych. Jej głównym celem jest zapewnienie ciągłości krytycznych usług finansowych nawet podczas istotnego zakłócenia ICT. Ryzyko ma tu charakter systemowy. Awaria pojedynczego podmiotu finansowego albo jednego z jego krytycznych dostawców usług ICT mogłaby wywołać efekt kaskadowy w europejskiej gospodarce. Mandat DORA polega na zapobieganiu takim scenariuszom przez egzekwowanie wysokiego poziomu cyfrowej odporności operacyjnej. Koszt braku zgodności może oznaczać nie tylko kary, ale także utratę uprawnień do prowadzenia działalności oraz katastrofalną szkodę reputacyjną w sektorze opartym na zaufaniu.

Wpływ operacyjny jest równie wymagający. Obie regulacje ustanawiają rygorystyczne terminy zgłaszania incydentów. NIS2 wymaga wstępnego zgłoszenia do właściwych organów w ciągu 24 godzin od uzyskania wiedzy o istotnym incydencie, a następnie bardziej szczegółowego raportu w ciągu 72 godzin. Tak skompresowana oś czasu wywiera ogromną presję na zespoły reagowania na incydenty i wymaga dojrzałych, przećwiczonych procesów, których wiele organizacji obecnie nie posiada. Punkt ciężkości przesuwa się z samego ograniczania skutków i odtwarzania działania na szybką, przejrzystą komunikację z organami regulacyjnymi.

Jak wygląda właściwy stan docelowy

W nowej erze zwiększonej kontroli „dobry” poziom nie oznacza już posiadania polityk na półce ani certyfikacji uzyskanej w określonym momencie. Chodzi o trwały stan ciągłej, możliwej do wykazania odporności operacyjnej. Oznacza to przejście od reaktywnego podejścia nastawionego na zgodność do proaktywnej kultury opartej na ryzyku, w której cyberbezpieczeństwo jest wbudowane w sposób działania organizacji. Organizacja, która skutecznie porusza się w środowisku NIS2 i DORA, wykazuje kilka kluczowych cech, z których wiele wynika z zasad dobrze wdrożonego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) opartego na ISO 27001.

Docelowym stanem jest sytuacja, w której organizacja może z wysoką pewnością utrzymać odporność, reagować na zakłócenia ICT i odtwarzać działanie po ich wystąpieniu, jednocześnie chroniąc krytyczne aktywa i usługi. Wymaga to dogłębnego zrozumienia procesów biznesowych oraz technologii, które je wspierają. Jak wskazuje Zenith Controls, celem tych regulacji jest stworzenie solidnej infrastruktury cyfrowej w całej UE.

Głównym celem dyrektywy NIS2 jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Ma ona poprawić odporność oraz zdolności reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym.

Osiągnięcie tego „wysokiego wspólnego poziomu” oznacza wdrożenie kompleksowego programu bezpieczeństwa obejmującego ład zarządczy, zarządzanie ryzykiem, ochronę aktywów, reagowanie na incydenty i bezpieczeństwo dostawców. Dojrzała organizacja ma jasne powiązanie między apetytem na ryzyko na poziomie zarządu a konkretnymi zabezpieczeniami technicznymi. Kierownictwo nie tylko zatwierdza budżet; aktywnie uczestniczy w decyzjach dotyczących zarządzania ryzykiem, zgodnie z wymaganiami NIS2 (Article 20) i DORA (Article 5).

Taki stan docelowy opiera się na proaktywnym bezpieczeństwie wspieranym informacjami o zagrożeniach. Zamiast jedynie reagować na alerty, organizacja aktywnie pozyskuje i analizuje informacje o zagrożeniach, aby przewidywać i ograniczać potencjalne ataki. Jest to bezpośrednio zgodne z ISO/IEC 27002:2022 zabezpieczenie 5.7 (informacje o zagrożeniach), czyli praktyką, która obecnie stanowi wyraźne oczekiwanie w obu nowych regulacjach.

Ponadto odporność należy testować, a nie zakładać. „Dobry” stan oznacza organizację, która regularnie przeprowadza realistyczne testy planów reagowania na incydenty i ciągłości działania. W przypadku wyznaczonych podmiotów finansowych objętych DORA może to obejmować zaawansowane Threat-Led Penetration Testing (TLPT), czyli rygorystyczną symulację rzeczywistych scenariuszy ataku. Nie każda organizacja będzie objęta tym zakresem, ale dla tych, które są, TLPT jest wymogiem wiążącym. Kultura testowania zapewnia, że plany nie są wyłącznie dokumentami teoretycznymi, lecz operacyjnymi instrukcjami postępowania działającymi pod presją.

Powiązanie z obszarami zabezpieczeń ISO 27001:2022

Zabezpieczenia z załącznika A do ISO 27001:2022, rozwinięte w ISO/IEC 27002:2022, stanowią podstawę nowoczesnego SZBI. Jak podkreślono w przewodniku Zenith Controls: The Cross-Compliance Guide,

Zabezpieczenia takie jak A.5.7 (informacje o zagrożeniach), A.5.23 (bezpieczeństwo informacji przy korzystaniu z usług chmurowych) oraz A.5.29 (relacje z dostawcami) są bezpośrednio wskazywane w wytycznych wdrożeniowych zarówno dla NIS2, jak i DORA, co podkreśla ich centralne znaczenie dla zgodności między regulacjami. Organizacje, które w pełni wdrożyły te zabezpieczenia i dysponują dowodami ich działania, są dobrze przygotowane, ale nadal muszą uwzględnić specyficzne wymogi raportowania, ładu zarządczego i odporności wprowadzone przez nowe regulacje.

Praktyczna ścieżka: wskazówki krok po kroku

Osiągnięcie zgodności z NIS2 i DORA może wydawać się zadaniem ogromnej skali, ale staje się wykonalne po rozbiciu go na podstawowe domeny bezpieczeństwa. Wykorzystując uporządkowane podejście SZBI zgodnego z ISO 27001, organizacje mogą systematycznie budować wymagane zdolności. Poniżej przedstawiono praktyczną ścieżkę działania opartą na uznanych politykach i dobrych praktykach.

1. Ustanów silny ład zarządczy i rozliczalność

Obie regulacje nakładają ostateczną odpowiedzialność na „organ zarządzający”. Oznacza to, że cyberbezpieczeństwo nie może być już delegowane wyłącznie do działu IT. Zarząd musi rozumieć, nadzorować i zatwierdzać ramy zarządzania ryzykiem cyberbezpieczeństwa.

Pierwszym krokiem jest sformalizowanie tej struktury. Polityki organizacji muszą odzwierciedlać odgórne podejście. Zgodnie z P01S Polityka polityk bezpieczeństwa informacji — MŚP, dokumentem podstawowym dla każdego SZBI, same ramy polityk wymagają jednoznacznego zatwierdzenia przez najwyższe kierownictwo.

Polityki bezpieczeństwa informacji muszą być zatwierdzone przez kierownictwo, opublikowane oraz przekazane pracownikom i właściwym stronom zewnętrznym.

Oznacza to aktywny udział kierownictwa w wyznaczaniu kierunku. Wzmacnia to również konieczność zdefiniowania jasnych ról. P02S Polityka ról i odpowiedzialności w ramach ładu zarządczego — MŚP stanowi, że „odpowiedzialności w zakresie bezpieczeństwa informacji muszą być zdefiniowane i przydzielone”, aby nie było niejasności co do tego, kto odpowiada za poszczególne elementy programu bezpieczeństwa. W przypadku NIS2 i DORA musi to obejmować wyznaczoną osobę lub komitet odpowiedzialny za raportowanie statusu zgodności bezpośrednio do organu zarządzającego.

Kluczowe działania:

• Wyznacz sponsora cyberbezpieczeństwa i odporności na poziomie zarządu.
• Zaplanuj regularne przeglądy wyników SZBI i zgodności regulacyjnej przez zarząd.
• Dokumentuj decyzje, działania oraz dowody nadzoru.

2. Wdroż kompleksowe ramy zarządzania ryzykiem

Ponownie oceń i zaktualizuj proces oceny ryzyka. Zgodnie z przewodnikiem wdrożeniowym dla metodyki oceny ryzyka: „NIS2 i DORA wymagają dynamicznych, opartych na zagrożeniach ocen ryzyka, które wykraczają poza statyczne, coroczne przeglądy. Organizacje muszą integrować informacje o zagrożeniach (A.5.7) oraz zapewnić aktualizację ocen ryzyka w odpowiedzi na zmiany w krajobrazie zagrożeń lub środowisku biznesowym”. Zenith Controls. NIS2 wykracza poza ogólną ocenę ryzyka, nakazując konkretne środki zarządzania ryzykiem w Article 21, w tym bezpieczeństwo łańcucha dostaw, obsługę incydentów, ciągłość działania oraz stosowanie kryptografii. Wymogi te muszą być wdrożone w sposób możliwy do wykazania i regularnie przeglądane, co jasno wskazuje, że zgodność nie polega wyłącznie na dokumentacji, lecz na weryfikowalnych praktykach operacyjnych.

Kluczowe działania:

• Włącz informacje o zagrożeniach w czasie rzeczywistym do ocen ryzyka.
• Zapewnij, aby oceny ryzyka wprost obejmowały łańcuch dostaw oraz ryzyka związane z zewnętrznymi dostawcami ICT (A.5.29).
• Dokumentuj i utrzymuj dowody przeglądu oraz aktualizacji procesu.

Proces ten powinien być ciągły i iteracyjny, a nie coroczną czynnością kontrolną. Obejmuje wszystko — od bezpieczeństwa łańcucha dostaw po świadomość pracowników.

3. Wzmocnij reagowanie na incydenty i raportowanie

Rygorystyczne terminy raportowania wynikające z NIS2 (wstępne zgłoszenie w ciągu 24 godzin) oraz szczegółowy schemat klasyfikacji i raportowania w DORA wymagają bardzo dojrzałej funkcji zarządzania incydentami. To wymaga czegoś więcej niż SOC; potrzebny jest jasno zdefiniowany i przećwiczony plan.

P30S Polityka reagowania na incydenty — MŚP dostarcza wzorzec tej zdolności. Podkreśla, że „organizacja musi planować i przygotowywać się do zarządzania incydentami bezpieczeństwa informacji poprzez definiowanie, ustanawianie i komunikowanie procesów, ról oraz odpowiedzialności w zakresie zarządzania incydentami bezpieczeństwa informacji”. Reagowanie na incydenty jest centralnym obszarem zarówno NIS2, jak i DORA. Polityka zarządzania incydentami bezpieczeństwa informacji (sekcja 4.2) stanowi:

Organizacje muszą wdrożyć procedury wykrywania, zgłaszania i reagowania na incydenty w terminach wymaganych przez właściwe regulacje oraz utrzymywać szczegółowe zapisy na potrzeby audytu.

Kluczowe elementy do wdrożenia obejmują:

• Jasną definicję „istotnego incydentu”, która uruchamia bieg terminu raportowania dla NIS2 i DORA.
• Wstępnie zdefiniowane kanały komunikacji i szablony raportowania do organów regulacyjnych, CSIRT oraz innych interesariuszy.
• Regularne ćwiczenia i ćwiczenia typu tabletop, aby zespół reagowania mógł skutecznie wykonać plan pod presją.
• Procesy przeglądu po incydencie, aby wyciągać wnioski z każdego zdarzenia i stale doskonalić zdolność reagowania.

4. Wzmocnij zarządzanie ryzykiem łańcucha dostaw i stron trzecich

DORA w szczególności podnosi zarządzanie ryzykiem stron trzecich ICT z poziomu działania due diligence do podstawowej dyscypliny odporności operacyjnej. Podmioty finansowe są obecnie wprost odpowiedzialne za odporność swoich krytycznych dostawców ICT. NIS2 również wymaga od podmiotów adresowania ryzyk wynikających z relacji z dostawcami.

Polityka bezpieczeństwa dostawców i stron trzecich, sekcja 5.2 — MŚP wymaga, aby:

Przed rozpoczęciem współpracy każdy dostawca został oceniony pod kątem potencjalnych ryzyk.

Dokument wskazuje również niezbędne zabezpieczenia, stanowiąc, że „wymagania organizacji dotyczące bezpieczeństwa informacji muszą zostać uzgodnione z dostawcami i udokumentowane”. W przypadku DORA i NIS2 zakres ten idzie dalej:

• Utrzymuj rejestr wszystkich zewnętrznych dostawców ICT, z jasnym wyróżnieniem tych uznanych za krytycznych.
• Zapewnij, aby umowy zawierały konkretne klauzule dotyczące zabezpieczeń, prawa do audytu i strategii wyjścia. DORA jest w tym zakresie bardzo preskryptywna.
• Przeprowadzaj regularne oceny ryzyka krytycznych dostawców — nie tylko podczas onboardingu, lecz przez cały cykl życia relacji.
• Opracuj plany awaryjne na wypadek awarii albo zakończenia relacji z krytycznym dostawcą, aby zapewnić ciągłość świadczenia usługi.

5. Buduj i testuj odporność

Ostatecznie obie regulacje dotyczą przede wszystkim odporności. Organizacja musi być zdolna do utrzymania krytycznych operacji w trakcie incydentu cyberbezpieczeństwa i po jego zakończeniu. Wymaga to kompleksowego programu zarządzania ciągłością działania (BCM).

Polityka ciągłości działania i odtwarzania po awarii — MŚP podkreśla konieczność wbudowania bezpieczeństwa w planowanie BCM. Stanowi ona: „Organizacja musi określić wymagania dotyczące bezpieczeństwa informacji oraz ciągłości zarządzania bezpieczeństwem informacji w sytuacjach niekorzystnych”. Oznacza to, że plany BCM i odtwarzania po awarii (DR) muszą być projektowane z uwzględnieniem cyberataków. Kluczowe działania obejmują:

• Przeprowadzanie analiz wpływu na biznes (BIA) w celu identyfikacji krytycznych procesów i ich docelowych czasów odtworzenia (RTO).
• Opracowanie i udokumentowanie planów BCM i DR, które są jasne, wykonalne i dostępne.
• Regularne testowanie tych planów poprzez realistyczne scenariusze, w tym symulacje cyberataków. Wymóg DORA dotyczący Threat-Led Penetration Testing dla wyznaczonych podmiotów jest najwyższym poziomem tej praktyki.

Realizując te kroki i osadzając je w SZBI zgodnym z ISO 27001, organizacje mogą zbudować możliwy do obrony i skuteczny program zgodności spełniający wysokie wymagania NIS2 i DORA.

Łączenie punktów: wnioski dotyczące zgodności między regulacjami

Jednym z najskuteczniejszych sposobów podejścia do NIS2 i DORA jest rozpoznanie ich istotnego pokrycia z istniejącymi, globalnie uznanymi standardami, przede wszystkim z ramami ISO/IEC 27001 i 27002. Analiza nowych regulacji przez pryzmat zabezpieczeń ISO pozwala organizacjom wykorzystać istniejące inwestycje w SZBI i uniknąć budowania wszystkiego od podstaw.

Zenith Controls dostarcza kluczowych odniesień krzyżowych, które pokazują te powiązania i wyjaśniają, jak pojedyncze zabezpieczenie z ISO/IEC 27002:2022 może pomóc spełnić wymagania wielu regulacji.

Ład zarządczy i polityki (ISO/IEC 27002:2022 zabezpieczenie 5.1): Wymóg nadzoru organu zarządzającego jest fundamentem zarówno NIS2, jak i DORA. Jest on w pełni zgodny z zabezpieczeniem 5.1, które koncentruje się na ustanowieniu jasnych polityk bezpieczeństwa informacji. Jak wyjaśnia Zenith Controls, to zabezpieczenie jest podstawą wykazania zaangażowania kierownictwa.

To zabezpieczenie bezpośrednio wspiera NIS2 Article 20, który nakłada na organy zarządzające odpowiedzialność za nadzorowanie wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa. Jest również zgodne z DORA Article 5, który wymaga od organu zarządzającego zdefiniowania, zatwierdzenia i nadzorowania ram cyfrowej odporności operacyjnej.

Wdrażając solidne ramy polityk zatwierdzane i regularnie przeglądane przez kierownictwo, tworzysz podstawowy dowód niezbędny do spełnienia tych kluczowych artykułów dotyczących ładu zarządczego.

Zarządzanie incydentami (ISO/IEC 27002:2022 zabezpieczenie 5.24): Wymagające obowiązki raportowania incydentów wynikające z obu regulacji są bezpośrednio adresowane przez dojrzały plan zarządzania incydentami. Zabezpieczenie 5.24 (planowanie i przygotowanie zarządzania incydentami bezpieczeństwa informacji) zapewnia strukturę dla tej zdolności. Powiązanie jest jednoznaczne:

To zabezpieczenie jest niezbędne do zgodności z NIS2 Article 21(2), który nakazuje środki obsługi incydentów bezpieczeństwa, oraz Article 23, który określa rygorystyczne terminy zgłaszania incydentów. Mapuje się również na szczegółowy proces zarządzania incydentami opisany w DORA Article 17, obejmujący klasyfikację i raportowanie poważnych incydentów związanych z ICT.

Dobrze udokumentowany i przetestowany plan reagowania na incydenty oparty na tym zabezpieczeniu nie jest jedynie dobrą praktyką; stanowi bezpośredni warunek wstępny zgodności z NIS2 i DORA.

Ryzyko stron trzecich ICT (ISO/IEC 27002:2022 zabezpieczenie 5.19): Silna koncentracja DORA na łańcuchu dostaw jest jedną z jej cech definiujących. Zabezpieczenie 5.19 (bezpieczeństwo informacji w relacjach z dostawcami) zapewnia ramy zarządzania tymi ryzykami. Zenith Controls podkreśla to krytyczne powiązanie:

To zabezpieczenie ma fundamentalne znaczenie dla spełnienia rozbudowanych wymagań DORA Chapter V dotyczących zarządzania ryzykiem stron trzecich ICT. Wspiera również NIS2 Article 21(2)(d), który wymaga od podmiotów zapewnienia bezpieczeństwa łańcuchów dostaw, w tym relacji między każdym podmiotem a jego bezpośrednimi dostawcami.

Wdrożenie procesów opisanych w zabezpieczeniu 5.19, takich jak weryfikacja dostawców, umowy oraz bieżące monitorowanie, buduje dokładnie te zdolności, których wymagają DORA i NIS2.

Ciągłość działania (ISO/IEC 27002:2022 zabezpieczenie 5.30): W swojej istocie DORA dotyczy odporności. Zabezpieczenie 5.30 (gotowość ICT do zapewnienia ciągłości działania) jest odpowiednikiem tej zasady w ISO. Powiązanie jest bezpośrednie i istotne.

To zabezpieczenie jest fundamentem realizacji głównego celu DORA, czyli zapewnienia ciągłości działania i odporności systemów ICT. Bezpośrednio wspiera wymagania określone w DORA Chapter III (testowanie cyfrowej odporności operacyjnej) oraz Chapter IV (zarządzanie ryzykiem stron trzecich ICT). Jest również zgodne z NIS2 Article 21(2)(e), który nakazuje polityki ciągłości działania, takie jak zarządzanie kopiami zapasowymi i odtwarzanie po awarii.

Budując program BCM wokół tego zabezpieczenia, jednocześnie tworzysz podstawę zgodności z DORA. Pokazuje to, że ISO 27001 nie jest ścieżką równoległą, lecz bezpośrednim mechanizmem umożliwiającym spełnienie nowych europejskich wymagań regulacyjnych.

Szybki przegląd: załącznik A do ISO 27001 a NIS2 i DORA

To powiązanie pokazuje, jak pojedyncze zabezpieczenie ISO może pomagać w spełnieniu wielu wymagań regulacyjnych, czyniąc ISO 27001 bezpośrednim mechanizmem umożliwiającym zgodność z NIS2 i DORA.

Przygotowanie na kontrolę: o co zapytają audytorzy

Gdy zapukają organy regulacyjne lub audytorzy, będą szukać namacalnych dowodów działania żywego programu bezpieczeństwa i odporności, a nie tylko zestawu dokumentów. Będą weryfikować, czy polityki są wdrożone, zabezpieczenia skuteczne, a plany przetestowane. Zrozumienie ich obszarów zainteresowania pozwala przygotować właściwe dowody i zapewnić gotowość zespołów do odpowiedzi na trudne pytania.

Wskazówki z Zenith Blueprint, mapy drogowej dla audytora, dają cenny wgląd w to, czego można się spodziewać. Audytorzy będą systematycznie przechodzić przez kluczowe domeny, a organizacja musi być gotowa w każdej z nich.

Poniżej znajduje się lista kontrolna tego, o co audytorzy poproszą i co zrobią, zgodnie z ich metodyką:

1. Ład zarządczy i zaangażowanie kierownictwa:

• O co poproszą: Protokoły z posiedzeń zarządu, regulaminy komitetu ds. ryzyka oraz zatwierdzone kopie głównych polityk bezpieczeństwa informacji.
• Co zrobią: Jak opisano w Zenith Blueprint w sekcji „Faza 1, krok 3: zrozumienie ram ładu zarządczego”, audytorzy „zweryfikują, czy organ zarządzający formalnie zatwierdził politykę SZBI i jest regularnie informowany o profilu ryzyka organizacji”. Będą szukać dowodów aktywnego zaangażowania, a nie tylko podpisu na dokumencie sprzed roku.

2. Zarządzanie ryzykiem stron trzecich:

• O co poproszą: Kompletny inwentarz dostawców ICT, umowy z krytycznymi dostawcami, raporty z ocen ryzyka dostawców oraz dowody bieżącego monitorowania.
• Co zrobią: Podczas „Fazy 4, kroku 22: ocena zarządzania ryzykiem stron trzecich” audytor koncentruje się na due diligence i rygorze umownym. Zenith Blueprint wskazuje kluczowe wymagane dowody: „umowy, umowy o poziomie usług (SLA) oraz raporty audytowe od dostawców”. Audytorzy szczegółowo przeanalizują te dokumenty, aby upewnić się, że zawierają konkretne klauzule wymagane przez DORA, takie jak prawo do audytu i jasne obowiązki w zakresie bezpieczeństwa.

3. Plany reagowania na incydenty i ciągłości działania:

• O co poproszą: Plan reagowania na incydenty, plan ciągłości działania, plan odtwarzania po awarii oraz — co najważniejsze — wyniki najnowszych testów, ćwiczeń i symulacji.
• Co zrobią: Audytorzy nie poprzestaną na przeczytaniu planów. Jak opisano w „Fazie 3, kroku 15: przegląd planów reagowania na incydenty i ciągłości działania”, ich uwaga skupia się na „testowaniu i walidacji planów”. Poproszą o raporty po ćwiczeniach typu tabletop, wyniki testów penetracyjnych (zwłaszcza raporty TLPT dla DORA) oraz dowody, że ustalenia z tych testów były śledzone aż do remediacji. Plan, który nigdy nie został przetestowany, jest z perspektywy audytora planem, który nie istnieje.

4. Świadomość bezpieczeństwa i szkolenia:

• O co poproszą: Materiały szkoleniowe, zapisy ukończenia szkoleń dla różnych grup pracowników (w tym organu zarządzającego) oraz wyniki symulacji phishingowych.
• Co zrobią: W „Fazie 2, kroku 10: ocena świadomości bezpieczeństwa i szkoleń” audytorzy „ocenią skuteczność programu szkoleniowego poprzez przegląd jego treści, częstotliwości i wskaźników ukończenia”. Będą oczekiwać, że szkolenia są dostosowane do konkretnych ról, a ich skuteczność jest mierzona.

Przygotowanie tych dowodów z wyprzedzeniem zmieni audyt ze stresującej, reaktywnej mobilizacji w płynną demonstrację dojrzałości organizacji i jej zaangażowania w odporność.

Typowe pułapki

Choć ścieżka do zgodności z NIS2 i DORA jest jasna, kilka typowych pułapek może wykoleić nawet dobrze zaplanowane działania. Świadomość tych zagrożeń jest pierwszym krokiem do ich uniknięcia.

1. Podejście „to tylko IT”: Traktowanie NIS2 i DORA jako problemu wyłącznie działu IT lub cyberbezpieczeństwa jest najczęstszym błędem. Są to regulacje na poziomie całej organizacji, skoncentrowane na odporności operacyjnej. Bez poparcia i aktywnego udziału organu zarządzającego oraz liderów jednostek biznesowych żadne działania zgodnościowe nie spełnią podstawowych wymagań dotyczących ładu zarządczego i własności ryzyka.

2. Niedoszacowanie łańcucha dostaw: Wiele organizacji ma martwy punkt w zakresie faktycznej skali zależności od zewnętrznych dostawców ICT. DORA w szczególności wymaga dogłębnego i kompletnego zrozumienia tego ekosystemu. Samo wysłanie kwestionariusza bezpieczeństwa nie jest już wystarczające. Brak właściwej identyfikacji wszystkich krytycznych dostawców oraz wpisania solidnych wymagań bezpieczeństwa i odporności do umów stanowi poważną lukę zgodności.

3. Odporność „na papierze”: Tworzenie szczegółowych planów reagowania na incydenty i ciągłości działania, które dobrze wyglądają w dokumentacji, ale nigdy nie zostały przetestowane w realistycznym scenariuszu. Audytorzy i regulatorzy szybko to wykryją. Odporność potwierdza się działaniem, a nie samą dokumentacją. Brak regularnych, rygorystycznych testów jest sygnałem ostrzegawczym, że organizacja nie jest przygotowana na rzeczywisty kryzys.

4. Ignorowanie informacji o zagrożeniach: Samo reagowanie na zagrożenia to strategia skazana na porażkę. Zarówno NIS2, jak i DORA pośrednio i bezpośrednio wymagają bardziej proaktywnego podejścia do bezpieczeństwa, opartego na informacjach o zagrożeniach. Organizacje, które nie ustanowią procesu pozyskiwania, analizy i wykorzystania informacji o zagrożeniach, będą miały trudność z wykazaniem skutecznego zarządzania ryzykiem i zawsze pozostaną krok za atakującymi.

5. Traktowanie zgodności jako jednorazowego projektu: NIS2 i DORA nie są projektami z datą zakończenia. Ustanawiają stały wymóg monitorowania, raportowania i ciągłego doskonalenia. Organizacje, które postrzegają to jako wyścig do terminu, a następnie ograniczają zasoby, szybko utracą zgodność i okażą się nieprzygotowane na kolejny audyt albo — co gorsza — kolejny incydent.

Następne kroki

Droga do zgodności z NIS2 i DORA to maraton, a nie sprint. Wymaga strategicznego, uporządkowanego podejścia opartego na sprawdzonych ramach. Najskuteczniejszą ścieżką jest wykorzystanie kompleksowych zabezpieczeń ISO 27001 jako fundamentu.

1. Przeprowadź analizę luk: Zacznij od oceny obecnego profilu ryzyka i zgodności względem wymagań NIS2, DORA i ISO 27001. Nasz flagowy przewodnik Zenith Controls dostarcza szczegółowego mapowania potrzebnego do zrozumienia, gdzie zabezpieczenia spełniają wymagania, a gdzie istnieją luki.

2. Zbuduj SZBI: Jeśli jeszcze go nie posiadasz, ustanów formalny System Zarządzania Bezpieczeństwem Informacji. Wykorzystaj nasz zestaw szablonów polityk, taki jak Pełny pakiet MŚP albo Pełny pakiet Enterprise, aby przyspieszyć rozwój ram ładu zarządczego.

3. Przygotuj się do audytów: Od pierwszego dnia przyjmij perspektywę audytora. Wykorzystaj Zenith Blueprint, aby zrozumieć, jak Twój program będzie oceniany, oraz zbudować bazę dowodową potrzebną do pewnego wykazania zgodności.

Podsumowanie

Wejście w życie NIS2 i DORA stanowi przełomowy moment dla cyberbezpieczeństwa i odporności operacyjnej w Europie. Nie są to jedynie przyrostowe aktualizacje istniejących zasad, lecz fundamentalna zmiana oczekiwań regulacyjnych, wymagająca większej rozliczalności kierownictwa, głębszej kontroli łańcucha dostaw oraz rzeczywistego zobowiązania do budowania odporności.

Choć wyzwanie jest znaczące, stanowi również szansę. To możliwość wyjścia poza zgodność „odhaczaną” na liście kontrolnej i zbudowania naprawdę solidnego profilu bezpieczeństwa, który nie tylko spełnia oczekiwania regulatorów, ale także chroni organizację przed rosnącym ryzykiem zakłóceń. Wykorzystując uporządkowane, oparte na ryzyku podejście ISO 27001, organizacje mogą zbudować jeden, spójny program, który skutecznie i efektywnie adresuje kluczowe wymagania obu regulacji. Dalsza droga wymaga zaangażowania, inwestycji i odgórnej zmiany kultury, ale jej rezultatem jest organizacja nie tylko zgodna, lecz rzeczywiście odporna wobec współczesnych zagrożeń cyfrowych.