Jakie środki zarządzania ryzykiem należy wdrożyć w związku z Dyrektywą NIS2?

Zasady stosowania środków zarządzania ryzykiem

Środki zarządzania ryzykiem, jak sama nazwa wskazuje, mają na celu usprawnienie i udoskonalenie metod zarządzania ryzykiem, aby mogły one zapewnić bezpieczeństwo sieci i systemów informatycznych wykorzystywanych przez podmioty objęte Dyrektywą. Zgodnie z treścią NIS2 (https://www.sprinttech.pl/audyty/dyrektywa-nis-2/) muszą być one odpowiednie i proporcjonalne. By spełnić te dwa wymogi, należy uprzednio przeprowadzić analizę ryzyka, obejmującą takie elementy, jak stopień narażenia podmiotu na ryzyko, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość. Dobór owych środków powinien także opierać się o najnowszy stan wiedzy co do zidentyfikowanych zagrożeń oraz odpowiednie normy europejskie i międzynarodowe.

Warto w tym miejscu wspomnieć również o powiązanym z owym wymogiem obowiązkiem wynikającym z NIS2, czyli obowiązkiem przeprowadzenia audytu (https://www.sprinttech.pl/audyty/). Jego nadrzędnym celem jest zapewnienie zgodności wprowadzonych rozwiązań z regulacjami Dyrektywy oraz zwiększenie ogólnego poziomu ochrony w podmiotach w niej uwzględnionych. W jego trakcie ocenia się obecne środki ochrony i na tej podstawie opracowuje szczegółowy plan wdrożenia ulepszonych zabezpieczeń. W przeprowadzaniu audytu zgodności z NIS2, a także z wieloma innymi aktami prawnymi specjalizuje się m.in. firma SprintTech (https://www.sprinttech.pl/).

Kluczowe elementy środków zarządzania ryzykiem

W NIS2 nie wymieniono konkretnych środków bezpieczeństwa, które muszą być wdrożone, aby zapewnić zgodność z Dyrektywą. Wskazano za to kluczowe elementy, które powinny zostać zaimplementowane. Są to między innymi:

• Obsługa incydentu;
• Wdrożenie polityki analizy ryzyka i bezpieczeństwa IT oraz oceny skuteczności środków zarządzania ryzykiem;
• Zapewnienie ciągłości działania, w tym, przywracanie normalnego działania po wystąpieniu incydentu i zarządzanie kryzysowe;
• Zapewnienie bezpieczeństwa łańcucha dostaw;
• Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
• Polityki i procedury stosowania kryptografii, szyfrowania oraz stosowanie uwierzytelniania wieloskładnikowego czy zabezpieczeń połączeń na różnych kanałach komunikacji;
• Bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami;
• Regularne szkolenia pracowników z zakresu cyberbezpieczeństwa.

Dobranie odpowiednich i proporcjonalnych środków zarządzania ryzykiem, które uwzględniają powyższe elementy, może stanowić dla podmiotów dość duże wyzwanie. Z tego powodu warto przy ich wdrażaniu skorzystać z usług firmy zewnętrznej, która specjalizuje się w tym zakresie – takiej, jak SprintTech!