NIS2 krok po kroku — co technicznie musi mieć firma
NIS2 bez prawniczego żargonu: które firmy obejmuje, co trzeba mieć od strony IT (backup, DR, dostęp, monitoring) i od czego zacząć.
NIS2 · BEZPIECZENSTWO · BACKUP · DISASTER-RECOVERY · COMPLIANCE
NIS2 to dyrektywa, która brzmi jak temat dla prawników, a w praktyce w 80% jest tematem dla działu IT. Sprowadza się do jednego pytania: czy po ataku, awarii albo wycieku Wasza firma potrafi działać dalej i zgłosić incydent na czas? Poniżej, bez żargonu, co to oznacza w praktyce i od czego zacząć.
TL;DR
- Kogo obejmuje: szerszy krąg niż wcześniej — także średnie firmy i dostawcy podmiotów kluczowych
- O co chodzi: odporność na incydent, ciągłość działania i zdolność zgłoszenia w terminie
- Co mieć: backup niezmienny, testowany DR, kontrolę dostępu, monitoring, procedury
- To proces: zgodność trzeba utrzymywać, nie „uzyskać raz”
- Od czego zacząć: audyt luk z priorytetami — najpierw największe ryzyka
Najpierw: czy w ogóle Was dotyczy
NIS2 rozszerza obowiązki w zakresie cyberbezpieczeństwa na znacznie szerszy krąg firm niż poprzednia dyrektywa — w tym wiele podmiotów średniej wielkości oraz dostawców obsługujących sektory kluczowe. Nie obejmuje każdej mikrofirmy, ale próg jest niżej, niż wielu zakłada, a obowiązki łańcucha dostaw potrafią „zarazić” także mniejszych podwykonawców.
Ustalenie, czy i w jakim zakresie podlegacie, to pierwszy krok. To częściowo kwestia prawna — my zajmujemy się stroną techniczną i organizacyjną, czyli tym, co trzeba realnie wdrożyć.
Co trzeba mieć — od strony IT
Wymagania da się sprowadzić do kilku filarów, które i tak są fundamentem dobrego bezpieczeństwa:
- Kopie zapasowe odporne na incydent — niezmienne (immutable) i offsite, żeby ransomware nie zaszyfrował też backupu
- Testowany plan odtworzenia — z określonym czasem powrotu (RTO) i akceptowalną utratą danych (RPO)
- Kontrola dostępu — MFA, zasada najmniejszych uprawnień, porządek w kontach
- Monitoring i wykrywanie — żeby zauważyć incydent, zanim zauważy go klient
- Hardening — serwery, sieć i stacje skonfigurowane bezpiecznie, nie „domyślnie”
- Procedury — kto co robi przy incydencie i jak zgłosić go w wymaganym czasie
Zwróćcie uwagę na ostatni punkt: NIS2 wymaga zdolności zgłoszenia incydentu w określonych ramach czasowych. To procedura i odpowiedzialność, nie kolejny program do kupienia.
Narzędzia to nie zgodność
Najczęstsze nieporozumienie: „kupimy firewall i antywirus, będzie NIS2”. Nie będzie. Najlepszy sprzęt nie pomoże, jeśli backup nigdy nie był testowany, nikt nie wie, kto reaguje na incydent, a uprawnienia byłych pracowników wciąż są aktywne. Zgodność to procesy spięte z narzędziami — i utrzymywane, bo audyt sprzed roku nie chroni przed dzisiejszym atakiem.
Od czego zacząć
Od audytu, który pokazuje różnicę między stanem obecnym a wymaganiami. Dostajecie listę luk uszeregowaną według ryzyka i plan naprawczy — wtedy wiadomo, co zrobić najpierw i ile to kosztuje. Nie trzeba robić wszystkiego naraz; trzeba zacząć od tego, co grozi najbardziej.
Nie wiecie, czy NIS2 Was dotyczy i co realnie trzeba mieć? Zobacz, jak wdrażamy zgodność z NIS2 albo umów bezpłatną konsultację — sprawdzimy zakres i pokażemy, od czego zacząć.