Gotuj się! Nadchodzi NIS2
To wydarzenie zostało zakończone. Zobacz relację ze spotkania.
Wstęp
Podczas marcowego spotkania CSO Council porozmawiamy o NIS2, czyli regulacji, która ma fundamentalne znaczenie dla całej branży cybersecurity.
Po pierwsze zmienią się wymogi zawarte w NIS dotyczące podmiotów, które już dzisiaj podlegają tej regulacji. Po drugie, co chyba nawet istotniejsze, znacznie wzrośnie krąg podmiotów, które znajdą się w jej działaniu. Niestety, wiele tych firm nie ma świadomości konsekwencji tego faktu. Dlatego w kontekście lokalnym mamy do czynienia z pewną niemerytoryczną niemocą w zakresie nowelizacji Ustawy o KSC, a także dopasowania do wymogów NIS. To wszystko ‘znakomicie’ utrudnia proces przygotowania firm do NIS2 w Polsce.
Jak w tym wszystkim odnajdują się działy cyberbezpieczeństwa z organizacji, które dopiero mają się stać przedmiotem regulacji albo już dzisiaj podlegają UoKSC? Co powinny teraz robić? Jak wobec niepełnej informacji dobrze zaplanować proces dopasowania?
Porozmawiajmy o tych wyzwaniach i wymieńmy się opiniami – warto sprawdzić, jak to widzą inni.
Ponieważ jest to pierwsze spotkanie w tym roku przedstawimy także plan spotkań CSO Council na 2023 oraz nowe pomysły i inicjatywy w ramach społeczności. Zapraszamy też na najbardziej aktualny cyberekspress – czyli przegląd najważniejszych wydarzeń w branży od czasu ostatniego spotkania społeczności!.
Jak zawsze zapewnimy ciekawe dyskusje i rozmowy – spotkania CSO Council to nieodmiennie okazja do wymiany doświadczeń i networkingu, także w czasach spotkań online!
Spotkania CSO Council to gwarancja bardzo efektywnego spędzenia skondensowanego czasu w elitarnym gronie menedżerów zajmujących się bezpieczeństwem informacji
Treściwą i aktualną merytorykę zapewniają najlepsi eksperci, zaś możliwość wymiany opinii oraz dyskusji z uczestnikami spotkania to niepowtarzalna okazja do pogłębienia wiedzy jak i doświadczeń.
Agenda
Co warto zacząć robić już teraz, by wykorzystać czas do czasu sformułowania krajowej legislacji zgodnej z NIS2?
Czego wymagać będzie od organizacji NIS2 pod względem zarządzania ryzykiem i zarządzania incydentami – jak wiele pozostaje do zrobienia i jak można to praktycznie realizować. Praktyczne przykłady rozwiązań.
Co myślimy o NIS2 jako o wyzwaniu – w czasie, gdy pewnych rzeczy jeszcze nie wiadomo, a krajowa legislacja pozostaje w pewnym dryfie? Co warto zacząć robić już dzisiaj?
To czas na spotkania roundtable, podczas których będziemy mogli podyskutować w mniejszych grupach na tematy dotyczące oceny efektywności rozwiązań cyberbezpieczeństwa.
Subiektywny, autorski przegląd najważniejszych zjawisk i wydarzeń w branży cybersecurity z ostatniego miesiąca.
Zapraszamy na premierę książki “Bezpieczeństwo IT. Poradnik” napisanej przez Członków ISSA Polska. Jest to poszerzona kontynuacja wydanego w roku 2015 Poradnika dla Kancelarii Prawnych.
Spotkanie to niepowtarzalna okazja do poznania autorów podręcznika, który przygotowali:
Grzegorz Cenkier, Beata Marek, Marcin Juszczyk, Michał Hornowski, Kamil Pszczółkowski, Kamil Grzela, Bogusław Gębura oraz Piotr Brogowski.
Stanie się ona przyczynkiem do dalszej dyskusji wokół tematów cybersecurity. Zapraszamy!
Lokalizacja
Spotkanie odbędzie się w WaveSpace, EY, Rondo ONZ 1, 00-124 Warszawa.
Relacja
7 marca spotkaliśmy się po raz pierwszy w 2023 roku w gronie Chief Security Officerów w ramach społeczności CSO Council, aby porozmawiać o najgorętszym obecnie temacie – dyrektywie NIS2 i jej wpływie na funkcjonowanie przedsiębiorstw. Nowa dyrektywa zmieni branżę cybersecurity, przeniesie wiele pracy, ale także daje nadzieję, na zmianę rzeczywistych priorytetów jeśli chodzi o temat cyberbezpieczeństwa w wielu przedsiębiorstwach.
Spotkanie rozpoczęli jego gospodarze: Patryk Gęborys, Cyber Security Lead oraz Leszek Mróz, Partner w EY. Przedstawili oni otoczenie regulacyjne, w którym obecnie funkcjonujemy i to, co w nim zmieni NIS2. Dla wielu podmiotów NIS2 niesie ważne zmiany. W zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy. Państwa członkowskie nie powinny być zobowiązane do ustanowienia wykazu podmiotów, które spełniają kryterium związane z wielkością. To szalenie istotna różnica względem obecnie obowiązujących przepisów, gdzie podmioty są powoływane przez odpowiednie instytucje do pełnienia roli OUK. Teraz przedsiębiorstwa będą podlegały ustawie niejako z automatu.
Ważne kwestie związane z nowymi wymaganiami dotycząc konsekwencji ich niedopełnienia – te będą dużo, dużo większe niż obecnie, a za niedopełnienie obowiązków będą groziły dotkliwe kary finansowe – nawet większe od tych wynikających z przepisów RODO.
Drugą prezentację wygłosiła doskonale wszystkim znana Joanna Dąbrowska, ekspertka i inżynier w Trend Micro, która na bazie zmian wynikających z NIS2 pokazała, jak należy podejść do tematu zarządzania ryzykiem incydentami. Obecnie powszechne podejście uwzględnia ledwie wierzchołek góry lodowej, jaką są wyzwania związane z cyberbezpieczeństwem. Nowe podejście będzie wymagało ujęcia ryzyka w dużo bardziej dogłębnie, patrząc na wszystkie procesy i zasoby organizacji. W dalszej części Joanna omówiła kwestie ciągłej analizy i raportowania, czyli jednego z nowych wymogów wynikających wprost z NIS2 – to kolejna ważne wyzwanie dla wielu organizacji, które proces oceny ryzyka wykonują jednorazowo lub w interwałach.
Ważnym aspektem oceny ryzyka jest właściwa priorytetyzacja badanych obszarów i wpływ potencjalnego incydentu na funkcjonowanie organizacji.
Część prezentacyjną zamknęła dyskusja panelowa, którą poprowadził Przemysław Gamdzyk, a jego gośćmi byli przedstawiciele podmiotów, które w świetle przepisów dyrektywy NIS2 będą objęte regulacjami: Piotr Albrecht, Security Officer, DPD, Daniel Grudzień, Kierownik Działu Bezpieczeństwa Informacji, Adamed, Jacek Skorupka, Global cybersecurity director, Medicover oraz
Marek Kuczyński, Szef Biura Ochrony Informacji, Grupa Azoty Puławy reprezentując podmiot już regulacjami objęty, ale szykujący się na wdrożenie nowej dyrektywy.
Dla wszystkich menedżerów cyberbezpieczestwa z podmiotów, które będą podlegać NIS2, najbliższe lata to okres wytężonej pracy. Niektórzy zastanawiają się, czy wystarczy budżetów, a przede wszystkim kompetentnej kadry, by przygotować wszystkie organizacje. Stąd w środowisku zrodził się postulat, by spróbować zminimalizować obszar pracy i przygotowań, który niejako może zostać zrobiony wspólnie, bez potrzeby multiplikowania go w poszczególnych organizacjach. Dyskusji – a właściwie to dyskusjom – bo czasu wystarczyło również na dyskusje w podgrupach animowanych przez członków Rady CSO Council – towarzyszyły emocje i rzeczywiste zaangażowanie uczestników. Widać było, że NIS2 to kluczowe wyzwanie, w którym potrzebne jest mądre przywództwo i odpowiedzialne planowanie w cyber, ale także racjonalne i przewidywalnie wsparcie ze strony właściwych agend państwowych.