Gotuj się! Nadchodzi NIS2

Podczas marcowego spotkania CSO Council porozmawiamy o NIS2, czyli regulacji, która ma fundamentalne znaczenie dla całej branży cybersecurity.

Po pierwsze zmienią się wymogi zawarte w NIS dotyczące podmiotów, które już dzisiaj podlegają tej regulacji. Po drugie, co chyba nawet istotniejsze, znacznie wzrośnie krąg podmiotów, które znajdą się w jej działaniu.  Niestety, wiele tych firm nie ma świadomości konsekwencji tego faktu.  Dlatego w kontekście lokalnym mamy do czynienia z pewną niemerytoryczną niemocą w zakresie nowelizacji Ustawy o KSC, a także dopasowania do wymogów NIS.  To wszystko ‘znakomicie’ utrudnia proces przygotowania firm do NIS2 w Polsce.

Jak w tym wszystkim odnajdują się działy cyberbezpieczeństwa z organizacji, które dopiero mają się stać przedmiotem regulacji albo już dzisiaj podlegają UoKSC? Co powinny teraz robić? Jak wobec niepełnej informacji dobrze zaplanować proces dopasowania?

Porozmawiajmy o tych wyzwaniach i wymieńmy się opiniami – warto sprawdzić, jak to widzą inni.

Ponieważ jest to pierwsze spotkanie w tym roku przedstawimy także plan spotkań CSO Council na 2023 oraz nowe pomysły i inicjatywy w ramach społeczności. Zapraszamy też na najbardziej aktualny cyberekspress – czyli przegląd najważniejszych wydarzeń w branży od czasu ostatniego spotkania społeczności!.

 Jak zawsze zapewnimy ciekawe dyskusje i rozmowy – spotkania CSO Council to nieodmiennie okazja do wymiany doświadczeń i networkingu, także w czasach spotkań online!

Spotkania CSO Council to  gwarancja bardzo efektywnego spędzenia skondensowanego czasu w elitarnym gronie menedżerów zajmujących się bezpieczeństwem informacji

Treściwą i aktualną merytorykę zapewniają najlepsi eksperci, zaś możliwość wymiany opinii oraz dyskusji z uczestnikami spotkania to niepowtarzalna okazja do pogłębienia wiedzy jak i doświadczeń.

Spotkanie odbędzie się w WaveSpace, EY, Rondo ONZ 1, 00-124 Warszawa.

7 marca spotkaliśmy się po raz pierwszy w 2023 roku w gronie Chief Security Officerów w ramach społeczności CSO Council, aby porozmawiać o najgorętszym obecnie temacie – dyrektywie NIS2 i jej wpływie na funkcjonowanie przedsiębiorstw. Nowa dyrektywa zmieni branżę cybersecurity, przeniesie wiele pracy, ale także daje nadzieję, na zmianę rzeczywistych priorytetów jeśli chodzi o temat cyberbezpieczeństwa w wielu przedsiębiorstwach.

Spotkanie rozpoczęli jego gospodarze: Patryk Gęborys, Cyber Security Lead oraz Leszek Mróz, Partner w EY. Przedstawili oni otoczenie regulacyjne, w którym obecnie funkcjonujemy i to, co w nim zmieni NIS2. Dla wielu podmiotów NIS2 niesie ważne zmiany. W zakres dyrektywy wchodzą wszystkie średnie i duże przedsiębiorstwa zdefiniowane w zaleceniu Komisji 2003/361/WE15, które działają w sektorach objętych zakresem dyrektywy lub świadczą rodzaj usług objęty zakresem niniejszej dyrektywy. Państwa członkowskie nie powinny być zobowiązane do ustanowienia wykazu podmiotów, które spełniają kryterium związane z wielkością. To szalenie istotna różnica względem obecnie obowiązujących przepisów, gdzie podmioty są powoływane przez odpowiednie instytucje do pełnienia roli OUK. Teraz przedsiębiorstwa będą podlegały ustawie niejako z automatu.

Ważne kwestie związane z nowymi wymaganiami dotycząc konsekwencji ich niedopełnienia – te będą dużo, dużo większe niż obecnie, a za niedopełnienie obowiązków będą groziły dotkliwe kary finansowe – nawet większe od tych wynikających z przepisów RODO.

Drugą prezentację wygłosiła doskonale wszystkim znana Joanna Dąbrowska, ekspertka i inżynier w Trend Micro, która na bazie zmian wynikających z NIS2 pokazała, jak należy podejść do tematu zarządzania ryzykiem incydentami. Obecnie powszechne podejście uwzględnia ledwie wierzchołek góry lodowej, jaką są wyzwania związane z cyberbezpieczeństwem. Nowe podejście będzie wymagało ujęcia ryzyka w dużo bardziej dogłębnie, patrząc na wszystkie procesy i zasoby organizacji. W dalszej części Joanna omówiła kwestie ciągłej analizy i raportowania, czyli jednego z nowych wymogów wynikających wprost z NIS2 – to kolejna ważne wyzwanie dla wielu organizacji, które proces oceny ryzyka wykonują jednorazowo lub w interwałach.

Ważnym aspektem oceny ryzyka jest właściwa priorytetyzacja badanych obszarów i wpływ potencjalnego incydentu na funkcjonowanie organizacji.

Część prezentacyjną zamknęła dyskusja panelowa, którą poprowadził Przemysław Gamdzyk, a jego gośćmi byli przedstawiciele podmiotów, które w świetle przepisów dyrektywy NIS2 będą objęte regulacjami: Piotr Albrecht, Security Officer, DPD, Daniel Grudzień, Kierownik Działu Bezpieczeństwa Informacji, Adamed, Jacek Skorupka, Global cybersecurity director, Medicover oraz

Marek Kuczyński, Szef Biura Ochrony Informacji, Grupa Azoty Puławy reprezentując podmiot już regulacjami objęty, ale szykujący się na wdrożenie nowej dyrektywy.

Dla wszystkich menedżerów cyberbezpieczestwa z podmiotów, które będą podlegać NIS2, najbliższe lata to okres wytężonej pracy. Niektórzy zastanawiają się, czy wystarczy budżetów, a przede wszystkim kompetentnej kadry, by przygotować wszystkie organizacje. Stąd w środowisku zrodził się postulat, by spróbować zminimalizować obszar pracy i przygotowań, który niejako może zostać zrobiony wspólnie, bez potrzeby multiplikowania go w poszczególnych organizacjach. Dyskusji – a właściwie to dyskusjom – bo czasu wystarczyło również na dyskusje w podgrupach animowanych przez członków Rady CSO Council – towarzyszyły emocje i rzeczywiste zaangażowanie uczestników. Widać było, że NIS2 to kluczowe wyzwanie, w którym potrzebne jest mądre przywództwo i odpowiedzialne planowanie w cyber, ale także racjonalne i przewidywalnie wsparcie ze strony właściwych agend państwowych.

Zobacz zdjęcia ze spotkania