Jak ISO/IEC 27001 wspiera zgodność z dyrektywą NIS2
Skontaktuj się z nami
Menu
PLENUA
Home/Baza wiedzy/Zarządzanie informacją/Jak ISO/IEC 27001 wspiera zgodność z dyrektywą NIS2

Jak ISO/IEC 27001 wspiera zgodność z dyrektywą NIS2

Czym jest dyrektywa NIS2?

Nowa dyrektywa NIS 2, stanowiąca rozwinięcie i aktualizację oryginalnej dyrektywy NIS (Network and Information Systems) z 2016 roku, stanowi kluczowy element legislacyjny w dziedzinie cyberbezpieczeństwa w Unii Europejskiej. Celem tej dyrektywy jest wzmocnienie odporności cybernetycznej kluczowych sektorów gospodarki i usług cyfrowych państw członkowskich UE. Znaczenie dyrektywy NIS2 wynika z rosnącej zależności społeczeństw i gospodarek od sieci i systemów informatycznych, a także z rosnącej liczby i skali zagrożeń cybernetycznych.

 

Kogo obejmie NIS2?

Wprowadzona 16 stycznia 2023 roku Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, nazywana w skrócie NIS2 rozszerza zakres swojego poprzednika poprzez obejmowanie większej liczby sektorów i typów usług, w tym dostawców usług cyfrowych i krytycznej infrastruktury, takich jak energia, transport, zdrowie, i finanse. Wprowadza ona bardziej rygorystyczne wymagania dotyczące zarządzania zagrożeniami cybernetycznymi, zgłaszania incydentów bezpieczeństwa, a także wprowadza ostrzejsze sankcje za niezastosowanie się do przepisów. Nowe przepisy wejdą w życie już od 17 października 2024 roku.


Znaczącą zmianą wprowadzoną przez NIS 2 jest podział na podmioty kluczowe i ważne. Zastępuje on poprzednią kategoryzację, która obejmowała operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne.

 

Zgodnie z nową dyrektywną za podmioty kluczowe uznawane są podmioty z sektorów:

  • energetyka,
  • transport,
  • bankowość,
  • infrastruktura rynków finansowych,
  • zdrowie,
  • woda pitna,
  • ścieki,
  • infrastruktura cyfrowa,
  • zarządzanie usługami ICT,
  • administracja publiczna,

 

Z kolei w kategorii podmiotów ważnych znajdują się:

  • usługi pocztowe i kurierskie,
  • zarządzanie odpadami,
  • produkcja (w tym wyroby medyczne, produkty komputerowe, elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy, oraz inny sprzęt transportowy),
  • produkcja i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności
  • dostawcy usług cyfrowych.

 

Kary za niedostosowanie się do nowych przepisów NIS 2

Wprowadzenie dyrektywy NIS2 niesie ze sobą rygorystyczne konsekwencje finansowe dla tych, którzy nie dostosują się do jej wymogów. Dla podmiotów kluczowych, które nie stosują się do przepisów dotyczących zarządzania ryzykiem lub zgłaszania incydentów, przewidziane są znaczące kary administracyjne, które mogą osiągnąć poziom do 10 mln euro lub 2% całkowitego rocznego obrotu. Tymczasem podmioty uznane za ważne mogą zostać obciążone grzywną do 7 mln euro lub 1,4% ich całkowitego rocznego obrotu.

 

Główne cele i zakres dyrektywy NIS2

1. Rozszerzenie zakresu i zasięgu: NIS 2 poszerza zakres dyrektywy NIS, obejmując szerszą gamę sektorów i usług, które są teraz uważane za kluczowe z punktu widzenia cyberbezpieczeństwa. Oprócz tradycyjnych sektorów infrastruktury krytycznej, jak energetyka, transport i zdrowie, dyrektywa NIS2 obejmuje także nowe sektory, takie jak sektor cyfrowy (np. platformy mediów społecznościowych, centra danych), administracja publiczna, oraz przedsiębiorstwa o szczególnym znaczeniu gospodarczym lub społecznym.

2. Zwiększenie wymogów dotyczących bezpieczeństwa: Jednym z kluczowych elementów dyrektywy jest zaostrzenie wymogów dotyczących środków bezpieczeństwa i zarządzania ryzykiem. Organizacje z sektorów objętych dyrektywą muszą stosować odpowiednie środki techniczne i organizacyjne, aby zarządzać ryzykami cybernetycznymi i zapewnić wysoki poziom bezpieczeństwa sieci i informacji.

3. Obowiązek zgłaszania incydentów: Dyrektywa NIS 2 nakłada na organizacje obowiązek szybkiego zgłaszania poważnych incydentów cybernetycznych do właściwych krajowych organów. Zwiększa to przejrzystość i pozwala na lepszą koordynację reakcji na incydenty na poziomie krajowym i unijnym.

4. Wzmocnienie nadzoru i egzekwowania: Dyrektywa przewiduje zwiększenie uprawnień krajowych organów nadzorczych w zakresie kontroli i egzekwowania przepisów. Wprowadza również bardziej rygorystyczne kary za naruszenia, co ma na celu zapewnienie większej skuteczności przepisów.

5. Współpraca i koordynacja: NIS 2 promuje lepszą współpracę między państwami członkowskimi oraz między sektorami publicznym i prywatnym w dziedzinie cyberbezpieczeństwa. Ma to na celu nie tylko szybszą reakcję na incydenty, ale także wymianę najlepszych praktyk i wiedzy eksperckiej.

6. Edukacja i świadomość: Dyrektywa podkreśla również znaczenie edukacji i podnoszenia świadomości na temat zagrożeń cybernetycznych, zarówno wśród decydentów, jak i użytkowników końcowych.

 

Wymagania dotyczące zarządzania ryzykiem w dyrektywie NIS2

Zarządzanie ryzykiem stanowi ważny element dyrektywy NIS 2, która nakłada na podmioty kluczowe szereg wymagań w tym zakresie. Te wymagania odnoszą się do sposobu identyfikacji, oceny i zarządzania ryzykiem cybernetycznym. Poniżej szczegółowo opisano te wymagania:

  • Identyfikacja Ryzyka: Organizacje są zobowiązane do regularnej identyfikacji zagrożeń i podatności, które mogą wpłynąć na ich sieci i systemy informatyczne. Obejmuje to zarówno wewnętrzne, jak i zewnętrzne zagrożenia, a także te wynikające z łańcucha dostaw.
  • Ocena Ryzyka: Po zidentyfikowaniu ryzyka, organizacje muszą dokonać oceny, w jakim stopniu każde z nich może wpłynąć na ich działalność. Ocena ta powinna uwzględniać potencjalny wpływ na prywatność, integralność, dostępność oraz poufność informacji.
  • Zarządzanie Ryzykiem: Po ocenie ryzyka, organizacje są zobowiązane do wdrożenia odpowiednich środków zarządzania ryzykiem. Obejmuje to zarówno środki techniczne, jak i organizacyjne, mające na celu zapobieganie, wykrywanie, reagowanie i minimalizowanie skutków incydentów bezpieczeństwa.
  • Planowanie Odporności i Ciągłości Działania: Organizacje muszą opracować i utrzymywać plany zapewnienia ciągłości działania i odporności na incydenty, aby zminimalizować zakłócenia w usługach i szybko przywrócić normalne działanie po incydencie.
  • Testowanie i Przeglądanie Środków Bezpieczeństwa: Wymagane jest regularne testowanie i przeglądanie skuteczności środków bezpieczeństwa, co obejmuje zarówno audyty wewnętrzne, jak i ewentualne inspekcje zewnętrzne.
  • Szkolenia i Świadomość Personelu: Dyrektywa podkreśla również znaczenie edukacji i podnoszenia świadomości wśród personelu na wszystkich poziomach organizacji w zakresie cyberbezpieczeństwa i zarządzania ryzykiem.
  • Dokumentacja i Raportowanie: Organizacje są zobowiązane do dokumentowania swoich procesów zarządzania ryzykiem oraz do regularnego raportowania o stanie bezpieczeństwa i zarządzania ryzykiem do odpowiednich organów nadzorczych.

 

Te wymagania dyrektywy NIS 2 mają na celu nie tylko zapewnienie odpowiednich środków technicznych i organizacyjnych dla ochrony przed zagrożeniami cybernetycznymi, ale także stworzenie kultury bezpieczeństwa i świadomego zarządzania ryzykiem wśród organizacji operujących w sektorach krytycznych dla funkcjonowania społeczeństwa i gospodarki.

 

Norma ISO/IEC 27001

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemów zarządzania bezpieczeństwem informacji (ISMS). Jest to szeroko stosowany standard, który pomaga organizacjom zabezpieczyć przetwarzane informacje poprzez wdrożenie odpowiednich procedur i polityk. 

 

System Zarządzania Bezpieczeństwem Informacji (ISMS) według ISO/IEC 27001 opiera się na szeregu kluczowych elementów, które są niezbędne do efektywnego zarządzania bezpieczeństwem informacji w organizacji. Te elementy obejmują m.in.:

 

  • Ocena ryzyka: Centralnym elementem ISO/IEC 27001:2022 jest proces oceny ryzyka, gdzie organizacja musi zidentyfikować, ocenić i zarządzać ryzykami bezpieczeństwa informacji.
  • Polityka bezpieczeństwa informacji: Wymaga od organizacji opracowania jasnej polityki bezpieczeństwa informacji, która określa, jak informacje będą chronione.
  • Zabezpieczenia organizacyjne: Norma wymaga określenia struktur odpowiedzialności, w tym ról i obowiązków dotyczących bezpieczeństwa informacji.
  • Zarządzanie zasobami: Wskazuje na potrzebę właściwego zarządzania zasobami niezbędnymi do utrzymania ISMS.
  • Kontrole bezpieczeństwa: Wprowadzenie odpowiednich środków bezpieczeństwa, dostosowanych do zidentyfikowanych ryzyk.

 

Zarządzanie ryzykiem jest fundamentalnym elementem ISO/IEC 27001 i odgrywa kluczową rolę w zapewnieniu efektywnego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Proces ten obejmuje kilka krytycznych kroków:

 

  • Etap identyfikacji ryzyka: Rozpoznanie potencjalnych zagrożeń dla informacji oraz identyfikacja aktywów, które wymagają ochrony.
  • Ocena ryzyka: Analiza i ocena ryzyka, w tym prawdopodobieństwa wystąpienia i potencjalnego wpływu na organizację.
  • Postępowanie z ryzykiem: Wybór odpowiednich środków zarządzania ryzykiem, w tym środków zapobiegawczych, redukujących, przenoszących lub akceptujących ryzyko.

 

W ramach ISO/IEC 27001, procedury bezpieczeństwa informacji są zasadniczymi elementami Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Procedury te są zaprojektowane, aby zarządzać i minimalizować różne ryzyka związane z bezpieczeństwem informacji. Poniżej przedstawiono i krótko opisano wybrane procedury:

 

  • Kontrola dostępu: Ustanowienie procedur, które określają, kto ma dostęp do informacji i systemów informacyjnych.
  • Zarządzanie incydentami bezpieczeństwa informacji: Opracowanie i wdrożenie procedur reagowania na incydenty bezpieczeństwa informacji.
  • Ciągłość działania: Zapewnienie, że operacje biznesowe mogą kontynuować działanie w przypadku poważnych incydentów lub awarii.
  • Szkolenia i świadomość: Edukowanie pracowników na temat polityk bezpieczeństwa informacji i dobrych praktyk.

 

Jak ISO/IEC 27001 wspiera zgodność z NIS2

Wdrożenie normy ISO/IEC 27001 stanowi istotny krok w kierunku zgodności z wymaganiami dyrektywy NIS 2, oferując strukturalne i procesowe wsparcie dla organizacji. Norma ta, koncentrując się na szczegółowym zarządzaniu ryzykiem i wdrażaniu odpowiednich środków kontrolnych, zapewnia solidną podstawę dla efektywnego zarządzania bezpieczeństwem informacji, co jest również kluczowym elementem NIS 2.

 

Zarządzanie ryzykiem, będące rdzeniem ISO/IEC 27001, harmonizuje się z naciskiem dyrektywy NIS 2 na efektywne zarządzanie ryzykiem cybernetycznym. Procesy i strategie identyfikacji, oceny i postępowania z ryzykiem zgodnie z ISO/IEC 27001 mogą być stosowane do spełnienia specyficznych wymagań NIS 2, co umożliwia organizacjom efektywne dostosowanie się do obu dokumentów.

 

Ponadto, ISO/IEC 27001 zawiera rekomendacje dotyczące środków kontrolnych i polityk bezpieczeństwa, które są zgodne z oczekiwaniami dotyczącymi ochrony sieci i systemów informatycznych w NIS 2. Wdrożenie tych środków może pomóc w osiągnięciu zgodności z dyrektywą, szczególnie w zakresie ochrony infrastruktury krytycznej i usług cyfrowych.

 

Procedury reagowania na incydenty, wymagane przez ISO/IEC 27001, są również kluczowe dla spełnienia obowiązków zgłaszania incydentów w ramach NIS 2. Skuteczne procedury reagowania na incydenty i ich komunikacji z odpowiednimi organami regulacyjnymi są istotne zarówno dla ISO/IEC 27001, jak i NIS 2.

 

Ponadto, zarówno ISO/IEC 27001, jak i NIS 2 podkreślają znaczenie dokumentacji i raportowania. Implementacja ISO/IEC 27001 umożliwia organizacjom efektywne prowadzenie szczegółowej dokumentacji ich systemów zarządzania bezpieczeństwem informacji, co jest w pełni zgodne z wymaganiami dokumentacyjnymi określonymi w NIS 2.

 

Wreszcie, zarówno ISO/IEC 27001, jak i NIS 2 podkreślają znaczenie ciągłego doskonalenia w zarządzaniu bezpieczeństwem informacji i reagowaniu na zmieniające się zagrożenia cybernetyczne. Przyjęcie podejścia do ciągłego doskonalenia, zalecanego przez ISO/IEC 27001, może pomóc organizacjom w spełnianiu nowych wymagań NIS 2 i adaptacji do ewoluującego krajobrazu cyberbezpieczeństwa.

 

Podsumowując, wdrożenie ISO/IEC 27001 może znacząco wspierać organizacje w dążeniu do zgodności z dyrektywą NIS2, oferując dobrze zdefiniowane ramy do zarządzania ryzykiem, środkami kontrolnymi, reagowaniem na incydenty oraz procesami dokumentacyjnymi i raportowania. Jest to szczególnie istotne w kontekście rosnącej złożoności zagrożeń cybernetycznych i zwiększających się wymagań regulacyjnych w dziedzinie bezpieczeństwa informacji.

 

Jeśli są Państwo zainteresowani pogłębieniem swojej wiedzy na temat certyfikacji ISO/IEC 27001 i chcieliby Państwo dowiedzieć się, jak nasza firma może pomóc w osiągnięciu zgodności i wzmocnieniu bezpieczeństwa informacji, zapraszamy do zapoznania się z naszą ofertą. Nasz zespół ekspertów oferuje kompleksowe wsparcie w procesie certyfikacji, dostosowane do indywidualnych potrzeb każdej organizacji, zapewniając, że każdy krok w tym procesie jest jasny i skuteczny. Skontaktuj się z nami, aby dowiedzieć się więcej o tym, jak możemy wspierać Państwa organizację w osiąganiu zgodności z wymaganiami dyrektywy NIS2.

 

Zapraszamy również do zapoznania się z ofertę szkoleń w zakresie wymagań normy ISO/IEC 27001 oraz na audytora wewnętrznego ISO/IEC 27001.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z Polityką prywatności

Mapa strony
ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492, wysokość kapitału zakładowego: 50.000,00 zł

Projekt i realizacja:

Media Solutions Group&Web Development

Regulamin plików cookies

Polityka prywatności