Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, została przyjęta w lipcu 2016 roku. Jaki był cel jej wprowadzenia? Po wejściu w życie dyrektywy NIS wszystkie państwa członkowskie zostały zobowiązane do powołania konkretnych, sprecyzowanych w przepisach instytucji, a także odpowiednich modeli współpracy. W Polsce dyrektywa NIS jest realizowana przez ustawę z sierpnia 2018 roku o krajowym systemie cyberbezpieczeństwa.
Cele dyrektywy NIS
Dyrektywa NIS, czyli Network and Information Systems Directive, ustala nowe standardy na temat bezpieczeństwa systemów teleinformatycznych w wielu branżach, w tym także u dostawców usług cyfrowych. Kogo obejmują zapisy dyrektywy NIS? Firmy, reprezentujące segment energetyki, bankowości, transportu, ochrony zdrowia i infrastruktury cyfrowej. Obowiązki, jakie nakłada na podmioty dyrektywa NIS, należy wypełnić, bo w przeciwnym wypadku grożą surowe kary pieniężne – maksymalny ich wymiar może sięgać nawet miliona złotych.
Jak dostosować firmę do wymogów dyrektywy NIS?
Przede wszystkim na początku warto napisać, że najlepiej zlecić to wyspecjalizowanemu w tym temacie podmiotowi. W Warszawie taką firmą jest na przykład IKG Technology. Podmiot ten zapewnia fachową analizę i zarządzanie ryzykiem – w kontekście sieci i systemów teleinformatycznych – w oparciu o odpowiednie i proporcjonalne środki techniczne – w celu analizowania i zarządzania wykorzystywanych sieci i systemów informacyjnych.
W ramach dostosowania firmy do wymogów dyrektywy NIS firmy proponują także szereg działań, jak analiza, audyt, dokumentowanie wszelkich zakłóceń w ciągłości świadczenia usług. Ponadto też, by firma spełniała wymogi dyrektywy NIS, należy wdrożyć odpowiednie procedury zarządzania incydentami. Są to czynności, takie jak identyfikacja i klasyfikacja, a także zgłaszanie i podejmowanie działań naprawczych.
Audyt zgodności z dyrektywą NIS
Każda firma, którą obejmują założenia dyrektywy NIS, może zlecić wyspecjalizowanej w tym temacie firmie audyt zgodności. W razie niejasności, czy wszystkie przepisy zostały zinterpretowane i wdrożone w odpowiedni sposób, audyt rozwieje wszelkie wątpliwości. Jeśli coś zostało niewłaściwie wdrożone lub wdrożenia systemu zarządzania bezpieczeństwem w systemie operacyjnym są niewystarczające, wskaże ona miejsca wymagające korekty oraz stworzy listę zaleceń, co i jak poprawić.
Artykuł powstał we współpracy z https://ikgtechnology.org.pl/