To już nie jest problem tylko działu IT. NIS2 zmienia zasady gry

Temat pojawiał się na posiedzeniach zarządu sporadycznie, najczęściej wtedy, gdy trzeba było zatwierdzić kolejny budżet. Większość prezesów mogła spokojnie uznać, że wszystko jest pod kontrolą.

Jednak wraz z nowymi regulacjami mapa odpowiedzialności w organizacji została narysowana od nowa. Dlatego właśnie NIS2 budzi tak duże emocje wśród kadry zarządzającej.

Bo choć w debacie publicznej najczęściej mówi się o nowych obowiązkach, procedurach czy zabezpieczeniach, prawdziwa zmiana dotyczy czegoś zupełnie innego. Dotyczy odpowiedzialności.

Cyberbezpieczeństwo przestało być problemem IT

Przez lata wiele organizacji traktowało cyberbezpieczeństwo jak infrastrukturę. Tak długo, jak działała, nie wymagała większej uwagi. Tymczasem współczesne cyberataki rzadko kończą się wyłącznie problemami technicznymi. Dziś skutki incydentu odczuwa cała organizacja.

Zatrzymana produkcja, brak możliwości realizacji zamówień, niedostępność systemów sprzedażowych, problemy z obsługą klientów czy utrata dostępu do kluczowych danych to już nie są problemy działu IT.

Regulatorzy przestali pytać wyłącznie o technologie, Zaczęli pytać o sposób zarządzania ryzykiem i kto się tym zajmuję. 

CISO- ekspert cyberbezpieczeństwa

NIS2 nie wymaga stanowiska CISO. Wymaga wykonywania jego obowiązków. Ktoś musi przeprowadzać analizy ryzyka, raportować zagrożenia i poziom bezpieczeństwa do zarządu.

Ktoś musi nadzorować obsługę incydentów, organizować szkolenia, weryfikować dostawców, prowadzić audyty i pilnować zgodności z wymaganiami regulacyjnymi. I właśnie tutaj pojawia się wyzwanie, z którym mierzy się dziś wiele organizacji.

Bo o ile zadania są rozproszone pomiędzy różne działy, o tyle odpowiedzialność za skuteczny nadzór pozostaje po stronie kierownictwa, które najczęściej „mało” wie. Nowa dyrektywa to nie jest projekt, tylko proces. Jednym z najczęstszych błędów jest traktowanie NIS2 jak kolejnego projektu wdrożeniowego. 

Nic bardziej mylnego, ponieważ projekt można zakończyć  – NIS2 nie. Analiza ryzyka, szkolenie zarządu, ocena dostawców nie są jednorazowymi działaniami. To procesy, które muszą funkcjonować stale.

W praktyce oznacza to konieczność regularnego raportowania do zarządu, aktualizacji polityk bezpieczeństwa, przeprowadzania testów, audytów oraz monitorowania poziomu ryzyka w organizacji.

Pytanie brzmi więc nie „czy to zrobić?”, ale „kto będzie za to odpowiadał?”.

Właśnie tutaj pojawia się on cały na biało – CISO. Chief Information Security Officer to Osoba która jest odpowiedzialna w organizacji za całość działań związanych z cyberbezpieczeństwem. Dojrzałe organizacje już wiedzą, że cyberbezpieczeństwo nie jest wyłącznie zagadnieniem technicznym.

To element zarządzania ryzykiem biznesowym. Dlatego coraz częściej potrzebują osoby, która potrafi połączyć świat technologii, regulacji i biznesu. Osoby, która będzie partnerem dla zarządu. Nie po to, aby generować kolejne raporty. Po to, aby pomóc podejmować właściwe decyzje. Taką rolę pełni CISO.

I właśnie dlatego wiele firm decyduje się dziś na model CISO as a Service – korzystając z doświadczenia eksperta z długoletnim doświadczeniem, przy wielu projektach bez konieczności tworzenia etatowego stanowiska, wysokich kosztów i wielomiesięcznej rekrutacji.

Chcesz sprawdzić, jakie doświadczenie powinien posiadać CISO wspierający organizację w realizacji wymagań NIS2?

Napisz do Nas i umów się na darmową konsultacje z naszym CISO. Zobacz, jak wygląda praktyczne doświadczenie eksperta, który wspiera zarządy w budowaniu odporności cybernetycznej, zarządzaniu ryzykiem oraz przygotowaniu organizacji do wymagań NIS2.

Więcej informacji i link do formularza znajdziesz tutaj: CISCO as a service