In an era of increasing cyber threats, the importance of network and information security is paramount. Dyrektywa NIS2 (dyrektywa w sprawie sieci i systemów informatycznych) stanowi znaczący krok w kierunku zwiększenia odporności państw członkowskich UE na zagrożenia dla cyberbezpieczeństwa. Jednak dla wielu firm zrozumienie i przestrzeganie NIS2 może wydawać się trudnym zadaniem. Na szczęście istnieje uproszczone podejście, wykorzystujące aspekty ISO 27001 w celu zapewnienia zgodności z NIS2.

Co to jest NIS2?

Dyrektywa NIS2zastępująca pierwotną dyrektywę NIS, rozszerza zakres wymogów cyberbezpieczeństwa na szerszy zakres sektorów i wprowadza bardziej rygorystyczne środki w celu poprawy odporności i zdolności reagowania podmiotów na incydenty. Nakłada ona na operatorów infrastruktury krytycznej - takich jak opieka zdrowotna, energetyka, transport i usługi cyfrowe - obowiązek zapewnienia solidnego bezpieczeństwa swoich systemów, zgłaszania incydentów i skutecznego zarządzania ryzykiem.

NIS2 kładzie szczególny nacisk na zarządzanie ryzykiem dla sieci i systemów informatycznych wykorzystywanych w infrastrukturze krytycznej i usługach kluczowych. Dyrektywa opiera się na podstawowych zasadach, takich jak zarządzanie ryzykiem, zgłaszanie incydentów i współpraca transgraniczna w celu ochrony infrastruktury cyfrowej UE.

Dyrektywa NIS2 + ISO27001

Dyrektywa NIS2 + ISO27001

Uproszczenie zgodności NIS2 z ISO 27001

Jednym z najprostszych sposobów na przygotowanie firmy do Zgodność z NIS2 jest przyjęcie ISO 27001 standard. ISO 27001 oferuje systematyczne ramy zarządzania wrażliwymi informacjami firmowymi, zapewniając ich bezpieczeństwo. 

Alternatywnie można skorzystać z poszczególnych części normy ISO27001 i zapewnić zgodność z NIS2.

Poprzez wdrożenie kluczowe artykuły z ISO 27001W ten sposób można spełnić wiele wymagań NIS2 w zakresie cyberbezpieczeństwa. 

Oto jak ISO 27001 może pomóc:

Zarządzanie ryzykiem (ISO 27001, klauzula 6.1): Jednym z podstawowych wymogów NIS2 jest posiadanie skutecznych środków zarządzania ryzykiem. Ustrukturyzowane podejście ISO 27001 do zarządzania ryzykiem pomaga identyfikować i ograniczać ryzyko związane z systemami informatycznymi.

Reagowanie na incydenty (ISO 27001, załącznik A.16): NIS2 nakazuje organizacjom zgłaszanie istotnych incydentów w ciągu 24 do 72 godzin. Postępując zgodnie z wytycznymi ISO 27001 dotyczącymi zarządzania incydentami, firmy mogą ustanowić skuteczne mechanizmy raportowania, dzięki czemu zgodność z przepisami będzie bezproblemowa.

Zasady bezpieczeństwa informacji (ISO 27001, klauzula 5.1): Dobrze udokumentowany zestaw polityk bezpieczeństwa, wymagany zarówno przez ISO 27001, jak i NIS2, zapewnia, że wszyscy pracownicy i interesariusze rozumieją swoje role w utrzymaniu cyberbezpieczeństwa.

Bezpieczeństwo łańcuchów dostaw (ISO 27001, załącznik A.15): NIS2 kładzie nacisk na bezpieczeństwo nie tylko systemów wewnętrznych, ale także zewnętrznych dostawców. ISO 27001 pomaga organizacjom w zarządzaniu ryzykiem związanym z łańcuchem dostaw, zapewniając, że partnerzy zewnętrzni przestrzegają standardów cyberbezpieczeństwa.

Ciągłość działania (ISO 27001, klauzula 17): NIS2 podkreśla znaczenie utrzymania usług w przypadku zakłóceń. Planowanie ciągłości działania ISO 27001 umożliwia organizacjom odzyskanie sprawności po incydentach i kontynuowanie działalności bez znaczących przestojów.

Poniżej znajdują się obowiązkowe artykuły z normy ISO27701 do edycji. Prosimy o kontakt w celu uzyskania ostatecznej listy konkretnych paragrafów, które należy edytować. Pomoże to przygotować się do NIS2.

Kod Doument Nazwa dokumentu Obowiązkowe
1) Wsparcie zarządzania Decyzja o rozpoczęciu projektu  
2) Plan projektu Plan projektu  
3) Wstępny plan treningowy Wstępny plan treningowy  
4) Polityka najwyższego poziomu Polityka bezpieczeństwa systemów informatycznych TAK
5) Metodologia zarządzania ryzykiem Metodologia oceny ryzyka TAK
6) Ocena ryzyka i leczenie Tabela oceny ryzyka TAK
6) Ocena ryzyka i leczenie Tabela traktowania ryzyka TAK
6) Ocena ryzyka i leczenie Akceptacja ryzyka szczątkowego  
6) Ocena ryzyka i leczenie Ocena ryzyka i raport z leczenia TAK
7) Plan postępowania z ryzykiem Plan postępowania z ryzykiem TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka bezpieczeństwa IT TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka czystego biurka i czystego ekranu  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Zasady dotyczące urządzeń mobilnych i pracy zdalnej  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka przynoszenia własnych urządzeń (BYOD)  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Zasady dotyczące urządzeń mobilnych i pracy zdalnej  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Procedury dotyczące pracy w strefach bezpieczeństwa  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka klasyfikacji informacji  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Procedura zarządzania aktywami TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Rejestr zasobów IT TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Procedury bezpieczeństwa dla działu IT TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka zarządzania zmianami  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka tworzenia kopii zapasowych TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka przekazywania informacji TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka bezpiecznej komunikacji TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka utylizacji i niszczenia  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka korzystania z szyfrowania TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka kontroli dostępu TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka uwierzytelniania TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Zasady dotyczące haseł  
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka bezpiecznego rozwoju TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Załącznik 1 - Specyfikacja wymagań dotyczących systemu informatycznego TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Polityka bezpieczeństwa dla zasobów ludzkich TAK
8) Zasady i procedury dotyczące cyberbezpieczeństwa Oświadczenie o akceptacji dokumentów dotyczących cyberbezpieczeństwa  
9) Ciągłość działania i zarządzanie kryzysowe Metodologia analizy wpływu na biznes  
9) Ciągłość działania i zarządzanie kryzysowe Kwestionariusz analizy wpływu na działalność  
9) Ciągłość działania i zarządzanie kryzysowe Strategia ciągłości działania  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 1 - Cele dotyczące czasu regeneracji dla działań  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 2 - Przykłady scenariuszy zakłócających incydentów  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 3 - Plan przygotowań do zapewnienia ciągłości działania  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 4 - Strategia odzyskiwania aktywności dla (nazwa aktywności)  
9) Ciągłość działania i zarządzanie kryzysowe Plan zarządzania kryzysowego TAK
9) Ciągłość działania i zarządzanie kryzysowe Plan ciągłości działania TAK
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 1 - Plan reagowania na incydenty  
9) Ciągłość działania i zarządzanie kryzysowe 9.11 Załącznik 2 - Lista miejsc ciągłości działania  
9) Ciągłość działania i zarządzanie kryzysowe 9.12 Załącznik 3 - Plan transportowy  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 4 - Kluczowe osoby kontaktowe  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 5 - Plan odzyskiwania danych po awarii TAK
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 6 - Plan naprawczy dla (nazwa działania)  
9) Ciągłość działania i zarządzanie kryzysowe Plan ćwiczeń i testów  
9) Ciągłość działania i zarządzanie kryzysowe Załącznik 1 - Raport z ćwiczeń i testów  
10) Bezpieczeństwo łańcucha dostaw Polityka bezpieczeństwa dostawców TAK
10) Bezpieczeństwo łańcucha dostaw Klauzule bezpieczeństwa dla dostawców i partnerów TAK
10) Bezpieczeństwo łańcucha dostaw Oświadczenie o poufności TAK
11) Ocena skuteczności cyberbezpieczeństwa Metodologia pomiaru TAK
11) Ocena skuteczności cyberbezpieczeństwa Raport z pomiarów TAK
12) Zarządzanie incydentami i raportowanie Procedura zarządzania incydentami TAK
12) Zarządzanie incydentami i raportowanie Dziennik incydentów  
12) Zarządzanie incydentami i raportowanie Formularz przeglądu po incydencie  
12) Zarządzanie incydentami i raportowanie Powiadomienie o poważnym incydencie dla odbiorców usług TAK
12) Zarządzanie incydentami i raportowanie Wczesne ostrzeganie przed poważnymi incydentami TAK
12) Zarządzanie incydentami i raportowanie Powiadomienie o poważnym incydencie TAK
12) Zarządzanie incydentami i raportowanie Raport pośredni z istotnego incydentu TAK
12) Zarządzanie incydentami i raportowanie Raport końcowy z poważnego incydentu TAK
12) Zarządzanie incydentami i raportowanie Raport z postępów w zakresie poważnych incydentów TAK
13) Szkolenie i świadomość w zakresie cyberbezpieczeństwa Plan szkoleń i podnoszenia świadomości TAK
14) Audyt wewnętrzny Procedura audytu wewnętrznego TAK
14) Audyt wewnętrzny Roczny program audytu wewnętrznego TAK
14) Audyt wewnętrzny Raport z audytu wewnętrznego TAK
14) Audyt wewnętrzny Lista kontrolna audytu wewnętrznego TAK
15) Przegląd zarządzania Procedura przeglądu zarządzania TAK
15) Przegląd zarządzania Protokół z przeglądu zarządzania TAK
16) Działania naprawcze Procedura działań naprawczych TAK
16) Działania naprawcze Załącznik 1 - Formularz działań naprawczych TAK

Uzyskaj pełne wsparcie dla integracji NIS2 i ISO 27001

Chociaż NIS2 przynosi nowe wyzwania, wykorzystanie ISO 27001 do spełnienia jego wymagań może znacznie zmniejszyć obciążenie. Przy MarcelinoZapewniamy kompleksowe wsparcie, aby pomóc Twojej firmie zachować zgodność z NIS2. Oferujemy wskazówki ekspertów i rozwiązania programowe dostosowane do zarządzania Normy ISO i cyberbezpieczeństwa. Nasze narzędzia upraszczają ten proces, pomagając skutecznie zintegrować zasady NIS2 z codziennymi operacjami.

Wspólnie z naszymi partnerami oferujemy:

Przykłady dokumentów ISO27001 i wybranych dokumentów NIS2;

Szkolenia i podnoszenie świadomości w zakresie cyberbezpieczeństwa NIS2;

- Webinar Co to jest NIS2 i jak zapewnić zgodność z nim? 

- Artykuły i porady Jak zorganizować szkolenie i podnoszenie świadomości zgodne z przepisami DORA?

- Kompleksowy przewodnik po DORA.

Jeśli potrzebujesz szablonu NIS2 lub innej zawartości, skontaktuj się z nami: [email protected]

Kontakt:
Jurij Cvikl
Tel: +386 31 324 100
E-mail: [email protected]
 

Aby uzyskać więcej informacji i pełną listę sposobów, w jakie ISO 27001 pomaga w zapewnieniu zgodności z NIS2, skontaktuj się z nami już dziśDostarczymy Ci próbki i materiały oraz połączymy Cię z odpowiednimi partnerami.

Skontaktuj się z nami!

Dodaj komentarz