NIS 2 odmienia ryzyko przez wszystkie przypadki. I dobrze. Przecież nie możemy się skutecznie bronić przed żadnymi zagrożeniami nie identyfikując ich wcześniej. NIS 2, a za nim nowelizacja UoKSC (projekt) wprowadzają obowiązek prowadzenia systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzania tym ryzykiem. Powinniśmy opracować procedury identyfikacji, analizy i zarządzania ryzykiem związanym z bezpieczeństwem informacji.
W Nowelizacji Ustawy o KSC czytamy wprost:
Art. 8. 1. Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności:
a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,
Prawodawca daje też wskazówki co do samej dokumentacji:
„…dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa, obejmująca:
- szacowanie ryzyka dla obiektów infrastruktury,
- ocenę aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem)…”
Ryzyko jako element analizy incydentu
Również w obszarze dotyczącym incydentów, analiza i postępowanie z ryzykiem są wskazane jako jeden z kluczowych elementów. Sprawozdanie końcowe, musi zawierać informacje na temat zastosowanych i wdrażanych środków ograniczających ryzyko. Z drugiej strony, organ właściwy do spraw cyberbezpieczeństwa podejmuje działania kontrolne w odniesieniu do środków zarządzania ryzykiem w cyberbezpieczeństwie czy obowiązków zgłaszania incydentów poważnych.
Odpowiednia analiza ryzyka i zarządzanie ryzykiem jako elementy wpływające na zasądzenie kary
Ostatecznie, jest to też element wpływający na określenie ewentualnej kary. Karze pieniężnej podlega podmiot kluczowy lub podmiot ważny, który m.in. nie przeprowadził systematycznego szacowania ryzyka lub nie zarządził ryzykiem wystąpienia incydentu.
Cała sekcja odnosząca się do dostawców wysokiego ryzyka oczywiście mówi właśnie o tym, w tym m.in. nakazuje przeprowadzenie szacowania ryzyka związanego ze stosowaniem określonego produktu ICT, usługi ICT lub procesu ICT i wprowadzenie środków ochrony proporcjonalnych do zidentyfikowanych ryzyk oraz nakazuje przegląd planów ciągłości działania i planów odtworzenia działalności pod kątem ryzyka wystąpienia incydentu krytycznego związanego z daną podatnością.
- Przeprowadzenie analizy ryzyka to dobry start do wszelkich działań zabezpieczających, nie tylko przy wdrażaniu NIS 2.
- Szukasz wsparcia w profesjonalnym przygotowaniu analizy ryzyka oraz planu zarządzania ryzykiem?
- Napisz do nas! Wesprzemy Cię w procesie analizy ryzyka i całym wdrożeniu NIS 2!
+48 606 132 621