Niestety bardzo często wdrożenie dyrektywy NIS (a co za tym idzie Cyberustawy) rozumiane jest jako skuteczne wdrożenie firmowych Security Operations Center (SOC). Jest to jeden z wątków skutecznego zapewnienia cyberbezpieczeństwa. Na pewno w naszym kraju nowy, podobnie jak fakt, iż instytucje i firmy, często konkurujące ze sobą, dzielą się z podmiotami godnymi zaufania informacjami na temat groźnych incydentów. 

Samo przekonanie wszystkich zainteresowanych do pokazywania słabości zajmie z pewnością dużo czasu. Stąd wydaje się nam upraszczanie tematyki zawartej w ustawie o cyberbezpieczeństwie. Tymczasem już pierwszy akapit rozdziału 3 Cyberustawy określa obowiązki operatorów usług kluczowych w następujący sposób: “Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej” [Art. 8 ustawy]. Dalej jest mowa o tym, co się przez to rozumie. Wymagane jest: wdrożenie zasad zarządzania ryzykiem, wdrażanie odpowiednich i proporcjonalnych do ryzyka zabezpieczeń, zarządzanie incydentami, stosowanie bezpiecznych środków łączności, bezpieczne zarządzanie systemami, monitorowanie informacji o zagrożeniach i podatnościach. 

Wprawne oko dostrzeże konieczność implementacji systemu bezpieczeństwa opartego o mechanizmy międzynarodowego standardu ISO/IEC 27001 (które są podstawą dla wielu narodowych wymagań bezpieczeństwa), amerykańskich standardów NIST lub wymagań COBIT. Tak też była projektowana dyrektywa NIS. Celem było to aby wprowadzić do systemu prawnego wymagania, które dla chętnych w UE są dostępne od wielu lat. 

Potwierdzeniem tej tezy są dwa projekty rozporządzeń, które dołączone zostały do druku RCL ustawy, którym kierowano ją do Sejmu. Rozporządzenie “w sprawie warunków organizacyjnych i technicznych dla wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych” powołuje się wprost na międzynarodowe standardy takie jak ISO/IEC 27001 w zakresie bezpieczeństwa, ISO 22301 w zakresie ciągłości działania oraz dokumenty techniczne RFC 2350 - w zakresie wytycznych dla zarządzania incydentami. 

Podobne odwołania na międzynarodowe standardy zawiera projekt rozporządzenia “w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych”. 

Nad wszystkimi mechanizmami pracowaliśmy od pierwszego wdrożenia wymagań ISO/IEC 27001 w roku 2003. Praktyczne doświadczenie pomoże nam uniknąć wdrożeń “cudownych narzędzi” i “doskonałych cyberprocedur”, a zapewni skuteczne mechanizmy radzenia sobie z problemami cyberbezpieczeństwa.

Zapraszamy do wpsółpracy.