Audyt spełnienia wymagań ustawy (GAP analysis) ma odpowiedzieć na pytanie: na jakim poziomie dojrzałości w zakresie cyberbezpieczeństwa jest moja organizacja? Może działania nie są w ogóle potrzebne? Albo wręcz przeciwnie - jestem na początku drogi.

Podstawowe pytanie: Jak to zrobić? Potrafi wzbudzić niepokój. Na pewno nie da się na nie odpowiedzieć jednym zdaniem. Odpowiedzią jest plan dojścia do docelowej dojrzałości bezpieczeństwa organizacji - strategia bezpieczeństwa usług kluczowych/cyfrowych.

Mechanizm zarządzania ryzykiem jest dzisiaj podstawą do rozwiązywania problemów na wielu płaszczyznach. Systematyczne szacowanie ryzyka i zarządzanie nim powinno być podłożem systemu zarządzania bezpieczeństwem.

Zarządzanie incydentem to skuteczna identyfikacja, reakcja na incydent oraz raportowanie i wyciąganie wniosków. Stanowi ono obowiązek każdego operatora usługi kluczowej i usługi cyfrowej.

Gdzie tkwi słabość, która może być wykorzystana przez atakującego? Nie jesteśmy w stanie tego stwierdzić bez systematycznej weryfikacji bezpieczeństwa systemów. Samo badanie i zdefiniowanie rekomendacji też nie wystarczy. 

Zarządzanie systemami IT już od dawna nie polega wyłącznie na administrowaniu nimi. Aby mieć pełną kontrolę nad systemem musimy nadzorować wszelkie zmiany wprowadzane przez podwykonawców i własnych pracowników.