Choć NIS2 kojarzy się przede wszystkim z cyberbezpieczeństwem, jej skuteczne wdrożenie wymaga zaangażowania znacznie szerszego grona niż tylko dział IT. Nowe obowiązki obejmują nie tylko kwestie techniczne, ale także zarządzanie ryzykiem, zgłaszanie incydentów i współpracę z organami. Wiąże się to z koniecznością wdrożenia procedur i polityk obejmujących wiele działów w firmie. Dlatego kluczowe jest wdrażanie NIS2 na poziomie całej organizacji.

Kogo zaangażować?

1. Kadra zarządzająca – podejmuje decyzje strategiczne, a zgodnie z NIS2 jest również odpowiedzialna za zatwierdzanie środków zarządzania ryzykiem  oraz  nadzorowanie ich wdrożenia. W związku z tym zarząd powinien rozumieć ryzyka i wspierać działania wdrażające NIS2.
2. Dział prawny i compliance – przepisy NIS2 mają charakter regulacyjny. Prawnicy są niezbędni do analizy przepisów, interpretacji wymagań, określenia odpowiedzialności i wdrożenia zmian w politykach wewnętrznych lub opracowania zupełnie nowych procedur i polityk. To dział prawny determinuje, czy w organizacji występują niezgodności z przepisami NIS2 i pomaga przygotować organizację na nowe obowiązki.
3. HR i komunikacja wewnętrzna – NIS2 kładzie nacisk na świadomość pracowników w zakresie cyberbezpieczeństwa. Szkolenia, kampanie edukacyjne i komunikacja zmian wymagają zaangażowania działu HR. Dział HR powinien wspierać proces szkoleniowy kadry zarządzającej i pracowników oraz promować cyberhigienę w organizacji.
4. IT i bezpieczeństwo informacji – identyfikacja aktualnych  systemów i procedur oraz wdrożenie dostosowanych do NIS2 rozwiązań technicznych, polityk  i procedur. Istotną rolę w cyberbezpieczeństwie odgrywają więc wdrożone środki techniczne oraz świadomy pracownik, który wie, jak reagować na zagrożenia i ma zapewnione odpowiednie narzędzia.
5. Dział Zakupów, kontakt z kontrahentami – NIS2 zwraca uwagę na bezpieczeństwo łańcucha dostaw, w związku z tym dostawcy i podwykonawcy powinni być weryfikowani pod względem zapewnienia bezpieczeństwa danych. Umowy zawierane z nimi również mają zminimalizować ryzyka i zapewniać zgodność z NIS2. W analizie i sporządzeniu treści umów z dostawcami i podwykonawcami również pomoże dział prawny.

Dyrektywa NIS2 wprowadza nowe standardy cyberbezpieczeństwa, ale jej wdrożenie to złożony proces, który obejmuje całą organizację – nie tylko dział IT. Kluczem do sukcesu jest indywidualne podejście, uwzględnienie profilu prowadzonej działalności i świadome zaangażowanie we wdrożenie NIS2 odpowiednich działów w firmie.

Szerzej umówimy te tematy na naszym najbliższym webinarze.

Zarejestruj się już teraz!

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Marta Adranowska, adwokat, Senior Associate w Lawspective.

E-mail: marta.adranowska@lawspective.pl