W obliczu rosnących cyberzagrożeń zarządzanie ryzykiem w obszarze cyberbezpieczeństwa staje się dla firm kluczowym wyzwaniem. Dyrektywa NIS2[1] wprowadza wymagania w zakresie ochrony sieci i systemów informatycznych oraz regulacje odnoszące się do wdrożenia środków zarządzania ryzykiem. Skuteczne środki zarządzania ryzykiem pozwolą przedsiębiorcom na identyfikację, ocenę i minimalizowanie potencjalnych zagrożeń. Z tego artykułu dowiesz się, w jakie środki zarządzania ryzykiem wyposażyć swoją firmę.

Czym są środki zarządzania ryzykiem?

Przedsiębiorcy z sektorów kluczowych i ważnych powinni być odpowiednio wyposażeni – zarówno pod względem zdolności technicznych, jak i możliwości organizacyjnych – aby:

• zapobiegać incydentom i ryzyku,
• wykrywać je,
• reagować na nie,
• przywracać normalne działanie po ich wystąpieniu oraz
• łagodzić ich skutki.

W tym celu podmioty kluczowe i ważne powinny wdrożyć środki zarządzania ryzykiem w cyberbezpieczeństwie, czyli odpowiednie i proporcjonalne środki techniczne, operacyjne oraz organizacyjne.

Cele wdrożenia środków zarządzania ryzykiem

Zgodnie z NIS2 odpowiednie środki zarządzania ryzykiem mają na celu:

1. zapewnić bezpieczeństwo sieci i systemów informatycznych wykorzystywanych do prowadzenia działalności lub świadczenia usług oraz
2. zapobiegać wpływowi incydentów na odbiorców usług lub na inne usługi, bądź minimalizować taki wpływ.

Należy przy tym uwzględnić najnowszy stan wiedzy, odpowiednie normy europejskie i międzynarodowe, a także koszty wdrożenia środków. Zapewniony poziom bezpieczeństwa powinien być odpowiedni do istniejącego ryzyka – czyli proporcjonalny – oraz uwzględniać wszystkie zagrożenia. Dzięki zastosowanym środkom zarządzania ryzykiem ochronie podlegają nie tylko sieci i systemy informatyczne, ale także środowiska fizyczne tych systemów, które są zagrożone incydentami.

Na czym polega proporcjonalność środków zarządzania ryzykiem?

Odpowiednie i proporcjonalne wdrożenie środków zarządzania ryzykiem oznacza uwzględnienie:

• stopnia narażenia podmiotu na ryzyko,
• wielkości podmiotu,
• prawdopodobieństwa wystąpienia incydentów,
• dotkliwości i incydentów,
• skutków społecznych i gospodarczych incydentów.

Co obejmują środki zarządzania ryzykiem?

Środki zarządzania ryzykiem z NIS2 obejmują co najmniej poniższe elementy:

1. politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
2. obsługę incydentu,
3. ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
4. bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami,
5. bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie,
6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie,
7. podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa,
8. polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania,
9. bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami,
10. w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Wnioski i rekomendacje

Przedsiębiorstwa coraz częściej stają się celem ataków ze względu na ich niewystarczający poziom zarządzania ryzykiem w cyberbezpieczeństwie i brak strategii reagowania. Takie ataki mogą mieć efekt kaskadowy i zakłócać funkcjonowanie całego łańcucha dostaw – zaczynając często od małych i średnich przedsiębiorstw. Wdrożenie środków zarządzania ryzykiem zgodnych z NIS2 pozwala nie tylko spełnić wymogi prawne, ale przede wszystkim zwiększyć odporność organizacji na cyberzagrożenia i zminimalizować potencjalne straty wynikające z incydentów. Kluczowe znaczenie ma regularna analiza ryzyka, monitorowanie i testowanie zabezpieczeń, a także edukacja pracowników w zakresie cyberhigieny.

Jeśli potrzebujesz pomocy w opracowaniu strategii cyberbezpieczeństwa i środków zarządzania ryzykiem – skontaktuj się z nami.

Wypełnij ankietę i sprawdź, czy NIS2 Cię dotyczy: [link]

Autor: Klaudia Szymańska, aplikant radcowski, Junior Associate w Lawspective.

E-mail: klaudia.szymanska@lawspective.pl

Autor: Maciej Tabor, adwokat, Senior Associate w Lawspective.

E-mail: maciej.tabor@lawspective.pl

---

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r.