Obowiązek informacyjny rodo
Wiele organizacji, kiedy po raz pierwszy czyta NIS2, zatrzymuje się na zdaniu o „odpowiednich i proporcjonalnych środkach” i zadaje sobie jedno pytanie: co dokładnie mamy wdrożyć?
I właśnie tu pojawia się największe zaskoczenie – regulacja nie daje listy konkretnych rozwiązań. Nie mówi: „wdrożysz X, Y, Z i jesteś zgodny”.
Zamiast tego mówi coś trudniejszego: masz sam dobrać środki, ale musisz umieć uzasadnić, że są właściwe.
To, co brzmi jak ogólnik, w rzeczywistości jest fundamentem całego podejścia NIS2. „Odpowiednie i proporcjonalne” oznacza jedno: zabezpieczenia mają wynikać z tego, co naprawdę może zagrozić Twojej organizacji.
Dla jednej firmy kluczowym ryzykiem będzie przerwa w dostępności systemu. Dla innej – wyciek danych. Dla jeszcze innej – zależność od jednego dostawcy. I każda z nich powinna reagować inaczej.
Zamiast abstrakcji, warto spojrzeć na konkretne sytuacje, które dobrze pokazują sens tego podejścia.
Jeżeli w organizacji dostęp do kluczowych systemów ma kilkanaście osób i każda z nich używa pojedynczego hasła, to trudno mówić o „proporcjonalnym” zabezpieczeniu. W takim przypadku naturalnym krokiem jest wprowadzenie dodatkowej warstwy ochrony, np. uwierzytelniania wieloskładnikowego czy uporządkowania uprawnień.
Jeżeli firma przechowuje dane klientów i nie ma żadnego mechanizmu ich zabezpieczenia na wypadek utraty sprzętu lub włamania, to pojawia się oczywista potrzeba ich ochrony, na przykład poprzez szyfrowanie.
Jeżeli wszystkie systemy działają w jednej, niepodzielonej infrastrukturze, to jeden incydent może sparaliżować całą organizację. W takiej sytuacji „proporcjonalnym” środkiem jest rozdzielenie środowisk tak, aby problem w jednym obszarze nie rozprzestrzeniał się automatycznie.
Jeżeli pracownicy nie wiedzą, jak rozpoznać podejrzaną wiadomość lub do kogo zgłosić problem, to nawet najlepsze systemy nie pomogą. Dlatego szkolenia i jasne zasady reagowania są równie istotne jak technologie.
I wreszcie, jeżeli organizacja nie ma żadnego planu działania w przypadku incydentu, to nawet drobne zdarzenie może szybko przerodzić się w poważny problem.
Wszystkie te przykłady prowadzą do jednego wniosku: NIS2 nie koncentruje się na narzędziach, tylko na zdolności organizacji do radzenia sobie z ryzykiem. To ogromna zmiana myślenia.
Nie jest istotne, czy organizacja ma najnowocześniejsze rozwiązania. Istotne jest czy potrafi: zapobiegać problemom, wykrywać je odpowiednio wcześnie i reagować, gdy coś się wydarzy.
Najczęstszy problem nie polega na braku zabezpieczeń, ale na ich przypadkowym doborze. Organizacje kopiują rozwiązania od innych, wdrażają narzędzia „bo tak trzeba” albo inwestują w technologie, które nie odpowiadają na realne ryzyka. W efekcie powstaje system, który wygląda dobrze na papierze, ale nie działa w praktyce.
Można uprościć cały art. 21 NIS2 do jednego zdania: nie musisz mieć wszystkiego – musisz mieć to, czego naprawdę potrzebujesz, i umieć to uzasadnić. To właśnie jest „proporcjonalność”. I to jest moment, w którym cyberbezpieczeństwo przestaje być projektem technicznym, a zaczyna być elementem zarządzania organizacją.