Cyberbezpieczeństwo nie jest już wyłącznie zadaniem działu IT

Sandra Jurkowska

UKSC • NIS2 • Zarząd • Ryzyko • Cyberbezpieczeństwo

Cyberbezpieczeństwo nie jest już wyłącznie zadaniem działu IT

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz dyrektywa NIS2 zmieniają sposób, w jaki organizacje powinny myśleć o bezpieczeństwie informacji. To już nie tylko firewall, antywirus i kopie zapasowe. To element zarządzania ryzykiem, odpowiedzialności kierownictwa i odporności całej organizacji.

Przez lata wiele organizacji sprowadzało cyberbezpieczeństwo do kilku podstawowych działań: zakupu firewalla, instalacji programu antywirusowego i wykonywania kopii zapasowych. Takie podejście było wygodne, ponieważ pozwalało traktować bezpieczeństwo jako temat techniczny, przypisany do administratora IT albo zewnętrznej firmy informatycznej.

Obecnie to już za mało. Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa, wdrażająca do polskiego porządku prawnego założenia dyrektywy NIS2, przesuwa ciężar odpowiedzialności z samego działu IT na całą organizację. W praktyce oznacza to, że cyberbezpieczeństwo staje się elementem zarządzania ryzykiem, ciągłości działania i odpowiedzialności kierownictwa.

Najważniejsza zmiana: cyberbezpieczeństwo nie może być już delegowane wyłącznie administratorowi IT. Zarząd powinien rozumieć ryzyka, znać stan zabezpieczeń i wiedzieć, czy organizacja jest przygotowana na skutki potencjalnego incydentu.

Dlatego firmy, instytucje i podmioty publiczne powinny spojrzeć na bezpieczeństwo informacji szerzej. Nie tylko przez pryzmat sprzętu i oprogramowania, lecz także przez procedury, odpowiedzialności, dokumentację, szkolenia, analizę ryzyka oraz realną gotowość do reagowania.


🛡️ Cyberbezpieczeństwo to dziś element zarządzania organizacją

Nowe przepisy jasno pokazują, że bezpieczeństwo informacji nie jest jedynie kwestią techniczną. Oczywiście zabezpieczenia IT pozostają ważne, jednak same narzędzia nie wystarczą, jeżeli organizacja nie wie, jakie dane przetwarza, kto ma do nich dostęp, jakie ryzyka są najpoważniejsze i jak należy zareagować w pierwszych godzinach incydentu.

Zarząd lub kierownictwo powinno mieć świadomość, jakie zagrożenia występują w organizacji, jakie zabezpieczenia zostały wdrożone oraz czy firma jest przygotowana na przerwę w działaniu systemów, utratę danych, ransomware, phishing, wyciek informacji albo awarię kluczowego dostawcy.

Zarząd powinien znać odpowiedzi na podstawowe pytania:

  • jakie są najważniejsze aktywa informacyjne organizacji,
  • które systemy są krytyczne dla ciągłości działania,
  • kto odpowiada za reagowanie na incydenty,
  • czy kopie zapasowe są wykonywane i testowane,
  • czy pracownicy potrafią rozpoznać phishing i próbę socjotechniki,
  • czy dokumentacja bezpieczeństwa jest aktualna,
  • czy organizacja posiada plan działania na wypadek cyberincydentu.

Co ważne, nie chodzi o to, aby członkowie zarządu samodzielnie konfigurowali systemy IT. Ich rolą jest nadzór, podejmowanie decyzji, zapewnienie zasobów oraz egzekwowanie tego, aby bezpieczeństwo było realnym procesem, a nie jedynie deklaracją w dokumentacji.

Firewall nie zastąpi procesu zarządzania ryzykiem.

Nawet najlepsze narzędzia techniczne nie pomogą, jeżeli organizacja nie ma aktualnej analizy ryzyka, procedur reagowania, przeszkolonych pracowników i jasnego podziału odpowiedzialności.


⚖️ UKSC i NIS2 zmieniają język odpowiedzialności

Nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa wprowadza obowiązki dla podmiotów kluczowych i ważnych. Dotyczą one między innymi analizy ryzyka, wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji, zgłaszania incydentów, dokumentowania działań oraz szkolenia osób odpowiedzialnych.

Jednocześnie zmienia się sposób myślenia o odpowiedzialności. Cyberbezpieczeństwo nie jest już dodatkiem do infrastruktury IT. Staje się obszarem, który powinien być regularnie omawiany na poziomie zarządczym, podobnie jak ryzyka finansowe, prawne, operacyjne czy kadrowe.

W praktyce: organizacja powinna umieć wykazać, że identyfikuje ryzyka, wdraża adekwatne zabezpieczenia,
szkoli personel, dokumentuje działania i potrafi zareagować na incydent.

Dlatego samo posiadanie usług informatycznych nie jest wystarczające. Potrzebny jest system: dokumentacja, procesy, role, procedury, szkolenia i regularna weryfikacja tego, czy wdrożone rozwiązania faktycznie działają.


🏛️ Ustawa obejmuje 18 sektorów, ale wymagania dotkną całego rynku

NIS2 obejmuje 18 sektorów krytycznych w Unii Europejskiej. Wśród nich znajdują się między innymi energetyka, transport, ochrona zdrowia, administracja publiczna, bankowość, infrastruktura cyfrowa, telekomunikacja, gospodarka wodna, żywność, usługi pocztowe i kurierskie oraz wybrane obszary produkcji.

Nie oznacza to jednak, że pozostałe firmy mogą spokojnie uznać, że temat ich nie dotyczy. Wymagania dotyczące cyberbezpieczeństwa będą stopniowo przechodziły także na łańcuch dostaw.

Dlaczego wymagania obejmą również dostawców?

Podmioty objęte ustawą współpracują z wieloma partnerami zewnętrznymi. W praktyce oznacza to, że bezpieczeństwo kontrahentów będzie coraz częściej oceniane przed rozpoczęciem lub przedłużeniem współpracy.

  • dostawcy oprogramowania,
  • firmy IT i serwisy techniczne,
  • biura rachunkowe,
  • kancelarie prawne,
  • firmy szkoleniowe,
  • przewoźnicy i operatorzy logistyczni,
  • podmioty obsługujące dane, systemy lub infrastrukturę klientów.

Z tego powodu odpowiedni poziom zabezpieczeń, aktualna dokumentacja, procedury reagowania na incydenty i przeszkoleni pracownicy mogą coraz częściej decydować o podpisaniu umowy, przedłużeniu kontraktu albo dopuszczeniu firmy do przetargu.

Cyberbezpieczeństwo staje się elementem wiarygodności biznesowej.

Coraz częściej nie wystarczy powiedzieć: „mamy informatyka”. Kontrahent może zapytać o analizę ryzyka, procedury incydentowe, kopie zapasowe, szkolenia, MFA, dokumentację SZBI albo zgodność z ISO/IEC 27001.


📊 Co może być sprawdzane przez kontrahentów?

Wymagania formalne będą zależały od rodzaju organizacji, sektora, umowy i charakteru współpracy. Mimo to można wskazać obszary, które już dziś coraz częściej pojawiają się w ankietach bezpieczeństwa, zapytaniach ofertowych i rozmowach z partnerami.

Obszar O co może zapytać kontrahent? Dlaczego to ważne?
Analiza ryzyka Czy organizacja identyfikuje i ocenia ryzyka dla systemów oraz informacji? Bez analizy ryzyka trudno uzasadnić dobór zabezpieczeń.
SZBI Czy istnieją polityki, procedury i jasny podział odpowiedzialności? Dokumentacja porządkuje działania i pozwala wykazać należytą staranność.
Incydenty Czy pracownicy wiedzą, komu i jak zgłosić podejrzane zdarzenie? Pierwsze godziny po incydencie często decydują o skali strat.
Kopie zapasowe Czy backupy są wykonywane, chronione i testowane? Ransomware lub awaria mogą zatrzymać działanie organizacji.
Szkolenia Czy personel i kadra zarządzająca są regularnie szkoleni? Człowiek nadal jest jednym z najczęstszych celów ataku.

🔎 Od czego rozpocząć przygotowanie organizacji?

Pierwszym krokiem powinna być aktualna analiza ryzyka. Dokument przygotowany kilka lat temu może nie uwzględniać nowych systemów, pracy zdalnej, zmian organizacyjnych, nowych dostawców ani obecnej skali cyberzagrożeń.

Następnie warto uporządkować dokumentację Systemu Zarządzania Bezpieczeństwem Informacji. Jeżeli organizacja posiada już polityki, regulaminy, procedury RODO albo instrukcje IT, nie trzeba zaczynać od zera. Najpierw należy sprawdzić, co można wykorzystać, a dopiero później uzupełnić brakujące elementy.

Przygotowanie organizacji powinno objąć:

  • aktualną analizę ryzyka,
  • przegląd dokumentacji bezpieczeństwa informacji,
  • opracowanie lub aktualizację SZBI,
  • procedury reagowania na incydenty,
  • zasady zarządzania dostępami,
  • politykę kopii zapasowych,
  • szkolenia pracowników i kadry zarządzającej,
  • weryfikację podstawowych zabezpieczeń technicznych.

Co istotne, przygotowanie do nowych wymagań nie powinno być jednorazową akcją. To proces, który trzeba utrzymywać, aktualizować i regularnie sprawdzać. W przeciwnym razie dokumentacja szybko przestaje odpowiadać rzeczywistości.


🔐 Zabezpieczenia techniczne nadal mają znaczenie

Chociaż cyberbezpieczeństwo nie może być sprowadzone wyłącznie do technologii, narzędzia techniczne nadal pozostają ważną częścią odporności organizacji. Różnica polega na tym, że powinny wynikać z analizy ryzyka, a nie z przypadkowych zakupów.

W praktyce warto zwrócić uwagę na:

  • uwierzytelnianie wieloskładnikowe, szczególnie dla poczty i systemów krytycznych,
  • szyfrowanie urządzeń oraz nośników danych,
  • regularne aktualizacje systemów i aplikacji,
  • bezpieczną politykę kopii zapasowych,
  • monitoring zdarzeń bezpieczeństwa,
  • kontrolę dostępów użytkowników,
  • ochronę poczty przed phishingiem,
  • segmentację sieci tam, gdzie jest to uzasadnione.

Jednak nawet najlepsze zabezpieczenia techniczne nie zastąpią świadomości pracowników. Dlatego szkolenia powinny pokazywać realne scenariusze: phishing, fałszywe faktury, przejęcie poczty, ransomware, socjotechnikę, ryzyko USB, słabe hasła i brak MFA.

Cyberodporność powstaje dopiero wtedy, gdy technologia, procedury, decyzje zarządu i świadomość pracowników działają razem.


🎮 Szkolenia, które pokazują realne scenariusze

Pracownicy często wiedzą, że nie należy klikać w podejrzane linki. Problem polega na tym, że prawdziwe ataki rzadko wyglądają podejrzanie na pierwszy rzut oka. Wiadomości są coraz lepiej przygotowane, wykorzystują kontekst pracy, presję czasu, autorytet i zaufanie do znanych marek lub osób.

Dlatego szkolenia powinny wychodzić poza teorię. Uczestnik powinien zobaczyć, jak wygląda atak, dlaczego działa i w którym momencie można go zatrzymać.

Red Blue Team – szkolenie przez doświadczenie

W Sun Capital wykorzystujemy platformę Red Blue Team, dzięki której uczestnicy mogą ćwiczyć reakcję na realistyczne scenariusze cyberataków w technologii VR oraz na platformie e-learningowej.
Taki model pomaga lepiej zrozumieć sposób działania atakujących i skuteczniej budować kulturę bezpieczeństwa.

Dzięki temu szkolenie nie jest tylko prezentacją. Staje się doświadczeniem, które angażuje uczestników i pokazuje, że cyberbezpieczeństwo dotyczy codziennych decyzji: kliknięcia w link, otwarcia załącznika, odebrania telefonu, zatwierdzenia faktury albo wpisania danych logowania.


🤝 Jak Sun Capital wspiera organizacje?

Sun Capital wspiera organizacje w analizie ryzyka, audytach, przygotowaniu dokumentacji SZBI, szkoleniach oraz dostosowaniu do wymagań UKSC i normy ISO/IEC 27001.

Nasze podejście jest praktyczne. Najpierw sprawdzamy punkt wyjścia, następnie wskazujemy priorytety, a dopiero później rekomendujemy dokumenty, procedury, szkolenia i zabezpieczenia techniczne. Dzięki temu organizacja nie działa chaotycznie i nie ponosi kosztów działań, które nie wynikają z realnych potrzeb.

Pomagamy między innymi w obszarach:

  • analiza ryzyka i audyt bezpieczeństwa informacji,
  • przegląd zgodności z wymaganiami UKSC i NIS2,
  • opracowanie lub aktualizacja dokumentacji SZBI,
  • procedury reagowania na incydenty,
  • szkolenia dla pracowników i kadry zarządzającej,
  • przygotowanie do wdrożenia lub utrzymania ISO/IEC 27001,
  • ćwiczenia i szkolenia z wykorzystaniem platformy Red Blue Team.

Nie mają Państwo pewności, od czego rozpocząć?
Najlepszym pierwszym krokiem jest krótka konsultacja i ocena aktualnej sytuacji organizacji.


✅ Od czego zacząć?

Przygotowanie organizacji nie musi zaczynać się od dużego projektu. Najpierw warto ustalić, czy firma lub instytucja jest objęta wymaganiami UKSC/NIS2, jakie ryzyka są najważniejsze oraz które działania należy wykonać w pierwszej kolejności.

Krok 1: rozpoznanie sytuacji

Sprawdzamy, czy organizacja może podlegać nowym wymaganiom oraz jakie obszary bezpieczeństwa wymagają najpilniejszej uwagi.

Krok 2: analiza ryzyka i audyt

Oceniamy dokumentację, systemy, dostęp do danych, procedury, kopie zapasowe, szkolenia i gotowość do reagowania na incydenty.

Krok 3: plan działań

Przygotowujemy priorytety, rekomendacje i harmonogram wdrożenia, tak aby organizacja mogła zwiększać odporność w sposób kontrolowany.


✨ Podsumowanie

Cyberbezpieczeństwo nie jest już wyłącznie zadaniem działu IT. Nowe wymagania wynikające z UKSC i NIS2 pokazują, że bezpieczeństwo informacji powinno być częścią zarządzania całą organizacją.

Dlatego zarząd powinien wiedzieć, jakie ryzyka występują w firmie, jakie zabezpieczenia zostały wdrożone oraz czy organizacja jest przygotowana na skutki potencjalnego incydentu.

Jednocześnie wymagania formalne będą stopniowo wpływać nie tylko na podmioty bezpośrednio objęte ustawą, lecz także na ich dostawców i partnerów. Właśnie dlatego warto przygotować się wcześniej, zanim cyberbezpieczeństwo stanie się warunkiem współpracy z kluczowym kontrahentem.

Najlepszy moment na uporządkowanie cyberbezpieczeństwa jest przed incydentem.
Analiza ryzyka, aktualna dokumentacja, szkolenia i procedury reagowania mogą realnie ograniczyć skutki ataku.


🤝 Bezpłatna konsultacja

Nie mają Państwo pewności, od czego rozpocząć przygotowanie organizacji do wymagań UKSC, NIS2 lub ISO/IEC 27001?
Zapraszamy na bezpłatną konsultację. Wspólnie ocenimy aktualną sytuację organizacji i wskażemy działania, które realnie zwiększą jej odporność.

Krzysztof Konieczny

Prezes Sun Capital Sp. z o.o.

Audytor Wiodący ISO/IEC 27001

Szkoleniowiec i konsultant ds. cyberbezpieczeństwa

☎️ Telefon: +48 71 707-03-76

Brak komentarzy

You must be logged in to post a comment.