Rosnąca skala cyberzagrożeń, presja regulacyjna i odpowiedzialność zarządów za odporność cyfrową organizacji powodują, że cyberbezpieczeństwo coraz wyraźniej przestaje być domeną wyłącznie działów IT i nie powinno być traktowane jako projekt do wdrożenia, tylko stały, ewoluujący proces. To jedne z pierwszych konkluzji odbywającego się w Radomsku Forum Liderów Cyberbezpieczeństwa – wydarzenia poświęconego praktycznym aspektom wdrażania unijnej dyrektywy NIS2 oraz budowaniu odporności organizacji na incydenty cyfrowe.
W wydarzeniu uczestniczą przedstawiciele biznesu, administracji publicznej, eksperci technologiczni i dostawcy rozwiązań cyberbezpieczeństwa. Agenda konferencji wskazuje, że punkt ciężkości przesuwa się dziś z technologii rozumianej wyłącznie infrastrukturalnie na odporność organizacyjną i zarządczą.
Cyberbezpieczeństwo wchodzi do zarządów
Forum otworzył Jarosław Ferenc, Prezydent Radomska, podkreślając znaczenie bezpieczeństwa cyfrowego dla funkcjonowania samorządów, instytucji i przedsiębiorstw. Podczas konferencji głos zabrali eksperci i praktycy wdrożeń, koncentrując się na wyzwaniach związanych z dostosowaniem organizacji do nowych wymogów prawnych.
Jacek Majak, Prezes Euronet Group, organizator i gospodarz Forum Liderów Cyberbezpieczeństwa w wystąpieniu „NIS2 w praktyce: obowiązki, odpowiedzialność i konsekwencje dla organizacji” wyznaczył główną oś merytoryczną wydarzenia: cyberbezpieczeństwo przestaje być zagadnieniem wyłącznie technologicznym, a staje się elementem zarządzania strategicznego i odpowiedzialności kierownictwa organizacji.
Wątek praktycznej implementacji nowych regulacji rozwinął Michał Rabka z Urzędu Miasta w Dąbrowie Górniczej, przedstawiając ścieżkę dochodzenia do zgodności z NIS2 w formule „wdrożenie krok po kroku”. Szczególnie istotny był kontekst wystąpienia, pokazujący, że dostosowanie do nowych regulacji wymaga nie jednorazowego zakupu technologii, lecz przebudowy procesów zarządzania ryzykiem, dokumentowania procedur i zwiększania dojrzałości organizacyjnej.
 |
Paweł Będkowski (Stormshield), skupił się w swoim wystąpieniu na znaczeniu europejskich technologii, certyfikacji i transparentności w obliczu globalnych ryzyk cybernetycznych. Z kolei Mateusz Piątek (Safetica, Holm Security Dagma) analizował rolę rozwiązań klasy PAM, DLP i VMP w zwiększaniu bezpieczeństwa organizacji i zgodności z wymaganiami regulacyjnymi.
NIS2: koniec cyberbezpieczeństwa „na papierze”
Dyrektywa NIS2 istotnie rozszerza katalog podmiotów objętych obowiązkami cyberbezpieczeństwa i obejmuje nie tylko operatorów infrastruktury krytycznej czy administrację publiczną, ale również tysiące przedsiębiorstw funkcjonujących w logistyce, energetyce, przemyśle, ochronie zdrowia, usługach cyfrowych czy sektorze produkcyjnym. Nakłada przy tym obowiązki związane z zarządzaniem ryzykiem, raportowaniem incydentów, ciągłością działania, bezpieczeństwem łańcucha dostaw oraz kontrolą dostępu do systemów.
W praktyce oznacza to odejście od modelu reaktywnego na rzecz trwałego systemu cyberodporności. Jednym z wyraźnie obecnych tematów forum była kwestia bezpieczeństwa łańcucha dostaw. Problem szczególnie istotny w świetle NIS2, ponieważ odpowiedzialność organizacji nie kończy się dziś na jej własnej infrastrukturze, ale obejmuje również podwykonawców i partnerów technologicznych. Tę perspektywę rozwijano m.in. podczas debaty Forum, poświęconej kontroli ryzyka poza granicami organizacji.
W panelu „Bezpieczeństwo łańcucha dostaw w NIS2 - jak kontrolować ryzyko poza granicami organizacji?” udział wzięli: dr inż. Sabina Szymoniak z Wydziału Informatyki i Sztucznej Inteligencji Politechniki Częstochowskiej, Jacek Majak, Prezes Zarządu Euronet Group, Michał Rabka, Naczelnik Wydziału Informatyki Urzędu Miasta Dąbrowa Górnicza, Bartosz Owczarek (Xopero Software), Mateusz Piątek (Safetica, Holm Security Dagma Bezpieczeństwo IT), Paweł Będkowski (Stormshield, Dagma Bezpieczeństwo IT), Szymon Fojna (BTC), Olga Fus (SecureVisio), Przemysław Kucharzewski (Rublon) oraz Mateusz Rolka (Kryptos72).
Dla polskich przedsiębiorstw i instytucji dodatkowym wyzwaniem pozostaje implementacja NIS2 poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Większe znaczenie będą miały audyty, raportowanie incydentów, procedury reagowania kryzysowego oraz zdolność wykazania rzeczywistej odporności organizacyjnej, a nie wyłącznie formalnej zgodności.
Od compliance do praktyki
W tym kontekście znaczenia nabiera drugi dzień forum, który odbywa się w formule warsztatowej. O ile część konferencyjna koncentrowała się na strategicznych konsekwencjach NIS2 i interpretacji wymogów regulacyjnych, o tyle warsztaty mają odpowiedzieć na pytania dotyczące wdrożeń: jak identyfikować krytyczne ryzyka, budować procedury reagowania i wdrażać narzędzia pozwalające przełożyć compliance na realną odporność organizacji.
Forum w Radomsku pokazuje tym samym szerszą zmianę zachodzącą w polskiej gospodarce: cyberbezpieczeństwo coraz mniej przypomina specjalistyczną funkcję IT, a coraz bardziej staje się elementem zarządzania strategicznego, porównywalnym z finansami, ryzykiem operacyjnym czy zgodnością regulacyjną. Wdrożenie NIS2 przestaje być projektem technologicznym. Staje się procesem organizacyjnym.
Drugi dzień forum poświęcono warsztatom, których celem jest przełożenie wymogów regulacyjnych na konkretne procedury, praktyki organizacyjne i rozwiązania technologiczne. Forum odbywa się w formule skierowanej zarówno do kadry zarządzającej, jak i specjalistów IT oraz osób odpowiedzialnych za zarządzanie ryzykiem i compliance.
ForumBiznesu.pl