Kurs NIS 2 – wymagania, obowiązki i praktyczne wdrożenie w organizacji

1. Wprowadzenie do NIS 2

• geneza i cel dyrektywy NIS 2,
• najważniejsze zmiany względem dyrektywy NIS,
• dlaczego UE wprowadziła nowe wymagania?
• kogo dotyczy NIS 2 – sektory kluczowe i ważne,
• kryteria kwalifikacji firm (rozmiar, znaczenie, powiązania).

2. Zakres podmiotowy i sektorowy

• sektory kluczowe (essential entities) – przykłady,
• sektory ważne (important entities) – przykłady,
• mikro i małe przedsiębiorstwa – kiedy podlegają NIS 2?
• podwykonawcy, łańcuch dostaw i third-party risk.

3. Obowiązki zarządu i odpowiedzialność personalna

• rola zarządu w nadzorze nad cyberbezpieczeństwem,
• wymóg zatwierdzania polityk i środków bezpieczeństwa,
• szkolenie zarządu – wymagania NIS 2,
• odpowiedzialność karna i finansowa osób decyzyjnych,
• delegowanie obowiązków i rola oficera ds. bezpieczeństwa.

4. Wymagania organizacyjne i techniczne (art. 21)

• przegląd 10 obszarów środków bezpieczeństwa wymaganych przez NIS 2:
  
  • polityki analizy ryzyka i zarządzania ryzykiem,
  • obsługa incydentów bezpieczeństwa,
  • ciągłość działania, backup, odzyskiwanie po awarii,
  • bezpieczeństwo sieci i systemów,
  • kontrola dostępu i uwierzytelnianie wieloskładnikowe,
  • zarządzanie podatnościami,
  • nadzór nad łańcuchem dostaw,
  • bezpieczeństwo zakupów i współpraca z dostawcami,
  • szyfrowanie i ochrona danych,
  • zarządzanie zasobami i dokumentacją.

5. Raportowanie incydentów

• nowe procedury raportowania:
  
  • wstępne zgłoszenie do 24 godzin,
  • raport śródokresowy po 72 godzinach,
  • raport końcowy do 1 miesiąca,
• zakres informacji wymagany w zgłoszeniach,
• przykłady incydentów, które podlegają raportowaniu,
• współpraca z CSIRT (krajowy/systemowy).

6. Audyty i kontrole zgodności

• jak wyglądają kontrole po wdrożeniu NIS 2,
• dokumentacja wymagana do audytu,
• rola wewnętrznych i zewnętrznych audytorów,
• najczęstsze nieprawidłowości stwierdzane u firm.

7. Kary finansowe i konsekwencje braku zgodności

• progi kar:
  • 10 mln € / 2% obrotu dla podmiotów kluczowych,
  • 7 mln € / 1,4% obrotu dla podmiotów ważnych,
• odpowiedzialność kierownictwa,
• konsekwencje operacyjne i wizerunkowe.

8. Jak przygotować organizację do NIS 2 – plan wdrożenia

• ocena dojrzałości cyberbezpieczeństwa,
• przegląd i aktualizacja polityk wewnętrznych,
• wdrożenie odpowiednich środków technicznych,
• budowa zespołu ds. cyberbezpieczeństwa,
• wymagania dotyczące dokumentacji i procedur,
• plan komunikacji wewnętrznej i szkoleń pracowników,
• checklista gotowości NIS 2.

9. Współpraca z dostawcami i zarządzanie łańcuchem dostaw

• nowe obowiązki w zakresie third-party risk,
• wymagane zapisy w umowach z dostawcami IT,
• monitorowanie usługodawców i audyt dostawców,
• przykłady praktycznych zapisów i polityk.

10. Warsztaty praktyczne (opcjonalnie)

• analiza ryzyka dla przykładowego incydentu,
• przygotowanie procedury reagowania,
• opracowanie rejestru aktywów,
• przygotowanie planu ciągłości działania (BCP),
• symulacja incydentu i proces raportowania,
• ocena zgodności wewnętrznej – checklisty i szablony.

11. Podsumowanie i rekomendacje dla uczestników

• najważniejsze obowiązki,
• największe pułapki we wdrażaniu NIS 2,
• jak utrzymać zgodność po wdrożeniu,
• rekomendowane narzędzia i praktyki.