Cyberodporność na dziś i jutro

(źr. PTI)

Przełożyło się również na sformułowanie jasnych oczekiwań co do standardów i norm wykorzystywanych jako referencyjne w systemach zapewniania cyberbezpieczeństwa. Pomogło też lepiej zdefiniować kompetencje specjalistów cyberbezpieczeństwa.

Obecnie kluczową kwestią jest dostosowanie tej ustawy do wymagań dyrektywy NIS2 i CER (Critical Entities Resilience) oraz Aktu o Cyberodporności. Przyniesie ona m.in. zobowiązanie do skrócenia czasu raportowania incydentów, a także wymóg utworzenia dedykowanych dla cyberbezpieczeństwa jednostek organizacyjnych oraz zatrudniania personelu z odpowiednimi poświadczeniami bezpieczeństwa. W styczniu 2023 r. została ogłoszona i zaczęła obowiązywać w UE dyrektywa NIS2. Państwa członkowskie są zobligowane do jej włączenia we własne systemy prawne do października 2024 r. Wtedy przestaną obowiązywać zapisy pierwszej dyrektywy NIS. Dyrektywa NIS2 wnosi do tej tematyki kilka ważnych zmian: poszerza współpracę (w tym wymianę informacji) pomiędzy podmiotami odpowiedzialnymi za cyberbezpieczeństwo w ramach UE, rozszerza zakres jej stosowania na nowe grupy i poszerza zakres zadań kilku grup już objętych regulacjami NIS, rozszerza wymagania w zakresie zarządzania ryzykiem, a także wprowadza możliwość nakładania kar finansowych przez właściwe krajowe organy do spraw cyberbezpieczeństwa.

Role i kompetencje

Postępująca cyfryzacja i nasycenie elementami cyfrowymi większości produktów i usług powodują, że rośnie ich podatność na zagrożenia cybernetyczne. Wiele organizacji zdaje sobie sprawę z rosnącej skali ryzyka i przykłada większą wagę do tworzenia systemów zorientowanych na zapewnianie ciągłości swoich operacji. Ale ciągłość ta może być zakłócona przez wiele czynników, wśród których przybywa tych związanych z zagrożeniami cybernetycznymi. Z punktu widzenia celów organizacji kluczowe jest utrzymanie ciągłości działania, do czego potrzebne jest całościowe podejście do zapewniania bezpieczeństwa. Składa się na nie cyberbezpieczeństwo, bezpieczeństwo informacji i bezpieczeństwo fizyczne. Dlatego korzystne jest odniesienie zakresu programów edukacyjnych w obszarze cyberbezpieczeństwa do standardu ISO/EIC 2700132. Inną zaletą tworzenia programów edukacyjnych z zakresu cyberbezpieczeństwa w oparciu o normę ISO27001 jest jej ukierunkowanie na funkcje procesowe obejmujące szeroki kontekst funkcjonowania organizacji. Norma wskazuje konieczność włączania we wszystkie zadania cyberbezpieczeństwa zarządzających i liderów, obejmuje cały łańcuch dostaw, przygotowanie planu, zabezpieczenie zasobów, realizację funkcji bezpieczeństwa i stworzenie stałych mechanizmów audytu.

Kamieniem węgielnym dla programów edukacyjnych w zakresie edukacji specjalistów cyberbezpieczeństwa powinna być rama NIST33, zwłaszcza po jej zapowiadanej aktualizacji. Prócz tradycyjnie ważnych funkcji, takich jak Identyfikacja, Ochrona, Detekcja, Reagowanie i Przywracanie/Odbudowa, podkreśla ona rolę przygotowania całej organizacji i zarządzania procesami cyberbezpieczeństwa do głębokiej integracji z procesami firmy poprzez dodanie horyzontalnej funkcji Zarządzanie (Govern). Poza tym rama NIST z jej branżowymi profilami odpowiada na potrzeby związane z wertykalizacją cyberbezpieczeństwa i pozwala na przygotowanie programów odnoszących się do specyfiki wybranych branż.

Ponieważ odpowiedzialność za realizację funkcji zarządzania ryzykiem, zapewniania cyberbezpieczeństwa i ciągłości działania zawarta jest w regulacjach prawnych UE i krajów członkowskich, istotnym wymogiem dla edukacji staje się poszerzanie programów o te kwestie prawne. Takie akty legislacyjne jak NIS2, CRA (Cyber Resilience Act) czy dyrektywa CER będą przez wiele lat kształtowały wymagania formalne i organizacyjne w całym ekosystemie cyberbezpieczeństwa.