NIS2 wielu organizacjom nadal kojarzy się z kolejnym projektem compliance. Tymczasem regulator coraz wyraźniej pokazuje, że nie będzie oceniał liczby wdrożonych polityk ani zakupionych narzędzi bezpieczeństwa. Liczyć się będzie to, czy firma potrafi wykazać, że świadomie zarządza ryzykiem i robi to w sposób powtarzalny. To właśnie wynika z najnowszych wytycznych ENISA, które przesuwają ciężar z dokumentacji na praktyczne funkcjonowanie procesów.
Ta zmiana ma duże znaczenie dla firm technologicznych. Przez lata zgodność z regulacjami często oznaczała przygotowanie odpowiedniej dokumentacji przed audytem. NIS2 wprowadza inne podejście. Organizacja ma być gotowa udowodnić, że procesy bezpieczeństwa działają każdego dnia, a nie tylko w momencie kontroli. Dla biznesu oznacza to, że cyberbezpieczeństwo staje się elementem zarządzania firmą, a nie jednorazowym projektem realizowanym przez dział IT.
Najlepiej widać to podczas odpowiedzi na pytanie, czego regulator będzie oczekiwał w praktyce. Kontrola nie zacznie się od pytania o to, jakie rozwiązanie do ochrony sieci kupiła firma. Znacznie ważniejsze będzie, czy organizacja potrafi zidentyfikować najważniejsze ryzyka, ocenić ich wpływ na działalność, przypisać odpowiedzialność za ich ograniczanie oraz wykazać, że proces jest regularnie weryfikowany. Podobnie wygląda podejście do zarządzania incydentami, bezpieczeństwa dostawców czy usuwania podatności. Każdy z tych obszarów ma być procesem, a nie zbiorem procedur zapisanych w dokumentacji.
To właśnie dlatego coraz większego znaczenia nabiera pojęcie dowodów zgodności. ENISA nie ogranicza się do opisu wymagań, ale pokazuje przykłady materiałów, które mogą potwierdzać ich realizację. Mogą to być rejestry ryzyka, wyniki testów planów ciągłości działania, raporty z obsługi incydentów, logi systemowe, potwierdzenia przeglądów czy dokumentacja dotycząca oceny dostawców. Dla regulatora deklaracja, że proces istnieje, nie będzie wystarczająca. Liczyć się będzie możliwość wykazania, że działa on skutecznie i jest stale utrzymywany.
To zmienia również rolę zarządu. NIS2 wyraźnie wskazuje, że odpowiedzialność za cyberbezpieczeństwo nie kończy się na dziale bezpieczeństwa lub IT. Kierownictwo powinno rozumieć poziom ryzyka, podejmować decyzje dotyczące jego akceptacji, zapewniać odpowiednie zasoby oraz nadzorować realizację działań. Cyberbezpieczeństwo staje się więc elementem ładu korporacyjnego, podobnie jak zarządzanie finansami czy ryzykiem operacyjnym.
W praktyce oznacza to, że firmy technologiczne powinny skupić się na budowie trwałych procesów, a nie projektu „wdrożenia NIS2”. Organizacje, które stworzą spójny system zarządzania ryzykiem, obejmujący również dostawców, raportowanie incydentów i regularną ocenę skuteczności zabezpieczeń, będą lepiej przygotowane nie tylko do kontroli wynikających z NIS2. Te same mechanizmy staną się fundamentem zgodności z kolejnymi europejskimi regulacjami dotyczącymi cyberbezpieczeństwa i odporności cyfrowej.
NIS2 zmienia sposób, w jaki regulator ocenia dojrzałość organizacji. Firma nie musi udowodnić, że jest odporna na każdy cyberatak. Musi udowodnić, że potrafi stale zarządzać ryzykiem, reagować na zagrożenia i przedstawić wiarygodne dowody, że jej procesy rzeczywiście działają. To właśnie będzie najważniejszym kryterium oceny.

