Dyrektywa NIS 2 przynosi ze sobą nie tylko nowe obowiązki, ale i nowe oczekiwania wobec sposobu, w jaki organizacje rozumieją i zarządzają ryzykiem cyberbezpieczeństwa.
Nie chodzi już o „robienie analizy ryzyka, bo trzeba”, lecz o stworzenie żywego systemu zarządzania ryzykiem, który będzie łączył biznes, technologię i odpowiedzialność zarządczą.
Właśnie temu poświęcony jest rozdział 2 wytycznych ENISA Technical Implementation Guidance – dokumentu, który precyzuje, jak w praktyce wdrażać art. 21 Dyrektywy NIS 2.
Ramy zarządzania ryzykiem – punkt wyjścia
ENISA wymaga, by każda organizacja objęta NIS 2 ustanowiła i utrzymywała ramy zarządzania ryzykiem (risk management framework), czyli uporządkowany sposób identyfikowania, analizowania, oceny i reagowania na zagrożenia wobec sieci i systemów informacyjnych.
To nie musi być zupełnie nowy system – można wykorzystać istniejące rozwiązania, o ile są one zgodne z duchem NIS 2.
Wytyczne wskazują m.in. na standard ISO/IEC 27005:2022 jako referencyjny punkt odniesienia, ale dopuszczają też inne metodyki (np. NIST CSF 2.0 czy FAIR Framework).
Co ważne, ryzyko nie jest już wyłączną domeną działu bezpieczeństwa.
Wyniki oceny ryzyka i tzw. ryzyko resztkowe muszą być formalnie zatwierdzone przez kierownictwo lub osobę upoważnioną do podejmowania decyzji o akceptacji ryzyka.
To jedno z kluczowych wymagań NIS 2 – zarząd musi rozumieć, jakie ryzyko świadomie przyjmuje.
Metodyka oceny ryzyka – system, nie jednorazowa akcja
Według ENISA proces zarządzania ryzykiem powinien obejmować:
- Identyfikację ryzyk – uwzględniając wszystkie zagrożenia, również te spoza cyberprzestrzeni (np. błędy ludzkie, awarie infrastruktury, katastrofy naturalne, zależność od dostawców).
- Analizę ryzyka – czyli ocenę prawdopodobieństwa, skutków i poziomu ryzyka, z wykorzystaniem danych o podatnościach i informacji o zagrożeniach (cyber threat intelligence).
- Ewaluację ryzyka – porównanie wyników z przyjętymi kryteriami oceny.
- Dobór metod postępowania z ryzykiem – wybór jednej z czterech dróg: unikania, mitygacji, przeniesienia lub akceptacji.
- Stworzenie planu postępowania z ryzykiem (risk treatment plan) – czyli dokumentu, który opisuje każde zidentyfikowane ryzyko, przypisane do niego środki zaradcze, terminy wdrożenia i osoby odpowiedzialne.
Ten proces nie kończy się na etapie raportu. ENISA kładzie nacisk na monitorowanie skuteczności wdrożonych działań – to ciągły cykl, nie projekt zamknięty w kalendarzu.
Ryzyko resztkowe i akceptacja przez zarząd
Jednym z najistotniejszych wymogów ENISA jest formalna akceptacja ryzyk resztkowych – czyli tych, które pozostają mimo wdrożonych środków bezpieczeństwa.
Zarząd musi otrzymać raport, w którym jasno opisano:
- jakie ryzyka zostały zidentyfikowane,
- jakie środki je ograniczają,
- jakie ryzyka nadal pozostają (resztkowe),
- i dlaczego uznano je za akceptowalne.
To wymusza zmianę kultury – od podejścia „IT się tym zajmie” do modelu, w którym zarząd świadomie podejmuje decyzję o ryzyku.
Dokumentowanie akceptacji ryzyka (np. w protokołach, uchwałach czy raportach zarządczych) jest obowiązkowe i stanowi ważny dowód zgodności z NIS 2.
Kryteria, tolerancja i apetyt na ryzyko
Jednym z nowych elementów wprowadzonych przez ENISA jest konieczność zdefiniowania poziomu akceptowalnego ryzyka (risk tolerance) i apetytu na ryzyko (risk appetite).
To oznacza, że organizacja musi określić, ile ryzyka może przyjąć, by nadal realizować swoje cele biznesowe.
Przykładowe kryteria, które ENISA podaje:
- dopuszczalny czas niedostępności systemów (np. 2 godziny miesięcznie),
- maksymalny poziom utraty danych (np. dane o niskiej krytyczności w 24h),
- możliwa strata finansowa (np. do 100 tys. euro),
- tolerancja na incydenty niskiego ryzyka, które nie wpływają na działalność,
- ryzyko reputacyjne (np. liczba incydentów dopuszczalnych bez wpływu medialnego).
Te wartości powinny być ustalone wspólnie przez zarząd, CISO i właścicieli procesów.
Nie chodzi o liczby dla audytora, tylko o realne granice bezpieczeństwa, które firma jest w stanie utrzymać.
Zarządzanie ryzykiem dostawców
ENISA mocno podkreśla znaczenie ryzyka stron trzecich – dostawców, podwykonawców, operatorów IT, dostawców chmury.
Każde ryzyko wynikające z zależności od partnerów zewnętrznych musi zostać uwzględnione w ocenie i planie postępowania z ryzykiem.
Przykłady: brak szyfrowania po stronie dostawcy, zależność od jednego usługodawcy, nieaktualne oprogramowanie po stronie partnera.
Co ważne, odpowiedzialność za te ryzyka pozostaje po stronie organizacji – nawet jeśli formalnie część procesów jest outsourcowana.
To oznacza, że „przeniesienie” ryzyka (np. przez ubezpieczenie lub umowę SLA) nie zwalnia z obowiązku monitorowania.
Przeglądy, aktualizacje i niezależna weryfikacja
Zarządzanie ryzykiem nie kończy się na pierwszej analizie.
ENISA wymaga, by proces był przeglądany co najmniej raz w roku, a także:
- po każdym znaczącym incydencie,
- po zmianach w środowisku działania lub architekturze IT,
- po audytach, testach penetracyjnych lub zmianach w regulacjach.
Wytyczne mówią wprost: wyniki oceny ryzyka i plan postępowania muszą być dokumentowane, przeglądane i – jeśli trzeba – aktualizowane.
Dodatkowo przewidziano niezależny przegląd procesu zarządzania ryzykiem (ang. independent review), który powinien być przeprowadzany przez kompetentnych audytorów lub zewnętrznych ekspertów.
Celem jest potwierdzenie, że organizacja faktycznie stosuje przyjętą metodykę i że decyzje o akceptacji ryzyka są uzasadnione.
Od dokumentu do decyzji – co to znaczy dla organizacji
Zarządzanie ryzykiem zgodnie z NIS 2 to nie kolejny formularz do wypełnienia.
To proces zarządczy, który ma wpływ na decyzje strategiczne: inwestycje, ciągłość działania, wybór dostawców, a nawet komunikację kryzysową.
Dobrze wdrożony framework ryzyka sprawia, że:
- zarząd rozumie, jakie ryzyka faktycznie akceptuje,
- decyzje o inwestycjach w bezpieczeństwo są oparte na danych,
- a organizacja może udowodnić zgodność i dojrzałość w razie kontroli.
Podsumowanie
Wytyczne ENISA jasno pokazują, że zarządzanie ryzykiem to serce NIS 2.
Nie chodzi o szacowanie zagrożeń „dla porządku”, ale o świadome decyzje podejmowane przez zarząd w oparciu o aktualne dane i realny kontekst biznesowy.
Każda organizacja powinna więc:
- określić ramy i metodykę zarządzania ryzykiem,
- zdefiniować apetyt i tolerancję na ryzyko,
- regularnie aktualizować wyniki analiz,
- i angażować kierownictwo w ich zatwierdzanie.
Bo w erze NIS 2 zarządzanie ryzykiem to już nie proces techniczny – to język, w którym biznes rozmawia z bezpieczeństwem.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!