Odpowiedzialność za NIS2 nie leży po stronie działu IT – Wdrożenie wymogów dyrektywy oczami działu technicznego

Program

1. Wprowadzenie do dyrektywy NIS2

• Cel i zakres dyrektywy
• Zakres podmiotowy – kto podlega (kluczowe i ważne podmioty)
• Nowe podejście UE do cyberbezpieczeństwa
• Rola działu IT w kontekście zgodności z NIS2

2. Obowiązki organizacji w świetle NIS2

• Środki techniczne i organizacyjne
• Obowiązki w zakresie zarządzania ryzykiem
• Wymóg nadzoru i zaangażowania kadry kierowniczej
• Obowiązek dokumentowania działań i procedur

3. Wymagania techniczne – dobre praktyki wg NIS2

• Kontrola dostępu i tożsamości
• Zarządzanie podatnościami i aktualizacjami
• Monitorowanie i wykrywanie incydentów
• Szyfrowanie danych i komunikacji
• Zarządzanie kopiami zapasowymi i odtwarzaniem
• Segmentacja sieci i ochrona zasobów krytycznych
• Bezpieczeństwo w chmurze i u dostawców zewnętrznych

4. Zarządzanie incydentami i reagowanie na nie

• Kiedy incydent jest „istotny” – definicje wg NIS2
• Obowiązek zgłoszenia incydentu (ramy czasowe, procesy)
• Wymagania raportowe i kontakt z CSIRT
• Budowa i testowanie planów reagowania na incydenty

5. Audyt, dokumentacja i raportowanie

• Obowiązek prowadzenia dokumentacji technicznej
• Wymagania audytowe (audyt wewnętrzny i zewnętrzny)
• Checklisty i dokumenty wymagane przez NIS2

6. Zarządzanie łańcuchem dostaw i ryzykiem zewnętrznym

• Obowiązki w zakresie relacji z dostawcami (outsourcing IT, chmura)
• Ocena ryzyka stron trzecich
• Umowy SLA i wymagania bezpieczeństwa wobec partnerów

7. Kroki do wdrożenia zgodności z NIS2

• Jak przygotować się do audytu zgodności?
• Rola działu IT w przygotowaniu raportów dla zarządu i regulatora

8. Q&A + Podsumowanie

• Dyskusja o lokalnych warunkach organizacyjnych
• Dobre praktyki w innych organizacjach
• Najważniejsze „do zrobienia” po szkoleniu