Wiele organizacji traktuje NIS2 jako zwieńczenie zmian w cyberbezpieczeństwie. Wdrożenie wymagań, aktualizacja procedur, audyt i temat zamknięty. Tymczasem dokumenty Komisji Europejskiej pokazują coś innego. Sam formalny compliance nie wystarcza - celem ma być realna, mierzalna odporność organizacji.

NIS2, DORA, AI Act - czy to już komplet?

Na rynku często słychać, że po wdrożeniu NIS2 „sprawa będzie załatwiona”. Problem polega na tym, że krajobraz regulacyjny w UE jest dziś rozdrobniony i kosztowny. Mamy kilka aktów prawnych, które mówią o podobnych zagadnieniach, ale w różnych kontekstach i języku.

DORA koncentruje się na odporności operacyjnej sektora finansowego i jest silnie operacyjna.

AI Act reguluje systemy sztucznej inteligencji przez pryzmat ryzyka prawnego i społecznego.

NIS2 pozostaje szeroką ramą zarządczą dla wielu sektorów gospodarki.

W efekcie organizacje przygotowują kolejne zestawy dokumentów, przechodzą równoległe audyty i raportują do różnych regulatorów. Koszty rosną, a realna odporność nie zawsze nadąża za poziomem formalnej zgodności.

To właśnie ten problem próbuje adresować projekt CSA2 - rewizja Cybersecurity Act.

Nowe pojęcie: „cyber posture organizacji”

W dokumentach dotyczących CSA2 pojawia się istotna koncepcja: certyfikacja cyber posture organizacji.

Dotychczas unijna certyfikacja koncentrowała się głównie na produktach, usługach i procesach. Teraz mowa o ocenie całej organizacji jako systemu bezpieczeństwa.

Cyber posture to całościowy i mierzalny obraz dojrzałości cyberbezpieczeństwa. Obejmuje on m.in.:

  1. sposób zarządzania bezpieczeństwem i realne zaangażowanie zarządu,
  2. podejście do zarządzania ryzykiem,
  3. zdolność reagowania na incydenty i przywracania ciągłości działania,
  4. odporność operacyjną,
  5. zarządzanie dostawcami ICT i ryzykiem łańcucha dostaw.

Nie chodzi już o to, czy istnieje procedura. Kluczowe jest, czy organizacja potrafi wykryć incydent, ograniczyć jego skutki i wrócić do działania w kontrolowany sposób.

Komisja wprost wskazuje, że brak organizacyjnej certyfikacji jest jedną z istotnych luk obecnego systemu.

Koniec „papierowej zgodności”?

W analizie skutków regulacji Komisja Europejska przyznaje, że obecny model compliance generuje wysoki koszt administracyjny i nie zawsze przekłada się na realny wzrost odporności.

Dlatego CSA2 zakłada:

  1. rozszerzenie certyfikacji na poziom organizacji,
  2. wykorzystanie certyfikacji jako narzędzia wykazywania zgodności z różnymi regulacjami („compliance by certification”),
  3. uproszczenie sytuacji, w której jedna organizacja podlega wielu aktom prawnym.

To zmiana filozofii. Mniej deklaracji, więcej dowodów odporności.

Co to oznacza dla Polski i nowelizacji UKSC?

Nowelizacja UKSC wdrażająca NIS2 jest dopiero pierwszym krokiem. UKSC wprowadza minimalny poziom wynikający z dyrektywy. CSA2, jako rozporządzenie, będzie stosowane bezpośrednio w państwach członkowskich.

W praktyce oznacza to, że regulator może zacząć oceniać nie tylko zgodność formalną, ale całościową dojrzałość organizacji.

Dla firm w Polsce to kilka wyraźnych sygnałów:

  1. sama zgodność z przepisami krajowymi może nie być wystarczająca,
  2. rośnie znaczenie zarządzania dostawcami ICT i bezpieczeństwa łańcucha dostaw,
  3. certyfikacja może stać się realnym narzędziem nadzoru, a nie tylko elementem marketingowym.

To nie kolejna regulacja

CSA2 nie jest wyłącznie „dodatkowym obowiązkiem”. Jego celem jest uporządkowanie podejścia wynikającego z NIS2, DORA, CRA i AI Act oraz ograniczenie kosztów wielokrotnego wykazywania zgodności.

Ciężar przesuwa się z formalnej zgodności na realną odporność organizacyjną. Komisja wyraźnie sygnalizuje, że przyszłość cyberbezpieczeństwa w UE to mierzalna dojrzałość, a nie segregator pełen procedur.

Podsumowując...

NIS2 nie jest finałem zmian. To etap przejściowy.

Unia Europejska odchodzi od modelu opartego na checklistach i deklaracjach. W centrum uwagi znajduje się cyber posture - zdolność organizacji do realnego przetrwania incydentu i szybkiego powrotu do działania.

Dla firm oznacza to jedno: bezpieczeństwo przestaje być projektem compliance. Staje się elementem strategicznej odporności biznesowej.

Mogą Państwo zadbać o to z wykorzystaniem KnowBe4. Zachęcamy do kontaktu.