Dyrektywa (UE) 2022/2555 (NIS 2), przyjęta w celu ustanowienia środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, wprowadza szereg restrykcyjnych wymagań z zakresu bezpieczeństwa informacji i cyberodporności podmiotów kluczowych oraz ważnych. Podmioty te będą zobowiązane do wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie, co będzie również obejmowało zarządzanie ciągłością działania (dalej również BCM – Business Continuity Management).
BCM to zestaw procesów i procedur mających na celu zapewnienie zdolności organizacji do kontynuowania kluczowych działań w przypadku wystąpienia zakłóceń, awarii lub incydentów związanych z bezpieczeństwem. Integralnym elementem podejścia związanego z zapewnieniem ciągłości działania organizacji jest również zarządzanie ciągłością łańcucha dostaw, które koncentruje się na zapewnieniu nieprzerwanego dostarczania kluczowych zasobów, towarów lub usług przez zewnętrznych dostawców.
Głównym celem wdrożenia zasad związanych z zarządzaniem ciągłością działania w organizacji jest ograniczenie skutków potencjalnych przerw w działalności poprzez przygotowanie organizacji do reagowania na incydenty związane z bezpieczeństwem i sprawne przywracanie funkcjonowania kluczowych obszarów organizacji w przypadku wystąpienia przerw.
Zarządzanie łańcuchem dostaw wymaga z kolei identyfikacji zależności od podmiotów zewnętrznych, w tym przeprowadzenia oceny ryzyka związanego z zewnętrznymi dostawcami i wdrożenie odpowiednich środków technicznych lub organizacyjnych w celu zapobiegania wystąpieniu potencjalnych ryzyk. W dobie cyfrowej transformacji i globalizacji dostaw, zaniedbanie tego obszaru może prowadzić do znacznych strat finansowych lub wizerunkowych.
Jak uregulowano BCM w NIS2?
Dyrektywa NIS 2 zaostrzyła podejście do zapewnienia ciągłości działania oraz zarządzania ryzykiem w łańcuchu dostaw. Zgodnie z art. 21 ust. 2 lit. c) i d), podmioty kluczowe i ważne mają obowiązek wprowadzenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem, bazując na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, w szczególności w zakresie ciągłości działania, np. poprzez zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe, a także bezpieczeństwo łańcucha dostaw, w tym poprzez aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami.
Podmioty kluczowe i ważne zobligowane są do monitorowania ryzyka wynikającego z korzystania z usług podmiotów trzecich, a także do zapewnienia, że dostawcy spełniają odpowiednie standardy bezpieczeństwa. W praktyce oznacza to zwykle konieczność wdrożenia zintegrowanego systemu zarządzania ryzykiem i ciągłością działania obejmującego również zarządzanie bezpieczeństwem łańcucha dostaw.
BCM w praktyce
Aby skutecznie zarządzić ciągłością działania w praktyce, należy rozpocząć od inwentaryzacji procesów oraz zasobów wykorzystywanych w tych procesach. Kiedy podmiot odpowie na pytanie czym dysponuje, będzie mógł rozpocząć ocenę tzw. BIA (Business Impact Assessment), czyli analizę wpływu utraty ciągłości działania na podmiot i świadczone przez niego usługi. Wykonując BIA podmiot powinien poznać:
· które procesy są krytyczne dla organizacji;
· jakie skutki niesie za sobą przerwa w funkcjonowaniu tych procesów;
· w jakim czasie należy przywrócić sprawność funkcjonowania procesów (tzw. RTO – Recovery Time Objective);
· jakiego poziomu danych nie można utracić w wyniku awarii / incydentu (tzw. RPO – Recovery Point Objective).
Na podstawie wyników oceny BIA podmiot jest w stanie dalej opracować:
· plany ciągłości działania (BCP – Business Continuity Plan) – które opisują, w jaki sposób należy kontynuować krytyczne działania podczas wystąpienia incydentu;
· plany reagowania na incydenty (IRP - Incident Response Plans) – które koncentrują się na szybkim wykrywaniu, ocenie i neutralizacji zagrożeń;
· plany odzyskiwania danych i systemów (DRP – Disaster Recovery Plan) – opisujące proces przywracania normalnego funkcjonowania systemów IT po wystąpieniu incydentu.
Wdrożenie i sprawne funkcjonowanie powyższych planów wymaga przeprowadzania regularnych testów, przeglądów, a także przypisania ról i odpowiedzialności w strukturze organizacyjnej danego podmiotu.
Zarządzanie łańcuchem dostaw w praktyce
Zarządzanie łańcuchem dostaw, jak wspomnieliśmy powyżej, jest istotne z punktu widzenia zapewnienia ciągłości działania organizacji, ale również z punktu widzenia mitygacji ryzyk związanych z bezpieczeństwem informacji i odpornością cyfrową podmiotu kluczowego lub ważnego. Podobnie jak w przypadku BIA, aby skutecznie zarządzić łańcuchem dostaw, podmiot powinien w pierwszej kolejności przeprowadzić inwentaryzację swoich procesów oraz zasobów, a także przypisać do tych procesów i zasobów zewnętrznych dostawców, którzy wspierają te procesy i zasoby.
Dopiero po przeprowadzeniu inwentaryzacji i przypisaniu procesów i zasobów do dostawców, podmiot kluczowy lub ważny jest w stanie:
· przeprowadzić identyfikację dostawców krytycznych, poprzez analizę zależności operacyjnych i technicznych pomiędzy procesami i zasobami podmiotu i jego dostawców;
· przeprowadzić ocenę ryzyka – do tego celu można posłużyć się ankietami samooceny dostawców, wynikami audytów dostawców, analizą informacji o incydentach występujących po stronie tych dostawców, certyfikatami pozyskanymi przez dostawców (np. ISO 27001), czy też ocenami dojrzałości procesów;
· określić wymagania kontraktowe – na bazie wymagań bezpieczeństwa podmiotu kluczowego lub ważnego, w zależności od tego jakie procesy wspiera zewnętrzny dostawca, podmiot powinien uwzględnić w umowach z tymi dostawcami odpowiednie postanowienia dotyczące obowiązków w zakresie bezpieczeństwa, dostępie do wyników audytów wewnętrznych, możliwości przeprowadzania audytów dostawców, terminach przywracania sprawności świadczonych usług lub dostaw, czy też obowiązku informowania o incydentach;
· monitorować i doskonalić – podmiot kluczowy lub ważny powinien regularnie weryfikować zewnętrznych dostawców, w tym zapewnić sobie dostęp do informacji pozwalających na ocenę jakości świadczonych usług, jak również okresowo przeprowadzać audyty dostawców, a także przeglądać i aktualizować plany i procedury dotyczące współpracy z zewnętrznymi dostawcami.
W praktyce warto jest wdrożyć i regularnie prowadzić centralny rejestr umów, w którym odnotowane zostaną również powiązania pomiędzy dostawcami a procesami, które wspierają. Dodatkowo warto jest prowadzić katalog wymaganych środków ochrony oraz oceny poziomu ich spełnienia.
Zarządzanie ciągłością działania i łańcuchem dostaw jako podstawa prawidłowego funkcjonowania podmiotów kluczowych lub ważnych.
Wymagania wprowadzone przez Dyrektywę (UE) 2022/2554 (NIS 2) znacząco podnoszą poprzeczkę w zakresie zapewnienia niezawodności i odporności organizacji podmiotów kluczowych lub ważnych. Zarządzanie ciągłością działania oraz bezpieczeństwem łańcucha dostaw przestało być fakultatywnym elementem strategii danego podmiotu, a stało się obowiązkiem regulacyjnym. Skuteczna i efektywna implementacja wymaga zintegrowanego podejścia, zaangażowania najwyższego kierownictwa oraz współpracy z zewnętrznymi dostawcami. Dużą rolę w obszarze zarządzania bezpieczeństwem łańcucha dostaw oraz ciągłością działania mają do odegrania również osoby w organizacji, które zajmują się procesami zakupowymi, relacjami z podmiotami zewnętrznymi, a także analizą i zawieraniem umów z podmiotami zewnętrznymi. Ciężar odpowiedzialności za bezpieczeństwo organizacji od lat przestaje być już tylko zmartwieniem działów IT, a staje się zajęciem interdyscyplinarnym, angażującym wiele osób i procesów wewnątrz podmiotu.
Przygotowanie odpowiednich analiz, planów i procedur to inwestycja w stabilność i wiarygodność instytucji. W obliczu rosnących zagrożeń cyfrowych oraz coraz większej złożoności łańcuchów dostaw, zarządzanie ciągłością działania oraz cyberbezpieczeństwem staje się fundamentem odporności organizacyjnej i zaufania klientów.
Adw. Tomasz Kamiński – Wspólnik w Kancelarii Krzysztof Rożko i Wspólnicy,
Daniel Niwiński – Prawnik, Ekspert ds. cyberbezpieczeństwa w Kancelarii Krzysztof Rożko i Wspólnicy