Audyt zgodności z dyrektywą NIS
ZWERYFIKUJ SWÓJ POZIOM ZGODNOŚCI W OBSZARZE CYBERBEZPIECZEŃSTWA
zasady wynikające z Dyrektywy NIS
Od 28 sierpnia 2018r. - zgodnie z Ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która implementuje postanowienia Dyrektywy NIS (ang. Directive on security of network and information systems) Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii - część organizacji może zostać uznana za operatorów usług kluczowych lub dostawców usług cyfrowych.
Właściwy organ ds. cyberbezpieczeństwa dla danego sektora gospodarki może wydać decyzję administracyjną o uznaniu podmiotu za operatora usług kluczowych biorąc pod uwagę zakres świadczonej usługi kluczowej, jej oparcie na systemach informatycznych oraz ryzyko wystąpienia istotnego skutku w razie incydentu.
W razie otrzymania decyzji o uznaniu podmiotu za operatora kluczowego ma on:
Ostatecznie, podmiot taki powinien przeprowadzić niezależny audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.
AUDYT POCZĄTKOWY BEZPIECZEŃSTWA SYSTEMU INFORMACYJNEGO
Usługa polega na zweryfikowaniu stanu faktycznego w organizacji na zgodność z przepisami Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz z normami ISO/IEC 27001 i ISO/IEC 22301. Przyjęta metodyka audytu pozwala na określenie poziomu bezpieczeństwa kluczowej usługi informacyjnej oraz wskazanie najważniejszych luk systemu bezpieczeństwa. Audyt jest zakończony szczegółowym raportem określającym rekomendacje w zakresie działań korygujących oraz dostosowawczych.
- Audyt bezpieczeństwa systemu informacyjnego jednostki akredytowanej: zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, audyt bezpieczeństwa systemu informacyjnego musi być przeprowadzony przez jednostkę akredytowaną - jaką jest Bureau Veritas Polska Sp. z o.o. Podmioty uznane za operatorów usług kluczowych muszą przejść pierwszy audyt przeprowadzony przez jednostkę akredytowaną w terminie roku od uznania za operatora kluczowego oraz kolejno - co 2 lata. Audyt kończy się sprawozdaniem oraz przekazaniem dokumentacji audytowej operatorowi usługi kluczowej.
Nasze podejście
Usługa audytu bezpieczeństwa systemu informacyjnego ma na celu ustalenie stanu faktycznego i jego klasyfikację przez pryzmat normy ISO/IEC 27001 oraz ISO/IEC 22301. Przed przeprowadzeniem audytu początkowego są określane ramy usługi kluczowej lub usługi cyfrowej,do której odnosi się decyzja administracyjna. Po audycie początkowym oraz wprowadzeniu uwzględnionych działań korygujących, zalecany jest audyt jednostki akredytowanej.
Korzyści jakie gwarantuje Dyrektywa NIS
-
redukcja ryzyka związanego z zabezpieczeniem systemu informacyjnego
-
weryfikacja poziomu bezpieczeństwa systemu informacyjnego
-
spełnienie wymogów prawnych nakładanych na operatora usług kluczowych przez Ustawodawcę
-
rzetelny audyt bezpieczeństwa oparty na normach ISO/IEC 27001 oraz ISO/IEC 22301
-
przejrzyste rekomendacje w zakresie działań korygujących i dostosowawczych
-
niezależne sprawozdanie w zakresie bezpieczeństwa systemu informacyjnego sporządzone przez jednostkę akredytowaną.
Dlaczego Bureau Veritas?
- Wiodąca, globalnie uznana jednostka certyfikacyjna (ponad 4 miliony certyfikatów wydawanych rocznie).
- Doświadczenie audytorów zdobyte podczas wielu audytów zgodności z ISO 27001 i ISO 22301.
- Standardy implementacji wymogów prawa do systemów zarządzania określone przez Grupę Bureau Veritas.
- Dogłębna znajomość wymogów wobec operatorów usług kluczowych i dostawców usług cyfrowych przewidzianych w Ustawie o krajowym systemie cyberbezpieczeństwa.
DLACZEGO AUDYT BEZPIECZEŃSTWA SYSTEMU INFORMACYJNEGO WG NIS JEST WAŻNY?
W razie niedostosowania się operatora usługi kluczowej do decyzji administracyjnej i uporczywe nie dostosowanie usługi kluczowej organ właściwy ds. cyberbezpieczeństwa może nałożyć karę w wysokości do 1 000 000 zł.
CZY KAŻDY PODMIOT MOŻE PRZEPROWADZIĆ AUDYT BEZPIECZEŃSTWA SYSTEMU INFORMACYJNEGO?
Nie, zgodnie z Art. 15 Ustawy o systemie cyberbezpieczeństwa audyt bezpieczeństwa systemu informacyjnego może być przeprowadzony tylko przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku.
DLACZEGO WARTO SKORZYSTAĆ Z AUDYTU BEZPIECZEŃSTWA ZGODNEGO Z DYREKTYWĄ NIS PRZEZ BUREAU VERITAS?
Przeprowadzając audyt bezpieczeństwa Bureau Veritas uwzględnia wszelkie wytyczne organów właściwych ds. cyberbezpieczeństwa jak również dobre praktyki wynikające z normy i standardów światowych.