Usługa NOXVERI
Rzetelna ocena tego, gdzie stoi organizacja wobec wymagań NIS2 i DORA. Nie lista życzeń — konkretny obraz luk i priorytetów, który zarząd może zatwierdzić i który zespół może zrealizować.
Kontekst regulacyjny
NIS2 (implementowana w Polsce jako nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa — UKSC) i DORA (dla sektora finansowego) zmieniają podejście do cyberbezpieczeństwa w regulowanych organizacjach. Nie chodzi już o polityki i checklisty — chodzi o realne zarządzanie ryzykiem, dokumentowany nadzór zarządu i zdolność do reagowania na incydenty.
Dyrektywa UE implementowana w Polsce nowelizacją UKSC. Dotyczy podmiotów kluczowych i ważnych w kluczowych sektorach: energia, transport, finanse, zdrowie, woda, infrastruktura cyfrowa, usługi ICT, administracja publiczna i inne.
Art. 21 — środki zarządzania ryzykiem: ocena ryzyka, bezpieczeństwo łańcucha dostaw, ciągłość działania, kryptografia, zarządzanie dostępem i aktywami, reagowanie na incydenty. Art. 23 — zgłaszanie incydentów do CSIRT. Art. 20 — odpowiedzialność organów zarządzających: zarząd zatwierdza środki i ponosi osobistą odpowiedzialność za ich wdrożenie.
Rozporządzenie UE dotyczące operacyjnej odporności cyfrowej sektora finansowego: banki, ubezpieczyciele, firmy inwestycyjne, dostawcy usług płatniczych i inne podmioty nadzorowane.
Kluczowe obszary: zarządzanie ryzykiem ICT (ICT risk management framework), testowanie odporności — w tym TLPT dla podmiotów istotnych, zarządzanie ryzykiem dostawców ICT (third-party risk), raportowanie incydentów do regulatora. Wymagania weszły w życie od stycznia 2025 roku.
Wspólny mianownik: obie regulacje są konkretne co do tego, co organizacje muszą robić, ale celowo niepreskryptywne w kwestii jak to robić. To daje elastyczność — i odpowiedzialność. Audyt nie kończy się na stwierdzeniu, czy wymagania są formalnie spełnione. Weryfikuje, czy kontrole będące ich realizacją faktycznie działają w praktyce.
Metodologia
Audyt to nie tick-box. Celem nie jest stworzenie dokumentu, który trafia do szuflady — celem jest uzyskanie rzetelnego obrazu stanu bezpieczeństwa i planu działań, który faktycznie zmniejsza ryzyko i jest możliwy do realizacji przez organizację o danej skali i zasobach.
Gap analysis vs. wymagania NIS2 lub DORA. Przegląd istniejącej dokumentacji, architektury, procesów, kontroli technicznych i organizacyjnych. Rozmowy z kluczowymi rolami: IT, bezpieczeństwo, zarząd, operacje, compliance. Nie tylko sprawdzamy, co jest na papierze — weryfikujemy, co działa w praktyce. Wynik: ustrukturyzowana lista luk w stosunku do wymagań regulacyjnych.
Nie wszystkie luki są równie istotne. Oceniamy każdą z perspektywy prawdopodobieństwa materializacji, potencjalnego wpływu na organizację, wymagań regulacyjnych i realiów operacyjnych. Priorytet nadajemy tym lukom, które łączą wysokie ryzyko z realną możliwością ich zamknięcia. Wynik: priorytety remediacji z uzasadnieniem zrozumiałym dla zarządu.
Roadmapa z konkretnymi działaniami, odpowiedzialnościami i harmonogramem realistycznym wobec zasobów organizacji. Nie lista życzeń — plan możliwy do realizacji. Każde działanie ma jasnego właściciela, mierzalny efekt i powiązanie z wymaganiem regulacyjnym lub ryzykiem, które zamyka. Wynik: plan działań gotowy do prezentacji i zatwierdzenia przez zarząd.
Opcjonalna kontynuacja: nadzór nad realizacją planu, weryfikacja postępu, wsparcie w opracowaniu kluczowych dokumentów — polityki, procedury, rejestr ryzyk. Dostępne jako projekt z określonym zakresem lub jako przejście do stałego Managed CISO Programme z ciągłym nadzorem nad programem bezpieczeństwa.
Wyniki
Materiały są pisane pod konkretnego odbiorcy. Zarząd dostaje executive summary, z którego może podjąć decyzję. Zespół techniczny dostaje szczegółowy plan działań, z którego może pracować. Audytor lub regulator dostaje dokumentację, która mówi prawdę o stanie organizacji.
Odpowiedzialność zarządu
To nie jest abstrakcyjne ryzyko prawne. NIS2 w art. 20 wprost stanowi, że organy zarządzające podmiotów kluczowych i ważnych muszą zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa i mogą ponosić osobistą odpowiedzialność za naruszenia. W Polsce implementacja UKSC wprowadzi analogiczne przepisy krajowe.
Audyt NIS2 lub DORA połączony z Managed CISO Programme daje organizacji nie tylko wymagane środki zarządzania ryzykiem, ale też dokumentację nadzoru zarządu, która stanowi realną ochronę prawną w przypadku kontroli regulatora lub incydentu bezpieczeństwa.
Dla kogo
Audyt jest najbardziej wartościowy dla organizacji z konkretnym obowiązkiem regulacyjnym, pilnym pytaniem o stan zgodności lub potrzebą niezależnej oceny — nie potwierdzenia tego, co już wiadomo.
Organizacje objęte NIS2 (implementowaną w Polsce jako nowelizacja UKSC), które potrzebują oceny aktualnej pozycji wobec wymagań, rzetelnego obrazu luk i drogi do pełnej zgodności. Szczególnie istotne, gdy zarząd musi być w stanie wykazać należytą staranność przed właściwym organem lub po incydencie bezpieczeństwa.
Banki, ubezpieczyciele, firmy inwestycyjne, dostawcy usług płatniczych i inne podmioty finansowe objęte DORA. Audyt obejmuje framework zarządzania ryzykiem ICT, gotowość do raportowania incydentów, zarządzanie ryzykiem dostawców ICT oraz — dla podmiotów istotnych — gotowość do TLPT. Dostosowany do oczekiwań EBA, EIOPA i ESMA.
Audyt NIS2/DORA pokrywa znaczną część wymagań ISO 27001 i może być zorganizowany tak, żeby realizować oba cele jednocześnie. Rejestr ryzyk i udokumentowane kontrole stają się elementem systemu zarządzania bezpieczeństwem informacji (ISMS). Bez dublowania pracy — jedno zaangażowanie, dwa wyniki.
Kontakt
Napisz krótko o swojej sytuacji — sektorze, skali i tym, co już zostało zrobione. NOXVERI odpowie z oceną, od czego warto zacząć i jaki zakres audytu ma sens w kontekście Twojej organizacji.
Umów rozmowę