Audyt bezpieczeństwa oraz zasady prowadzenia dokumentacji w świetle dyrektywy NIS 2

Wobec przepisów dyrektywy NIS 2, zmienia się podejście do kwestii cyberbezpieczeństwa w przedsiębiorstwach. Przeprowadzanie audytów i rzetelnie prowadzona dokumentacja przestają być dobrym zwyczajem, a stają się obowiązkiem potwierdzającym, że organizacja zarządza ryzykiem w sposób systemowy. Brak posiadania kompletu dokumentów i cyklicznych audytów stanowi nie tylko istotne ryzyko operacyjne, ale przekłada się również na realne ryzyko kar i odpowiedzialności kierownictwa. W związku z powyższym warto odpowiedzieć na pytanie, jak się przygotować, aby audyt nie był jedynie przykrym obowiązkiem, lecz narzędziem ulepszania procedur bezpieczeństwa.

Wymogi dla przedsiębiorców

Dyrektywa nakłada na przedsiębiorstwa obowiązek wdrożenia środków zarządzania ryzykiem, w tym stworzenia polityk cyberbezpieczeństwa, procedur reagowania, testów oraz audytów. Kierownictwo musi wykazać należytą staranność, gdyż właściwe prowadzenie dokumentacji i wyniki audytów będą dowodem na dochowanie obowiązków w zakresie odpowiedzialności zarządu (art. 20, 21 NIS 2).

Co powinna zawierać dokumentacja?

Dobrze zorganizowany zbiór dokumentów zawiera co najmniej poniższe elementy:

• Dokumentację normatywną: polityki bezpieczeństwa, opis architektury, procedury dostępu i zarządzania uprawnieniami, plany ciągłości działania (BCP/DRP), polityki dotyczące łańcucha dostaw.
• Dokumentację operacyjną: logi systemowe, rejestry incydentów, raporty z testów penetracyjnych i audytów, wyniki skanów podatności, protokoły przeglądów i potwierdzenia szkoleń pracowników oraz członków zarządu.

Przepisy dyrektywy NIS 2 wskazują, że przedmiotową dokumentację należy przechowywać co najmniej 2 lata i uwzględniać każdą istotną zmianę w systemie.

Jak zaprojektować program audytów?

1. Plan i harmonogram: np. audyt roczny + audyt po każdym kamieniu milowym (wdrożenie nowego modułu, migracja danych, zmiana architektury).
2. Zakres: technika (testy penetracyjne, konfiguracje, logi), organizacja (procedury, SLA, role), dostawcy (audyt łańcucha dostaw).
3. Audytor: audyt wewnętrzny uzupełniony audytem zewnętrznym co najmniej raz na 12-24 miesiące.
4. Raport i plan naprawczy: każdemu audytowi musi towarzyszyć konkretny harmonogram działań korygujących z odpowiedzialnymi osobami i terminami.
5. Weryfikacja wykonania: follow-up audytu, sprawdzenie realizacji działań korygujących w ustalonym terminie.

Audyty dostawców i prawo do audytu w umowach

Łańcuch dostaw to najczęściej najsłabsze ogniwo procedury bezpieczeństwa. W umowach z dostawcami warto zastrzec prawo do audytu (lub do raportów wyników audytów), określić częstotliwość i mechanikę wykonywania testów u podwykonawców oraz przewidzieć sankcje za brak współpracy w tym zakresie.

Co robić przed audytem? Krótki plan działania:

1. Zrób inwentaryzację krytycznych zasobów systemów;
2. Zaktualizuj obowiązujące polityki i procedury bezpieczeństwa;
3. Uporządkuj logi i zachowaj dowody testów (backupy, raporty);
4. Przeprowadź wewnętrzny pre-audit i napraw najpilniejsze luki w systemach;
5. Przygotuj zespół do procedury audytu, ustal osoby kontaktowe oraz harmonogram audytu.

Dlaczego to się opłaca?

Inwestycja w system audytów i rzetelną dokumentację redukuje ryzyko kar nakładanych na przedsiębiorców i członków zarządu. Nadto zwiększa szansę na brak przestojów w działalności systemów operacyjnych, upraszcza procesy reakcji na incydenty oraz wzmacnia zaufanie klientów. Przedsiębiorcy, którzy posiadają kompletną dokumentację cyberbezpieczeństwa i regularne raporty z audytów, w praktyce zmniejszają swoje ryzyko operacyjne i reputacyjne, co w dzisiejszych czasach stanowi realną przewagę konkurencyjną.