Wdrożenie zgodności z nową UoKSC

Realizujemy projekt wdrożeniowy zgodnie z harmonogramem wynikającym z nowej UoKSC i aktów wykonawczych: od wstępnego audytu (audytu 0) po plan 90–180 dni, gotowość dowodową i kontrolę.

Wyróżnia nas bogate doświadczenie. Od lat prowadzimy audyty bezpieczeństwa informacji, cyberbezpieczeństwa i ciągłości działania, jak również testy penetracyjne. Obsługujemy też operatorów usługi kluczowej (OUK) w myśl starej UoKSC oraz podmioty, które za sprawą nowelizacji wkrótce staną się ważnymi (PW) lub kluczowymi (PK). Doskonale rozumiemy ich potrzeby, a nasze wdrożenia zapewniają skuteczne zabezpieczenia organizacyjne i techniczne, zarówno w IT jak i w OT.

Co zyskasz

• Wdrożenie na czas – praca według kamieni milowych, zgodnych z terminami ustawy.
• Jasny zakres i odpowiedzialności – kompleksowe zarządzani rolami dopasowanymi do potrzeb organizacji, RACI.
• Repozytorium dowodów – nasze wdrożenia wiążą się z przygotowaniem dokumentów i dowodów, które dowodzą zgodności w przypadku przyszłych audytów i kontroli.
• Plan utrzymaniowy – nasze wdrożenia opieramy na stałym doskonaleniu i pomiarach. Raz uruchomiony system adaptuje się do zmieniającej sytuacji.

Harmonogram wdrożenia

0. Audyt początkowy (audyt 0) — szybki start

Klasyfikacja jako PK/PW i potwierdzenie zakresu usług/systemów objętych przepisami. Następnie przeprowadzenie audytu względem wymagań UoKSC i zaleceń ENISA/IR. Wynikiem jest opracowanie szczegółowego raportu, mapującego luki wraz z ich krytycznością, wskazującego zalecane działania i priorytety.

Audyt prowadzony jest przez doświadczony zespół certyfikowanych audytorów wiodących norm ISO/IEC 27001 oraz ISO 22031. Gwarantuje to zgodność z wymaganiami UoKSC, sprawność procesu i wysoką jakość efektów.

Więcej na temat tego etapu: Audyt zgodności z nową UoKSC i NIS2

1. Start i kwalifikacja (0–30 dni)

Potwierdzenie zakresu usług i systemów objętych przepisami i ustalenie planu projektu oraz priorytetów we wdrażaniu wymagań. Elementem jest opracowanie mapy działań, która stanowi interaktywne narzędzie służące do łatwego śledzenia zadań i celów po stronie ACSEC oraz klienta. Ustalany jest także zakres polityk i procedur, które zostaną przygotowane.

2. Wdrażanie SZBI i szacowanie ryzyka (30–90 dni)

Opracowanie dokumentacji SZBI, która spełnia wymagania UoKSC. Oznacza to objęcie politykami zarówno bezpieczeństwa informacji i cyberbezpieczeństwa, jak również ciągłości działania. Dokumenty operacyjne przygotowywane są w oparciu o bieżące praktyki i już istniejące procesy, tak aby wdrożenie SZBI nie wymagało gruntownych zmian w obszarach, które oceniono pozytywnie.

Równolegle prowadzone są działania związane z szacowaniem ryzyka — przez wdrożenie naszej autorskiej metodyki, którą dostosowujemy do potrzeb danej organizacji. Umożliwia ona kompleksowe zarządzanie ryzykiem, zgodne z normami oraz najlepszymi praktykami. Całość uzupełnia analiza wpływu biznesowego (business impact analysis, BIA), prowadzona w zakresie ciągłości działania.

3. Operacjonalizacja (80–180 dni)

Przeprowadzenie testów przygotowanych planów ciągłości działania i reagowania na incydenty, odzysku kopii zapasowych oraz innych zaplanowanych działań. Nadzór nad wdrożonymi procesami, pomoc w realizacji obowiązków i reagowanie w obszarach wymagających dodatkowego doskonalenia.

Efektem jest opracowanie repozytorium dowodów (logi, dokumenty, dzienniki i podobne) w stopniu pozwalającym uzyskać zgodność w przypadku dalszych audytów i kontroli. Wdrażane przez nas sposoby mierzenia skuteczności SZBI ułatwiają także zarządzanie i nadzór na systemem, umożliwiając porównywanie wyników pomiędzy poszczególnymi latami.

Jakie wyniki otrzymuję?

• Plan wdrożenia z koniecznymi narzędziami — przygotowujemy nie tylko harmonogram prac, lecz zapewniamy kompleksową ich obsługę w sposób optymalizujący konieczne zasoby. Wyznaczamy też jasne kamienie milowe po obu stronach.
• Podniesienie świadomości użytkowników — zapewniamy szkolenia i dodatkowe działania uświadamiające w zakresie nowych obowiązków i cyberhigieny.
• Repozytorium dowodów — szablony dokumentów oraz pomoc w przygotowaniu innych dowodów wymaganych w przyszłych kontrolach i audytach.
• Zgodność z wymaganiami UoKSC — udokumentowaną i z rzeczywistą poprawą odporności procesowej i cyberbezpieczeństwa.

FAQ — najczęściej zadawane pytania

Czy samo ISO 27001 wystarczy?

Pomaga, ale UoKSC/NIS2 precyzuje dodatkowe praktyki (np. zgłoszenia incydentów, CVD, logowanie/monitoring, łańcuch dostaw). Zapewniamy mapowanie i domknięcie luk.

Co z firmami w łańcuchu dostaw podmiotów kluczowych/ważnych?

Wdrażamy minimalne wymagania i klauzule umowne, jak również dodatkowe mechanizmy nadzoru nad łańcuchem dostaw. Pozwala to sprostać oczekiwaniom stawianym PK/PW, a przez to audytom i kontrolom.

Czy działania mogą być prowadzone w sposób równoległy?

Tak. Planujemy i koordynujemy wdrożenia tak, aby równolegle podejmować działania, w przypadku których jest to możliwe. Poszczególne wątki prowadzone są przez ekspertów i specjalistów, dzięki czemu skracamy potrzebny czas, zachowując najwyższą jakość usługi.

Czy możliwe jest potwierdzenie wdrożenia audytem?

Tak. Umożliwiamy przeprowadzenie audytu weryfikującego przez certyfikowanych audytorów, którzy nie byli angażowani w działania wdrożeniowe. Zapewniamy tym samym rzetelność procesu i zarazem dowód wewnętrznego nadzorowania kondycji SZBI.