NIS 2 za rogiem - a słabym ogniwem wciąż człowiek
Około 50% pracowników obawia się zgłaszania cyberincydentów z powodu strachu przed potencjalnymi konsekwencjami, jak wynika z badań angielskiej firmy Think Cyber. Jednocześnie to właśnie oni najczęściej popełniają błędy, takie jak klikanie w podejrzane linki w e-mailach czy dzielenie się firmowymi danymi zewnętrznie, często używając tego samego hasła do różnych celów.
W świecie cybersecurity mówi się, że bezpieczeństwo zaczyna się od człowieka. To stwierdzenie nabiera jeszcze większego znaczenia w kontekście nowych regulacji dotyczących cyberprzestrzeni, takich jak NIS2. Dyrektywa ta zwraca szczególną uwagę na ten element, wprowadzając kary za brak szkoleń pracowników i kadry zarządzającej. Szkolenia te są kluczowe dla rozwijania bezpiecznych zachowań wśród pracowników, ale muszą być też skuteczne i zapamiętywalne. Badania Think Cyber ujawniają jednak, że 42% respondentów uważa, iż ich organizacje nie są w stanie udowodnić, że szkolenia przełożyły się na rzeczywiste zmiany w zachowaniu pracowników.
Dyrektywa NIS2 nakłada również obowiązek regularnego raportowania incydentów, co oznacza, że pracownicy muszą czuć się swobodnie w zgłaszaniu problemów, bez obaw o negatywne konsekwencje. Aby to osiągnąć, firmy muszą zbudować odpowiednią kulturę organizacyjną i kompleksowo szkolić wszystkich pracowników, nie tylko w zakresie cyberbezpieczeństwa, ale także w kwestii zgłaszania incydentów i radzenia sobie z nimi. Szkolenia powinny obejmować zarówno podstawy higieny cybernetycznej, jak i zaawansowane techniki ochrony danych.
NIS2 wymaga również ustanowienia procedur monitorowania i reagowania na potencjalne zagrożenia. Regularne szkolenia są niezbędne, aby skutecznie zarządzać zagrożeniami i reagować na incydenty bezpieczeństwa komputerowego. Dzięki tym zmianom, organizacje kluczowe i ważne będą lepiej przygotowane na potencjalne ataki i będą mogły skuteczniej chronić swoje systemy informatyczne.
Procedury zgłaszania incydentów w ramach dyrektywy NIS2 zostały podzielone na kilka etapów, aby zapewnić efektywne zarządzanie i reakcję na zagrożenia. Pierwszym krokiem jest wczesne ostrzeżenie, które musi być przekazane w ciągu 24 godzin od wykrycia incydentu. Następnie, w ciągu 72 godzin, organizacje muszą dostarczyć szczegółowy raport na temat incydentu. Ostatecznie, wymagane są sprawozdania końcowe i okresowe, które muszą być złożone w ciągu miesiąca od zgłoszenia incydentu.
Te trzy etapy zgłaszania incydentów umożliwiają szybką reakcję i minimalizację skutków ataków cybernetycznych. Kluczowe organizacje muszą przestrzegać tych procedur, aby zapewnić zgodność z nowymi regulacjami i skutecznie chronić swoje systemy informatyczne.
Nie zwlekaj – pozwól nam przeszkolić Twoich pracowników. Nasze szkolenia są dopasowane do Twoich potrzeb, łatwe do zapamiętania i otwarte na pytania oraz błędy. Przygotujmy się razem na NIS2.