NIS2 READY
Keď sa povie kybernetické riziko, väčšina organizácií sa automaticky otočí smerom k IT. Firewall, antivírus, patchovanie, SIEM. A potom príde úľava: „Máme to pokryté.“
Lenže práve tu sa ukazuje, že technický pohľad na riziká nestačí.
V jednom projekte sme sa pýtali jednoduchú otázku: „Čo by sa stalo, keby vám zajtra vypadol tento systém?“ Odpoveď neprišla z IT. Prišla z financií.
„Nevieme fakturovať.“
„Nevieme uzavrieť mesiac.“
„Nevieme zaplatiť dodávateľov.“
Nešlo o technický problém, ale o biznisový dopad. A presne takto sa na riziká pozerá aj NIS2.
Európska smernica NIS2 nehovorí len o technických opatreniach. Hovorí o kontinuite služieb, dopadoch na spoločnosť a ekonomiku a o zodpovednosti manažmentu. To nie sú technické pojmy. To sú biznisové pojmy. IT zohráva kľúčovú rolu pri riešení hrozieb a implementácii opatrení, ale samotné dôsledky incidentov vždy dopadajú na chod organizácie ako celku.
Práve tu vzniká jeden z najčastejších problémov. Riziká sú evidované ako technické zlyhania infraštruktúry, bez jasného vzťahu k tomu, ktorý proces alebo služba je v skutočnosti ohrozená. Riziko je formálne zapísané, ale v praxi nemá jasného vlastníka. A ak je každé riziko „IT rizikom“, v skutočnosti ho nevlastní nikto.
Z pohľadu NIS2 sú riziká implicitne viazané na služby a procesy, nie na technológie ako také. Správne formulované riziko nehovorí len o tom, že zlyhá systém, ale o tom, čo to znamená pre organizáciu. Napríklad výpadok zákazníckeho portálu môže viesť k porušeniu zmluvných SLA a strate dôvery klientov. V tej chvíli je jasný dopad, je teda jasné, koho sa riziko týka, a je jasné, kto má konať.
Zlomový moment nastáva práve vtedy, keď vlastníkom rizika nie je IT manažér, ale reálny vlastník služby alebo procesu v rámci organizácie. Fakturácia má svojho vlastníka vo financiách, výroba v prevádzke, zákaznícke služby v customer care. IT sa stáva partnerom, ktorý dodáva riešenia, nie jediným nositeľom zodpovednosti. A presne tento posun NIS2 od organizácií očakáva.
Ako Tazilla premieňa požiadavky NIS2 na jasne určenú zodpovednosť
V rámci platformy Tazilla sa na riziká pozeráme najskôr cez aktíva a základné služby, ktoré sú pre organizáciu kľúčové. Riziká sú naviazané na konkrétny biznisový kontext, majú určených vlastníkov a až následne sa k nim navrhujú technické a organizačné opatrenia. Vďaka tomu má každé riziko jasný význam a jasné miesto v rozhodovaní.
Pochopenie kybernetického rizika ako biznisového problému je len prvým krokom. Ďalšou výzvou je vlastníctvo rizika. Keď za riziko nikto nenesie zodpovednosť, incidenty sa rýchlo menia na chaos.
Tento problém podrobnejšie rozoberáme v článku „Sprievodca NIS2: Keď riziko nemá vlastníka, incident preberá kontrolu.“
Ponaučenie je jednoduché. Nie každé kybernetické riziko je technické. Ale každé má technické dôsledky. Ak sa na riziká pozeráte len cez IT, NIS2 budete vždy dobiehať. Ak sa na ne pozeráte cez biznis, začne to dávať zmysel.