Wdrożenie certyfikowanego Zintegrowanego Systemu Zarządzania (IMS) łączącego ISO 27001 i ISO 22301 pozwala organizacjom finansowym odzyskać kontrolę nad ryzykiem, raportowaniem oraz ciągłością działania, przygotowując się jednocześnie na wymagania NIS2 i DORA. Niniejszy przewodnik przedstawia metodykę szybkiego zamykania luk w obszarach incydentów, ciągłości, dostawców, monitoringu, testów odporności, raportowania i governance.
Omówione zostaną: połączenie wymagań obu regulacji w jedno źródło prawdy, 90-dniowy plan wdrożenia z klarownymi rolami i artefaktami, metodyka pomiaru KPI i ROI z perspektywy zarządu oraz projektowanie audytów i ćwiczeń wzmacniających odporność operacyjną. IMS staje się narzędziem eliminującym nadmiar biurokracji, zapewniającym dotrzymanie terminów 24/72h, spełnienie wymagań RTO/RPO oraz gromadzenie dowodów od dostawców.
Artykuł powstał we współpracy z Centre of Excellence – https://coe.biz.pl/
Najpilniejsze luki zgodności NIS2 i DORA zamykane przez IMS
Zarządzanie incydentami
Brak jednolitego procesu i rozproszone kanały zgłoszeń generują ryzyko kar, chaos komunikacyjny i opóźnienia w raportowaniu 24/72h. IMS adresuje ten problem poprzez wdrożenie kontroli ISO 27001 A.5.24-A.5.28, playbooka reakcji oraz procedury zgłaszania w wymaganych oknach czasowych.
Ciągłość usług
Brak zdefiniowanych parametrów RTO/RPO i alternatywnych procesów prowadzi do przestojów i kar wynikających z DORA. IMS wprowadza ISO 22301 z uproszczoną analizą BIA, scenariuszami awaryjnymi i testami DR.
Zarządzanie dostawcami (TPRM)
Umowy bez KPI/OLA i bez oceny ryzyka generują ryzyko łańcucha dostaw. IMS wymusza klauzule bezpieczeństwa, oceny due diligence oraz monitoring SLA.
Logowanie i monitoring
Brak korelacji i retencji logów skutkuje niewykrytymi incydentami i brakiem dowodów. IMS wprowadza politykę logów, integrację z SIEM/SOC oraz retencję 12-24 miesięcy.
Testy odporności
Sporadyczne skany bez wniosków tworzą fałszywe poczucie bezpieczeństwa. IMS wymaga planu testów, pentestów, purple team oraz śledzenia poprawek.
Raportowanie
Brak metryk ryzyka i KPI pozostawia zarząd bez danych, a nadzór bez dowodów. IMS dostarcza dashboard ryzyka, KRI/KPI oraz cykliczne przeglądy.
Governance
Niejasne role i brak właścicieli ryzyk prowadzą do rozmycia odpowiedzialności. IMS wprowadza matrycę ról (RACI), przeglądy zgodności i audyty wewnętrzne.
Szybkie działania możliwe do wdrożenia w 30 dni:
- Rejestr incydentów (JIRA/GLPI) z formularzem zgłoszeń 24/72h
- Matryca ról i odpowiedzialności (CISO, właściciel usługi, DPO)
- Uproszczona BIA dla 5 kluczowych procesów z RTO/RPO
- Polityka logów z centralizacją do SIEM
- Lista krytycznych dostawców z mini-oceną ryzyka i aneksem bezpieczeństwa
- Checklista testów DR (jeden scenariusz, jedno odtworzenie kopii)
- Dashboard zgodności NIS2/DORA z KPI (MTTD, MTTR, procent incydentów zgłoszonych w 24/72h)
Mapowanie wymagań NIS2/DORA do ISO 27001 i ISO 22301
NIS2 i DORA wymagają dowodów, nie obietnic. Zamiast zarządzania wieloma arkuszami i sprzecznymi interpretacjami, należy stworzyć jedno repozytorium mapujące: wymagania regulacyjne do kontroli ISO 27001:2022, procesów ISO 22301, artefaktów oraz właścicieli ze statusem. Taki układ przekształca audyt w checklistę, a compliance w realne zarządzanie responsywne wobec ryzyka.
Kluczowe obszary mapowania:
Zgłaszanie incydentów 24/72h i raporty cykliczne — mapuje się do kontroli A.5.24-A.5.27, procedury obsługi incydentu i komunikacji kryzysowej. Artefakty: playbook, rejestr incydentów, szablony raportów. Właściciel: CISO/Komunikacja.
Zarządzanie ryzykiem ICT/operacyjnym — mapuje się do kontroli A.5.1, A.5.4, A.8.28, metodyki oceny ryzyka i BIA. Artefakty: rejestr ryzyk, kryteria akceptacji, plan traktowania. Właściciel: CRO z przeglądem kwartalnym.
Testy odporności/TLPT (DORA) — mapuje się do kontroli A.5.36, A.8.8, A.8.23, planu ćwiczeń i scenariuszy testowych. Artefakty: raport ćwiczeń, działania korygujące, ścieżka dowodowa. Właściciel: Red Team Lead z cyklem rocznym.
Dostawcy ICT/TPP — nadzór i due diligence — mapuje się do kontroli A.5.19, A.5.20, A.5.22, planu ciągłości dostawców i monitorowania SLA. Artefakty: rejestr dostawców, klauzule, oceny due diligence. Właściciel: Vendor Manager.
Ciągłość usług (RTO/RPO) — mapuje się do kontroli A.5.30, A.7.4, A.8.12, strategii BC i planów odtworzeniowych BC/DR. Artefakty: BIA, plany BC/DR, wyniki testów. Właściciel: BCM Lead z testami kwartalnymi.
Bezpieczeństwo łańcucha dostaw (NIS2) — mapuje się do kontroli A.5.21, A.5.23, oceny krytyczności i planów obejść. Artefakty: kryteria tieringu, testy failover, zapisy przeglądów. Właściciel: Procurement + SecOps.
Resilience technologiczna (konfiguracja, backup, odtworzenie) — mapuje się do kontroli A.8.9, A.8.12, A.8.13, procedur backup/restore i testów odtworzeniowych. Artefakty: raporty kopii, próbne odtworzenia, wskaźniki RPO. Właściciel: IT Ops.
Zarządzanie podatnościami i łatami — mapuje się do kontroli A.8.8, A.8.16, procesu skanowania i remediacji. Artefakty: wyniki skanów, SLA poprawek, bilans ryzyka. Właściciel: SecOps.
Wdrożenie wymaga nadania właścicieli dla każdego obszaru i podłączenia dowodów z repozytoriów (Confluence, Git, SIEM, GRC). Należy ustalić cykle: incydenty — 24/72h, przegląd ryzyk — kwartalnie, TLPT — rocznie, BC/DR — testy kwartalne. Integracja z JIRA/ServiceNow zapewnia automatyczną aktualizację statusów, SIEM zasila rejestr incydentów, a skanery dostarczają danych o podatnościach.
90-dniowy plan wdrożenia IMS: role, artefakty, kamienie milowe
Faza 0-30 dni: governance i fundamenty
Sprint startowy obejmuje: ustalenie RACI (kto decyduje, kto pracuje, kto akceptuje), podpisanie polityki bezpieczeństwa informacji i ciągłości działania, otwarcie rejestrów ryzyk, aktywów i incydentów. Należy wykonać BIA w wersji MVP dla procesów o najwyższym wpływie na klientów oraz przeprowadzić gap-assessment względem wymagań ISO 27001 i ISO 22301 z mapą zgodności do wymogów regulacyjnych.
Decyzje zarządu: zatwierdzenie zakresu IMS, roli właścicieli procesów, budżetu na testy i szkolenia.
Kryteria Go/No-Go:
- Podpisana polityka i RACI
- Komplet rejestrów oraz BIA dla kluczowych procesów
- Zaakceptowana mapa braków i plan zamknięcia
Faza 31-60 dni: operacjonalizacja i gotowość na zgłoszenia 24/72h
Wdrożenie i przetestowanie procedur: obsługa incydentów (24/72h), change management, backup i odtwarzanie, komunikacja kryzysowa (szablony komunikatów, matryca kontaktów). Przegląd i uzupełnienie umów z TPP: klauzule o ciągłości usług, audytowalności, SLA, wymagania dotyczące raportowania incydentów. Szkolenia dla ról krytycznych: IRT, właściciele procesów, helpdesk. Przygotowanie planu testów BC/DR (scenariusze, kryteria zaliczenia, metryki RTO/RPO).
Decyzje zarządu: akceptacja procedur, zatwierdzenie klauzul dostawców, zgoda na testy.
Kryteria Go/No-Go:
- Procedury podpisane i dostępne w intranecie
- Klauzule TPP wdrożone
- Harmonogram testów BC/DR z mierzalnymi KPI
Faza 61-90 dni: próba ognia i przegląd zarządczy
Przeprowadzenie realistycznego testu incydentu (ćwiczenie table-top + techniczne), ćwiczenia BC/DR z pomiarem RTO/RPO, zamknięcie wniosków i aktualizacja rejestrów. Organizacja przeglądu zarządczego: wyniki testów, ryzyka rezydualne, status KPI (czas zgłoszeń, MTTD/MTTR, dostępność usług), plan doskonalenia na 120 dni. Przygotowanie do audytu wstępnego IMS: zebrane artefakty, ścieżki dowodowe, lista niezgodności i korekty.
Decyzje zarządu: akceptacja ryzyk, budżet na usprawnienia, zgoda na audit readiness.
Kryteria Go/No-Go:
- Testy incydentu i BC/DR zaliczone z metrykami
- KPI zdefiniowane i mierzone
- Kompletny pakiet dowodów do audytu
KPI i ROI IMS dla zarządów
Certyfikowany IMS (ISO 27001 + ISO 22301) pozwala przejść od subiektywnej oceny funkcjonowania do obiektywnych metryk bezpieczeństwa i ciągłości działania, które można przedstawić radzie nadzorczej. Poniżej przedstawiono zestaw KPI opisujących gotowość na NIS2 i DORA.
Kluczowe wskaźniki efektywności:
MTTD (Mean Time To Detect) — średni czas wykrycia zagrożenia. Cel: poniżej 15 minut dla incydentów krytycznych. Źródło danych: SIEM/EDR/SOAR. Częstotliwość pomiaru: tygodniowo.
MTTR (Mean Time To Recover) — średni czas przywrócenia usługi. Cel: poniżej 8 godzin dla incydentów krytycznych. Źródło danych: SIEM/ITSM/CMDB. Częstotliwość pomiaru: miesięcznie.
Czas zgłoszenia incydentu do regulatora/CSIRT. Cel: poniżej 24 godzin od detekcji. Źródło danych: ITSM, rejestr incydentów. Częstotliwość pomiaru: miesięcznie.
Pokrycie testami usług krytycznych (BC/DR, testy odtworzeniowe). Cel: minimum 95% rocznie. Źródło danych: plan testów BC/DR, wyniki testów. Częstotliwość pomiaru: kwartalnie.
Zgodność klauzul TPP (Third-Party Providers) w umowach i due diligence. Cel: 100% krytycznych dostawców. Źródło danych: Vendor risk, umowy, audyty. Częstotliwość pomiaru: kwartalnie.
CAPA on-time — odsetek działań korygujących zamkniętych w terminie. Cel: minimum 90%. Źródło danych: ISMS/BCMS, rejestr działań. Częstotliwość pomiaru: miesięcznie.
Metodyka obliczania ROI IMS:
ROI = (uniknięte straty + obniżone kary + redukcja OPEX ryzyka − koszt IMS) / koszt IMS
Składowe kalkulacji obejmują: szacowane straty z incydentu (bezpośrednie i pośrednie), koszt przestoju na dzień, potencjalne kary regulacyjne (procent rocznego przychodu), oszczędności wynikające z szybszego odtworzenia (dzięki gotowym procedurom i backupom), redukcję kary dzięki dowodom zgodności i terminowemu zgłoszeniu, redukcję OPEX ryzyka (automatyzacja procesów, mniej nadgodzin SOC) oraz całkowity koszt IMS (wdrożenie, certyfikacja, utrzymanie 12 miesięcy).
Pomiar MTTD/MTTR, raportowanie czasu zgłoszeń, testowanie usług krytycznych, uszczelnianie TPP i domykanie CAPA w terminie przekształcają dyskusję o budżecie bezpieczeństwa w rozmowę o zwrocie z inwestycji. IMS nie tylko spełnia wymagania NIS2 oraz DORA, ale przede wszystkim chroni przychody, ogranicza ryzyko operacyjne i broni wartości firmy podczas kryzysu.
Audyty i testy odporności w praktyce: scenariusze, dostawcy, doskonalenie
Wymagania NIS2 i DORA należy połączyć w jeden sprawny rytm IMS (ISO 27001 + ISO 22301). Rekomendowany kalendarz obejmuje: audyt wewnętrzny IMS co kwartał, test incydentu co pół roku, roczne ćwiczenie BC/DR oraz TLPT/Red Team zgodnie z profilem ryzyka.
Rekomendowane scenariusze testowe:
Ransomware w ERP — cel: weryfikacja reakcji CSIRT i izolacji. Metryki: MTTD, MTTR, utrata danych vs RPO. Kryterium zaliczenia: przywrócenie usług w RTO bez lateral movement.
Awaria regionu chmurowego — cel: przełączenie do DR. Metryki: czas failover, dostępność, spójność danych. Kryterium zaliczenia: stabilny powrót bez regresji.
Kompromitacja dostawcy SaaS — cel: separacja, kontrole dostępu, ścieżka exit. Metryki: czas odcięcia tokenów, przywrócenie backupów. Kryterium zaliczenia: pełny kontrolowany rollback.
Zarządzanie łańcuchem dostaw:
Należy wprowadzić tiering dostawców (Tier 1-3) z minimalnymi wymaganiami dowodowymi: certyfikaty SOC 2/ISO 27001, wyniki testów penetracyjnych, deklarowane RTO/RPO, klauzule kontraktowe. Raz w roku należy przetestować jednego krytycznego TPP end-to-end.
Proces doskonalenia:
Po każdym ćwiczeniu w ciągu 72 godzin należy przeprowadzić lessons learned: lista działań korygujących, właściciele, SLA wdrożenia, zamknięcie pętli PDCA. Dokumentacja decyzyjna (scenariusz, cel, metryki, decyzje) powinna mieścić się na jednej stronie, pozostałe szczegóły w zwięzłych akapitach dla zarządu i audytu.
Rezultatem jest odporność operacyjna jako nawyk, nie prezentacja. Organizacja dysponuje namacalnymi dowodami zgodności, krótszym czasem przywracania usług, mniejszym szumem przy incydentach i twardymi decyzjami opartymi na danych. Certyfikowany IMS spłaca się szybciej niż jednorazowe wdrożenie — realne ryzyko maleje, a wymagania NIS2/DORA są spełniane w praktyce.
Najczęściej zadawane pytania
Czy należy certyfikować oba standardy jednocześnie, czy można etapami?
Możliwe jest wdrożenie etapowe: najpierw ISO 27001 (bezpieczeństwo informacji), a po 3-6 miesiącach rozszerzenie o ISO 22301 (ciągłość działania). Audyt kombinowany skraca jednak czas i koszty audytorskie oraz szybciej zamyka luki NIS2/DORA.
Jak duży zespół jest minimalnie potrzebny do utrzymania IMS w średniej firmie?
W praktyce wystarczy 0,8-1,5 etatu rozłożone na role (CISO/BCM Lead/Owner procesów), z outsourcingiem na audyty, TLPT i szkolenia. Kluczowe jest jasne RACI i wsparcie zarządu.
Czy bez SIEM/SOAR można spełnić wymagania raportowania 24/72h?
Na start wystarczy procedura, rejestr incydentów w ITSM, playbook komunikacji i integracja logów krytycznych. SIEM/SOAR znacząco skraca MTTD/MTTR, ale nie jest warunkiem formalnym.
Jak pogodzić DORA TLPT z cyklem testów bezpieczeństwa?
Należy zbudować roczny plan z warstwami: kwartalne testy kontrolne, półroczne ćwiczenia incydentowe, roczne BC/DR, a TLPT według profilu ryzyka co 1-3 lata, z priorytetem usług krytycznych.
Jakie zapisy kontraktowe z dostawcami najskuteczniej chronią przed karami?
Obowiązkowe elementy to: SLA RTO/RPO, prawo do audytu, wymóg certyfikatów (ISO/SOC2), zgłaszanie incydentów w 24h, testy odporności, lokalizacja i retencja danych oraz kary umowne za naruszenia.
Artykuł sponsorowany

