Deklaracja Zgodności z NIS 2 – LexCyberAi

Deklaracja Zgodności z Dyrektywą NIS 2

Pełna deklaracja zgodności LexCyberAI z Dyrektywą (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa.

1. Oświadczenie o zgodności

LexCyberAI Ltd oświadcza, że wdrożyła i utrzymuje środki zarządzania ryzykiem w cyberbezpieczeństwie zgodne z art. 21 dyrektywy NIS 2.

Wdrożone środki (wymagane przez art. 21 NIS 2)

  • Polityki analizy ryzyka – przeprowadzamy regularną ocenę zagrożeń cybernetycznych
  • Postępowanie z incydentami – mamy procedury wykrywania, zgłaszania i obsługi incydentów
  • Ciągłość działania – utrzymujemy plany ciągłości, kopie zapasowe i procedury odzyskiwania
  • Zarządzanie kryzysowe – posiadamy procedury reagowania na sytuacje kryzysowe
  • Bezpieczeństwo łańcucha dostaw – oceniamy i monitorujemy bezpieczeństwo naszych dostawców oraz ich praktyki bezpiecznego opracowywania
  • Bezpieczeństwo w cyklu życia systemów – zarządzamy bezpieczeństwem w procesie nabywania, rozwoju i utrzymania systemów
  • Zarządzanie podatnościami – identyfikujemy, zarządzamy i eliminujemy podatności w systemach
  • Koordynowane ujawnianie podatności – mamy proces przyjmowania i obsługi zgłoszeń podatności od zewnętrznych badaczy
  • Ocena efektywności – regularnie testujemy i audytujemy nasze zabezpieczenia
  • Szkolenia i cyberhigiena – wszyscy pracownicy przechodzą szkolenia z cyberbezpieczeństwa
  • Kryptografia i szyfrowanie – stosujemy szyfrowanie danych wrażliwych zgodnie z obowiązującymi politykami
  • Bezpieczeństwo zasobów ludzkich – weryfikujemy pracowników, stosujemy umowy o poufności i procedury onboardingu/offboardingu
  • Zarządzanie dostępem – kontrolujemy, kto ma dostęp do jakich danych i systemów
  • Zarządzanie aktywami – prowadzimy inwentaryzację i klasyfikację wszystkich aktywów IT
  • Uwierzytelnianie wieloskładnikowe (MFA) – wymagamy MFA dla dostępu do systemów krytycznych
  • Zabezpieczone komunikacje w sytuacjach nadzwyczajnych – utrzymujemy alternatywne, bezpieczne kanały komunikacji na wypadek kryzysu
  • Odpowiedzialność zarządu – organy zarządzające zatwierdzają środki zarządzania ryzykiem, nadzorują ich wdrażanie i odbywają regularne szkolenia z cyberbezpieczeństwa

2. Certyfikacje i kompetencje

Wdrożone systemy zarządzania

W TRAKCIEISO 27001:2022 – System Zarządzania Bezpieczeństwem Informacji

Status: W trakcie certyfikacji (planowane ukończenie: Q2 2025)

W TRAKCIEISO 22301 – System Zarządzania Ciągłością Działania

Status: W trakcie certyfikacji

Zespół cyberbezpieczeństwa posiada certyfikacje

Pełnomocnik ds. Bezpieczeństwa / CISO

  • ISO 27001:2022 Lead Auditor (Audytor Wiodący SZBI)
  • ISO 22301 Lead Auditor (Audytor Wiodący Ciągłości Działania)
  • CISSM (Certified Information Systems Security Manager, Mile2)
  • CCSK (Certificate of Cloud Security Knowledge, Cloud Security Alliance)

Zespół bezpieczeństwa

  • CISSO (Certified Information Systems Security Officer, Mile2)
  • CCZT (Certificate of Competence in Zero Trust, Cloud Security Alliance)
  • Inne certyfikacje: CEH, CISSP, CompTIA Security+

Łącznie: 45 certyfikowanych specjalistów cyberbezpieczeństwa

3. Audyty i testy bezpieczeństwa

Przeprowadzamy regularnie kompleksowe audyty bezpieczeństwa oraz testy techniczne w celu weryfikacji skuteczności wdrożonych środków ochrony.

Audyty

  • Wewnętrzny audyt zgodności z NIS 2: raz w roku
  • Audyt certyfikacyjny ISO 27001: raz w roku
  • Przeglądy bezpieczeństwa u kluczowych dostawców: co 6-12 miesięcy

Testy techniczne

  • Testy penetracyjne (pentesty): kilka razy w roku
  • Skanowanie podatności: kwartalnie
  • Testy kopii zapasowych: miesięcznie
  • Ćwiczenia odzyskiwania po awarii: kwartalnie
  • Symulacje phishingu: kwartalnie

4. Bezpieczeństwo łańcucha dostaw

Zgodnie z art. 21.2(d) Dyrektywy NIS 2 wdrożyliśmy kompleksowy proces zarządzania bezpieczeństwem dostawców.

Przed nawiązaniem współpracy

  • Weryfikujemy bezpieczeństwo dostawcy
  • Sprawdzamy certyfikaty (ISO 27001 preferowany)
  • Oceniamy ryzyko związane z dostawcą
  • Wysyłamy ankiety compliance z ochrony danych i cyberbezpieczeństwa
  • Prowadzimy rozmowy z CISO dostawcy

W trakcie współpracy

  • Umowy zawierają wymogi cyberbezpieczeństwa
  • Prowadzimy regularne przeglądy bezpieczeństwa
  • Monitorujemy incydenty u dostawców
  • Posiadamy plany awaryjne na wypadek problemów z dostawcą

5. Reagowanie na incydenty

Zgodnie z art. 23 Dyrektywy NIS 2 wdrożyliśmy procedury wykrywania, zgłaszania i obsługi incydentów cyberbezpieczeństwa.

Wykrywanie i reakcja

  • Monitoring bezpieczeństwa: 24/7
  • Zespół reagowania na incydenty (CSIRT)
  • Czas reakcji na incydent krytyczny: zgodnie z wymogami projektu ustawy o KSC

Zgłaszanie incydentów zgodnie z NIS 2

  • 24 godziny: wczesne ostrzeżenie do CSIRT sektorowego
  • 72 godziny: pełne zgłoszenie z oceną
  • 1 miesiąc: raport końcowy z analizą

Transparentność i Odpowiedzialność

Jako członkowie zarządu LexCyberAI Ltd, jesteśmy świadomi naszej osobistej odpowiedzialności za cyberbezpieczeństwo. Zatwierdziliśmy i nadzorujemy wdrożenie środków zarządzania ryzykiem, zapewniając odpowiednie zasoby do ich utrzymania i ciągłego doskonalenia.

Skontaktuj się w sprawie zgodności

We use cookies to enhance your browsing experience, serve personalized ads or content, and analyze our traffic. By clicking 'Accept All', you consent to our use of cookies.

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by