Firma nie podlega pod NIS2 – Czy nadal musi mieć cyberbezpieczeństwo?

Opublikowano przez Dodaj komentarz
Firma nie podlega pod NIS2 - Czy nadal musi mieć cyberbezpieczeństwo?

Nie każda firma będzie podlegać bezpośrednio pod NIS2 albo krajową ustawę o krajowym systemie cyberbezpieczeństwa jako podmiot kluczowy lub podmiot ważny. To jednak nie oznacza, że taka firma nie ma żadnych obowiązków związanych z bezpieczeństwem danych, poczty, komputerów, serwerów, backupu i dostępu pracowników.

W praktyce wiele małych i średnich firm nie będzie musiało realizować pełnych obowiązków przewidzianych dla podmiotów kluczowych i ważnych, takich jak formalna samorejestracja w wykazie, wdrożenie rozbudowanego systemu zarządzania bezpieczeństwem informacji czy raportowanie incydentów w reżimie KSC. Nadal jednak firma może odpowiadać za ochronę danych osobowych, ciągłość działania, bezpieczeństwo systemów informatycznych, dostęp pracowników, umowy z kontrahentami i reakcję na incydenty.

Dlatego zdanie „nie podlegamy pod NIS2, więc cyberbezpieczeństwo nas nie dotyczy” jest niebezpiecznym uproszczeniem. Brak bezpośredniego obowiązku NIS2 nie zwalnia firmy z rozsądnego zabezpieczenia danych i systemów, które są potrzebne do codziennego działania biznesu.

W artykule przeczytasz o:

Co oznacza, że firma nie podlega pod NIS2?

Jeżeli firma nie spełnia kryteriów uznania za podmiot kluczowy lub ważny, najczęściej nie będzie objęta pełnym zakresem obowiązków wynikających z przepisów wdrażających NIS2. W uproszczeniu oznacza to, że nie każda mała firma, sklep, biuro rachunkowe, firma usługowa, lokalny dystrybutor, niewielki software house czy przedsiębiorstwo handlowe automatycznie staje się podmiotem NIS2.

Ocena zależy od kilku elementów, między innymi od rodzaju działalności, sektora, skali działania, liczby pracowników, obrotu oraz znaczenia świadczonych usług. Inaczej będzie wyglądała sytuacja firmy działającej w sektorze energii, transportu, zdrowia, infrastruktury cyfrowej czy usług kluczowych, a inaczej zwykłej firmy handlowej lub usługowej.

Brak objęcia pełnym reżimem NIS2 oznacza jednak tylko tyle, że firma nie ma konkretnych obowiązków przewidzianych dla podmiotów objętych tym systemem. Nie oznacza to braku odpowiedzialności za bezpieczeństwo informacji, danych osobowych, systemów i ciągłości działania.

Jakie obowiązki zostają, nawet jeśli firma nie podlega pod NIS2?

Firma, która nie podlega bezpośrednio pod NIS2, nadal może mieć obowiązki wynikające z innych przepisów, umów i zasad należytej staranności. Najważniejsze obszary to ochrona danych osobowych, bezpieczeństwo dostępu, backup, zabezpieczenie poczty, reakcja na incydenty oraz wymagania klientów i kontrahentów.

W praktyce oznacza to, że przedsiębiorca nadal powinien wiedzieć:

  • gdzie są przechowywane dane klientów i pracowników,
  • kto ma dostęp do poczty, systemów i paneli administracyjnych,
  • czy firma ma działający backup,
  • czy backup da się odtworzyć,
  • czy konta administracyjne są zabezpieczone MFA,
  • czy były pracownik nadal nie ma dostępu do skrzynki, VPN, panelu lub systemu ERP,
  • co zrobić po kliknięciu podejrzanego linku,
  • kto odpowiada za reakcję na incydent,
  • czy komputer pracownika jest zabezpieczony,
  • czy serwer i systemy są aktualizowane.

To są podstawowe kwestie bezpieczeństwa, które dotyczą praktycznie każdej firmy korzystającej z poczty, komputerów, systemu księgowego, ERP, CRM, strony internetowej, sklepu internetowego albo usług chmurowych.

1. Ochrona danych osobowych i RODO

Najważniejszym obszarem, który zostaje niezależnie od NIS2, jest ochrona danych osobowych. Jeżeli firma przetwarza dane klientów, pracowników, kontrahentów, kandydatów do pracy, użytkowników strony internetowej lub osób kontaktujących się przez formularz, musi dbać o ich bezpieczeństwo.

RODO nie wymaga od każdej firmy wdrożenia identycznych narzędzi, ale wymaga stosowania odpowiednich środków technicznych i organizacyjnych. W praktyce oznacza to, że firma powinna dobrać zabezpieczenia do skali działalności, rodzaju danych i ryzyka.

Dla małej firmy takimi środkami mogą być między innymi:

  • silne hasła i MFA do poczty,
  • ograniczenie dostępu tylko do osób, które faktycznie go potrzebują,
  • aktualizacje systemów i programów,
  • kopie zapasowe,
  • szyfrowanie dysków w laptopach,
  • zabezpieczenie komputerów programem ochronnym,
  • blokada kont byłych pracowników,
  • kontrola dostępu do paneli administracyjnych,
  • procedura reagowania na naruszenie danych.

Jeżeli dojdzie do wycieku danych, przejęcia poczty, wysyłki danych do niewłaściwego odbiorcy, zaszyfrowania plików przez ransomware albo utraty laptopa z danymi klientów, firma musi ocenić, czy doszło do naruszenia ochrony danych osobowych i czy trzeba zgłosić takie naruszenie do UODO.

Dlatego cyberbezpieczeństwo nie jest tylko tematem dla dużych organizacji. Dla małej firmy może być bezpośrednio związane z odpowiedzialnością za dane klientów i pracowników.

2. Bezpieczeństwo poczty firmowej

Poczta e-mail jest jednym z najważniejszych systemów w firmie. To przez pocztę przychodzą faktury, oferty, dane klientów, umowy, linki do systemów, resetowania haseł i wiadomości od kontrahentów. Jeżeli ktoś przejmie skrzynkę firmową, może podszyć się pod pracownika, wysłać fałszywy numer konta, przejąć korespondencję z klientem albo uzyskać dostęp do innych usług.

Firma, która nie podlega pod NIS2, nadal powinna zabezpieczyć pocztę. Minimum to MFA, czyli uwierzytelnianie wieloskładnikowe. Samo hasło nie wystarcza, bo hasła są wykradane przez phishing, malware, wycieki z innych serwisów i ataki słownikowe.

Warto również sprawdzić:

  • czy wszyscy użytkownicy mają włączone MFA,
  • czy administratorzy mają osobne konta administracyjne,
  • czy nie ma starych, nieużywanych skrzynek,
  • czy były pracownik nie ma aktywnego konta,
  • czy są ustawione SPF, DKIM i DMARC,
  • czy działa ochrona przed phishingiem,
  • czy logowania z nietypowych krajów są monitorowane,
  • czy można sprawdzić historię logowań,
  • czy firma wie, co zrobić po przejęciu skrzynki.

Dla wielu firm przejęcie poczty jest bardziej realnym ryzykiem niż zaawansowany atak hakerski. Wystarczy jedna osoba, która kliknie fałszywy link do Microsoft 365, wpisze hasło i zatwierdzi logowanie.

3. Backup i możliwość odtworzenia danych

Backup to nie jest folder na dysku, który ktoś kiedyś skopiował. Backup ma sens dopiero wtedy, gdy jest regularny, oddzielony od głównego środowiska i możliwy do odtworzenia.

Firma, która nie podlega pod NIS2, nadal powinna mieć kopie zapasowe kluczowych danych. Dotyczy to między innymi:

  • dokumentów firmowych,
  • baz danych,
  • systemu ERP,
  • systemu księgowego,
  • plików klientów,
  • konfiguracji serwera,
  • strony internetowej,
  • poczty lub danych z Microsoft 365,
  • danych z komputerów pracowników, jeżeli są przechowywane lokalnie.

Najczęstszy problem w małych firmach polega na tym, że „backup jest”, ale nikt nigdy nie sprawdził, czy da się go odtworzyć. Dopiero po awarii, ransomware, uszkodzeniu dysku albo błędzie pracownika okazuje się, że kopia była niepełna, stara, uszkodzona albo zaszyfrowana razem z resztą danych.

Dlatego minimalny standard to nie tylko wykonywanie kopii, ale również okresowy test odtworzenia. Firma powinna wiedzieć, ile danych może stracić i jak długo może działać bez systemu.

W praktyce warto odpowiedzieć na pytania:

  • kiedy ostatnio wykonano backup,
  • gdzie backup jest przechowywany,
  • czy ransomware może zaszyfrować również kopię,
  • kto ma dostęp do backupu,
  • czy backup obejmuje bazę SQL lub ERP,
  • ile potrwa odtworzenie systemu,
  • czy ktoś testował odtworzenie danych.

Jeżeli firma ma WAPRO, system ERP, bazę SQL, serwer plików lub sklep internetowy, backup powinien być jednym z najważniejszych elementów bezpieczeństwa.

4. Kontrola dostępów pracowników

Duża część incydentów nie wynika z zaawansowanego ataku, tylko z bałaganu w dostępach. Pracownicy mają za szerokie uprawnienia, korzystają ze wspólnych haseł, administratorzy pracują na tych samych kontach co użytkownicy, a po odejściu pracownika nikt nie wyłącza jego dostępu.

Nawet jeśli firma nie podlega pod NIS2, powinna kontrolować, kto ma dostęp do danych i systemów. To dotyczy zarówno pracowników, jak i zewnętrznych informatyków, biur rachunkowych, dostawców oprogramowania, agencji marketingowych, wykonawców strony internetowej i serwisów zdalnych.

Podstawowe zasady są proste:

  • każdy użytkownik powinien mieć własne konto,
  • nie powinno się używać wspólnych kont administratora,
  • uprawnienia powinny być nadawane tylko wtedy, gdy są potrzebne,
  • po zakończeniu współpracy dostęp powinien być odebrany,
  • konta administracyjne powinny mieć MFA,
  • dostęp zdalny powinien być kontrolowany,
  • hasła do paneli nie powinny być przekazywane przez komunikatory,
  • lista dostępów powinna być okresowo przeglądana.

Brak porządku w dostępach jest jednym z najczęstszych problemów w małych firmach. Właściciel często nie wie, kto ma dostęp do hostingu, domeny, poczty, panelu WordPress, systemu ERP, serwera, NAS-a, VPN albo konta administratora Microsoft 365.

5. Reakcja na incydent

Cyberbezpieczeństwo to nie tylko zapobieganie. Firma powinna wiedzieć, co zrobić, gdy coś już się wydarzy. Nawet prosta procedura jest lepsza niż chaos.

Typowe sytuacje to:

  • pracownik kliknął podejrzany link,
  • ktoś wpisał hasło na fałszywej stronie,
  • klient dostał wiadomość z fałszywym numerem konta,
  • komputer zaczął dziwnie działać,
  • pliki zostały zaszyfrowane,
  • z poczty wychodzą podejrzane wiadomości,
  • były pracownik nadal ma dostęp,
  • zniknęły dane z folderu,
  • serwer przestał działać,
  • strona WordPress została zainfekowana.

W takiej sytuacji firma powinna wiedzieć, kogo powiadomić, co odłączyć, jak zabezpieczyć dowody, gdzie są kopie zapasowe, kto ma uprawnienia administratora i czy trzeba zgłosić naruszenie danych osobowych.

Prosta procedura incydentu powinna zawierać:

  • osobę odpowiedzialną za decyzje,
  • kontakt do informatyka lub firmy IT,
  • listę najważniejszych systemów,
  • sposób odłączenia komputera lub konta,
  • zasady zmiany haseł,
  • sposób sprawdzenia logowań,
  • zasady komunikacji z klientami,
  • ocenę, czy doszło do naruszenia danych,
  • instrukcję odtworzenia danych z backupu.

To nie musi być dokument na 80 stron. Dla małej firmy często wystarczy krótka, praktyczna procedura, która pomoże uniknąć paniki i błędów w pierwszych godzinach incydentu.

6. Wymagania klientów i kontrahentów

Firma może nie podlegać bezpośrednio pod NIS2, ale jej klient może już podlegać. Wtedy temat cyberbezpieczeństwa pojawia się w łańcuchu dostaw.

Przykład: mała firma IT, księgowa, software house, agencja marketingowa, integrator ERP, serwis komputerowy albo podwykonawca obsługuje większego klienta. Klient może zapytać o bezpieczeństwo, ponieważ sam musi kontrolować ryzyka związane z dostawcami.

W praktyce kontrahent może wymagać:

  • MFA na kontach,
  • umowy powierzenia danych,
  • NDA,
  • informacji, kto ma dostęp do systemów,
  • procedury usuwania dostępów,
  • zabezpieczenia komputerów pracowników,
  • potwierdzenia backupu,
  • zasad dostępu zdalnego,
  • logowania działań administracyjnych,
  • informacji o reakcji na incydent,
  • podstawowych zasad bezpieczeństwa dostawcy.

Dlatego brak bezpośredniego obowiązku NIS2 nie oznacza, że temat nie wróci w zapytaniach ofertowych, audytach klienta, umowach albo ankietach bezpieczeństwa.

Dla wielu firm cyberbezpieczeństwo stanie się warunkiem współpracy, nawet jeżeli same nie są formalnie podmiotem kluczowym lub ważnym.

7. Odpowiedzialność za ciągłość działania

Cyberbezpieczeństwo nie dotyczy tylko kradzieży danych. Dotyczy również ciągłości działania firmy. Jeżeli firma nie może wystawić faktury, przyjąć zamówienia, obsłużyć klienta, uruchomić systemu ERP albo dostać się do poczty, to problem techniczny szybko staje się problemem biznesowym.

Dlatego warto spojrzeć na cyberbezpieczeństwo przez proste pytanie: co musi działać, żeby firma mogła normalnie pracować?

Najczęściej są to:

  • poczta e-mail,
  • komputery pracowników,
  • internet,
  • system ERP,
  • system księgowy,
  • baza SQL,
  • serwer plików,
  • strona internetowa,
  • sklep internetowy,
  • system do faktur,
  • dostęp do bankowości,
  • backup,
  • telefon lub komunikator firmowy.

Jeżeli te elementy nie są zabezpieczone, firma może mieć przestój nawet bez formalnego naruszenia NIS2. Wystarczy awaria dysku, ransomware, błędna aktualizacja, skasowanie danych, przejęcie konta lub brak dostępu do panelu.

Minimalny poziom cyberbezpieczeństwa dla firmy poza NIS2

Firma, która nie podlega bezpośrednio pod NIS2, nie musi od razu budować korporacyjnego systemu bezpieczeństwa. Powinna jednak mieć podstawowy, praktyczny poziom ochrony.

Minimalny pakiet dla małej i średniej firmy powinien obejmować:

1. MFA na najważniejszych kontach

MFA powinno być włączone przynajmniej na poczcie, koncie administratora Microsoft 365, VPN, hostingu, panelu domeny, systemach chmurowych i kontach z dostępem do danych klientów.

2. Backup i test odtworzenia

Backup powinien obejmować kluczowe dane i systemy. Sama kopia nie wystarczy. Trzeba sprawdzić, czy dane można odtworzyć i ile to zajmie.

3. Aktualizacje systemów

Komputery, serwery, WordPress, wtyczki, system ERP, system operacyjny, baza danych i urządzenia sieciowe powinny być aktualizowane. Odkładanie aktualizacji przez miesiące zwiększa ryzyko wykorzystania znanych podatności.

4. Ochrona komputerów i serwerów

Każdy komputer firmowy powinien mieć aktywną ochronę antywirusową lub EDR, aktualny system i ograniczone uprawnienia użytkownika. Serwery powinny być monitorowane i zabezpieczone przed nieautoryzowanym dostępem.

5. Porządek w kontach i uprawnieniach

Firma powinna wiedzieć, kto ma dostęp do czego. Konta byłych pracowników powinny być blokowane, a dostępy zewnętrznych wykonawców powinny być nadawane tylko na czas realizacji zadania.

6. Bezpieczny dostęp zdalny

Dostęp zdalny powinien być kontrolowany. Nie powinno się zostawiać otwartego RDP do internetu ani używać przypadkowych narzędzi zdalnych bez zasad, MFA i ewidencji.

7. Procedura incydentu

Firma powinna mieć prostą instrukcję: co zrobić po kliknięciu linku, przejęciu poczty, utracie laptopa, zaszyfrowaniu plików lub podejrzeniu wycieku danych.

8. Monitoring najważniejszych zdarzeń

Nie każda firma potrzebuje rozbudowanego SOC, ale warto mieć dostęp do podstawowych logów: logowań do poczty, zdarzeń VPN, alertów antywirusa, backupu, serwera i firewalla.

9. Zabezpieczenie strony internetowej

Jeżeli firma ma WordPress albo sklep internetowy, trzeba pilnować aktualizacji, kopii zapasowych, zabezpieczenia formularzy, kont administratorów, wtyczek i hostingu.

10. Podstawowe szkolenie pracowników

Pracownicy powinni wiedzieć, jak wygląda phishing, kiedy zgłosić podejrzaną wiadomość, dlaczego nie wolno przekazywać kodów MFA i jak postępować z załącznikami.

Kiedy firma powinna zrobić przegląd cyberbezpieczeństwa?

Przegląd bezpieczeństwa warto zrobić szczególnie wtedy, gdy:

  • firma korzysta z Microsoft 365,
  • pracownicy mają dostęp zdalny,
  • firma używa systemu ERP, WAPRO, Comarch, bazy SQL albo serwera,
  • nikt nie testował backupu,
  • właściciel nie wie, kto ma dostęp administratora,
  • w firmie są wspólne hasła,
  • odchodzili pracownicy i nie ma pewności, czy odebrano im dostęp,
  • firma przechowuje dane klientów,
  • kontrahent pyta o NIS2, RODO albo zabezpieczenia,
  • były już podejrzane wiadomości, phishing albo próby logowania,
  • strona internetowa była zainfekowana,
  • firma nie ma procedury na wypadek incydentu.

Taki przegląd nie musi oznaczać kosztownego audytu. Często wystarczy praktyczna analiza najważniejszych obszarów: poczta, konta, backup, komputery, serwer, dostęp zdalny, strona internetowa i procedura reakcji.

Czy antywirus wystarczy?

Nie. Antywirus jest ważnym elementem ochrony, ale sam nie wystarczy. Firma może mieć antywirusa, a jednocześnie nadal być narażona na przejęcie poczty, brak backupu, słabe hasła, brak MFA, nieaktualny WordPress, otwarty dostęp zdalny albo konto byłego pracownika.

Cyberbezpieczeństwo w firmie powinno być traktowane jako zestaw prostych, połączonych działań. Antywirus chroni tylko część obszaru. Nie zastępuje backupu, MFA, aktualizacji, kontroli dostępów i procedury incydentu.

Czy mała firma musi mieć polityki bezpieczeństwa?

Mała firma nie zawsze potrzebuje rozbudowanej dokumentacji, ale powinna mieć podstawowe zasady. Nie chodzi o tworzenie dokumentów, których nikt nie czyta. Chodzi o praktyczne ustalenia, które pomagają uniknąć chaosu.

W małej firmie wystarczą często krótkie procedury:

  • jak nadajemy i odbieramy dostęp,
  • kto zatwierdza nowe konta,
  • gdzie przechowujemy hasła,
  • jak działa backup,
  • co robimy po incydencie,
  • kto ma dostęp administratora,
  • jak zabezpieczamy komputery,
  • jak zgłaszać podejrzane wiadomości.

Takie zasady pomagają również przy rozmowach z klientami, audytach, ubezpieczeniu cyber i współpracy z większymi kontrahentami.

Czy klient może wymagać zabezpieczeń, mimo że firma nie podlega NIS2?

Tak. Klient może wymagać określonego poziomu bezpieczeństwa na podstawie umowy, ankiety dostawcy, wymagań RODO, polityki bezpieczeństwa albo własnych obowiązków regulacyjnych.

To oznacza, że mała firma może zostać zapytana o cyberbezpieczeństwo nawet wtedy, gdy sama nie jest objęta bezpośrednio NIS2. Szczególnie dotyczy to firm, które mają dostęp do danych klienta, systemów klienta, infrastruktury IT, dokumentów, integracji, kont administracyjnych albo środowisk produkcyjnych.

Dla dostawcy IT, integratora systemów, biura księgowego, software house’u lub firmy obsługującej systemy klienta podstawowy poziom cyberbezpieczeństwa staje się elementem wiarygodności.

Jak zacząć cyberbezpieczeństwo w firmie bez korporacyjnej biurokracji?

Najlepiej zacząć od rzeczy, które realnie zmniejszają ryzyko:

  1. Sprawdź, kto ma dostęp do poczty, hostingu, domeny, ERP, serwera i paneli administracyjnych.
  2. Włącz MFA na najważniejszych kontach.
  3. Zweryfikuj backup i wykonaj test odtworzenia.
  4. Usuń lub zablokuj stare konta.
  5. Zaktualizuj systemy, WordPress, wtyczki, serwery i urządzenia sieciowe.
  6. Sprawdź, czy komputery mają aktywną ochronę.
  7. Uporządkuj dostęp zdalny.
  8. Przygotuj prostą procedurę na wypadek incydentu.
  9. Sprawdź logowania do poczty i kont administratorów.
  10. Ustal, kto odpowiada za bezpieczeństwo w firmie.

To są działania, które można wdrożyć bez budowania dużego działu cyberbezpieczeństwa. Dla wielu małych firm taki porządek daje większy efekt niż zakup kolejnego narzędzia bez konfiguracji i odpowiedzialności.

Jak ROVENS pomaga firmom w cyberbezpieczeństwie?

ROVENS pomaga małym i średnim firmom uporządkować cyberbezpieczeństwo w praktyczny sposób. Nie chodzi o straszenie NIS2 ani tworzenie dokumentów bez wartości. Celem jest zabezpieczenie tego, co realnie wpływa na działanie firmy: poczty, komputerów, serwerów, backupu, dostępów, systemów ERP, Microsoft 365, strony internetowej i reakcji na incydenty.

W ramach wsparcia można uporządkować między innymi:

  • zabezpieczenie Microsoft 365,
  • MFA i konta administratorów,
  • backup i test odtworzenia,
  • dostęp zdalny,
  • ochronę komputerów i serwerów,
  • monitoring podstawowych zdarzeń,
  • zabezpieczenie WordPress i hostingu,
  • kontrolę dostępów pracowników,
  • procedurę reakcji na incydent,
  • przygotowanie firmy do rozmów z kontrahentami o bezpieczeństwie.

Jeżeli Twoja firma nie podlega bezpośrednio pod NIS2, ale chcesz mieć pewność, że podstawowe obszary są uporządkowane, sprawdź usługę: cyberbezpieczeństwo dla firm.

Podsumowanie

Brak bezpośredniego obowiązku NIS2 nie oznacza, że firma nie musi dbać o cyberbezpieczeństwo. NIS2 i KSC to tylko część szerszego tematu. Nadal zostają obowiązki związane z RODO, bezpieczeństwem danych, dostępem pracowników, backupem, reakcją na incydenty, umowami z klientami i ciągłością działania.

Mała firma nie musi od razu wdrażać rozbudowanego systemu bezpieczeństwa jak duża korporacja. Powinna jednak mieć podstawy: MFA, backup, aktualizacje, ochronę komputerów, kontrolę dostępów, bezpieczną pocztę i prostą procedurę incydentu.

Najgorsze podejście to uznać, że skoro firma nie jest podmiotem NIS2, to nie musi nic robić. W rzeczywistości cyberbezpieczeństwo jest dziś elementem normalnego prowadzenia firmy — tak samo jak księgowość, umowy, podatki, backup dokumentów i kontrola dostępu do pieniędzy.

Czy firma, która nie podlega NIS2, musi mieć cyberbezpieczeństwo?

Tak. Brak bezpośredniego obowiązku NIS2 nie oznacza braku odpowiedzialności za dane, pocztę, komputery, systemy i backup. Firma nadal powinna zabezpieczać dane osobowe, dostęp pracowników i kluczowe systemy.

Czy mała firma musi mieć MFA?

MFA nie zawsze wynika z jednego konkretnego przepisu dla każdej firmy, ale jest jednym z najważniejszych praktycznych zabezpieczeń. Warto włączyć je przynajmniej na poczcie, kontach administratorów, VPN, hostingu i systemach chmurowych.

Czy RODO wymaga zabezpieczenia danych?

Tak. Firma przetwarzająca dane osobowe powinna stosować odpowiednie środki techniczne i organizacyjne. W praktyce mogą to być między innymi kontrola dostępu, aktualizacje, backup, MFA, szyfrowanie, ochrona komputerów i procedura naruszeń.

Czy backup wystarczy, jeśli nigdy nie był testowany?

Nie. Backup, którego nikt nie testował, daje fałszywe poczucie bezpieczeństwa. Firma powinna okresowo sprawdzać, czy dane można odtworzyć i ile zajmie powrót do pracy po awarii.

Czy klient może wymagać zabezpieczeń, mimo że moja firma nie podlega NIS2?

Tak. Klient może wymagać zabezpieczeń na podstawie umowy, polityki bezpieczeństwa, RODO, ankiety dostawcy albo własnych obowiązków. Dotyczy to szczególnie firm, które mają dostęp do danych lub systemów klienta.

Czy antywirus wystarczy do ochrony firmy?

Nie. Antywirus jest tylko jednym z elementów ochrony. Firma powinna mieć również MFA, backup, aktualizacje, kontrolę dostępów, bezpieczną pocztę i procedurę reakcji na incydent.

Co zrobić, gdy pracownik kliknął podejrzany link?

Najpierw nie należy panikować. Trzeba ustalić, czy pracownik podał hasło, pobrał plik albo zatwierdził logowanie. Następnie warto odłączyć zagrożone urządzenie, zmienić hasło, sprawdzić logowania, zweryfikować pocztę i ocenić, czy mogło dojść do naruszenia danych.

Od czego zacząć cyberbezpieczeństwo w małej firmie?

Najlepiej zacząć od poczty, MFA, backupu, listy dostępów, aktualizacji i procedury incydentu. To podstawowe elementy, które znacząco zmniejszają ryzyko i nie wymagają budowania dużego działu bezpieczeństwa.

Średnia ocen użytkowników 0 na podstawie 0 głosów

Dodaj komentarz