- Dlaczego systemy zarządzania ciągłością działania (BCMS – business continuity management systems) nie do końca pasują do wdrożenia wymagań NIS 2?
- Gdzie mogą pasować?
- A jeśli nie pasują jako całość, to które mechanizmy i jak zaimportować do naszej organizacji?
Te kilka pytań postawię w kilku artykułach, może w jakimś wydarzeniu. Dziś zaczniemy z górnej półki, a więc od ogółu. Strategicznego.
Czym jest BCMS?
Definicja własna.
Systemem zarządzania nakierowanym na utrzymanie organizacji na “powierzchni”, a więc na rynku. W sytuacjach kryzysowych pojawia się kwestia wyboru ponieważ kryzys to ze starogreckiego wybór, ale taki fundamentalny. A więc trzeba rozważyć, który z produktów czy która z usług są tymi, które pozwolą nam przetrwać w sytuacji kryzysowej. I je utrzymać, jako usługę – świadczyć nieprzerwanie bądź produkować na tzw. minimalnym poziomie (MBCO – o czym niebawem)
Skutkiem takiej decyzji jest wskazanie tych mniej istotnych, mniej ważnych do realizacji, które na jakiś czas mogą być zamrożone czy wręcz porzucone (w macierzy BCG, analizie portfelowej np. psy, ale czasem też dojne krowy).
Przykład (autentyczny, audyt BCP/BCMS z 2013 roku firma kosmetyczna). W produkcji kilka marek produktów. Marka obejmowała kosmetyki jako produkty komplementarne, czyli uzupełniające się. Kremy, żele, szampony, dezodoranty. Jedna fabryka specjalizowała się w produkcji jednego rodzaju kosmetyku. Np. kremów. Utrzymanie produkcji tego konkretnego kremu było gwarantem dla całej organizacji (kilka fabryk w Europie) sukcesu dla marki wschodzącej (krytyczny moment dla marki).
Decyzją zarządu regionu (EMEA, nie tylko Polska) ta marka miała być wiodącą i utrzymywaną. Zgodnie z zasadami ustanowienia systemów BCMS – cel i zakres został wskazany. Owszem, można się wspierać analizą wpływu na biznes (BIA – business impact analysis) do tego, aby określić produkty, ale najwyższe kierownictwo (top management) często robi to właśnie w ten sposób. Biznes wie, dzięki czemu się utrzyma, już w tym przypadku nie jako jedna fabryka, w jednym kraju, ale jako całość. (łańcuch dostaw, czyli supply chain w podstawach, tak zaznaczam na później).
Koniec przykładu, wracamy do NIS 2. Otóż dyrektywa w sprawie wysokiego poziomu cyberbezpieczeństwa moim skromnym zdaniem wykroczyła nieco poza swoje obszary, a nasz krajowy projektant zmian w przepisach – Ministerstwo Cyfryzacji jeszcze dalej. Okazuje się, że jeden z systemów pomocniczych, którym jest bezpieczeństwo sieci i systemów IT (nazywane modnie cyberbezpieczeństwem) zaczyna dyktować w załącznikach, kto będzie jakim podmiotem. Już pisałem na LinkedIn, że to tak jak w naszej narodowej przypowieści, ogon macha psem. Wróćmy do naszego przykładu.
Co się stanie, gdy produkt, który determinować będzie ujęcie jako podmiot kluczowy czy ważny, będzie innym produktem niż ten wyznaczony przez zarząd?
Gdy będzie to decyzja administracyjna i na jej podstawie w sytuacji kryzysowej utrzymać będzie trzeba inną produkcję?
Organizacja może i utrzyma produkt, przez który jest kluczowym podmiotem, na podstawie decyzji opartej o…dyrektywę w sprawie bezpieczeństwa sieci i systemów IT. Ale będzie to krótki okres, po którym prawdopodobnie w swoich priorytetowych produktach (BIA, BCMS) wypadnie z rynku.
Ale miało być o ISO 31000. Pomocnym w ustaleniu priorytetów dla produktów jest analiza BIA. To ona, w ramach identyfikacji interesariuszy, a następnie oceny wpływu na nich, wskazać może produkt, czy produkty (usługi również), które będą (są) priorytetowe. W przypadku narzucenia, jak przez NIS 2 czy Ustawę o krajowym systemie cyberbezpieczeństwa, która może poszerzyć zakres podmiotów kluczowych i ważnych, może się okazać, że to się nie spina. Jak w przykładzie powyżej, zamiast kremu dla kobiet będzie musiała być utrzymywana produkcja kremu dla niemowlaków (tak, przerysowane).
Drugim argumentem za tym, że ktoś przestrzelił, ale to już na inny wpis, jest to, że wiele z usług i produktów nie jest aż tak zależnych od systemów IT i ICT. Mamy 2024 rok, XXI wiek, a znam wiele firm np. spożywczych, które plany produkcji mają niemalże z ręki robione, receptury są na zalaminowanych kartach i wszystko działa nadal w świecie tradycyjnym. Jednak spełniają kryteria z NIS 2 i będą podmiotami kluczowymi.
Podsumowanie
BCMS to system organizacji całego przedsiębiorstwa. W oparciu o analizę BIA (narzędziową, dla BCMS) czy innych analizach np portfelowych, jak wymieniona wcześniej macierz bostońska – BCG wskazywane są linie biznesowe, produkty, usługi, czy marki, które pozwolą organizacji przetrwać, jeśli coś się zadzieje (gdy nie też, ale o ewolucji BCMS innym razem).
NIS 2 wyznacza na podstawie zupełnie innego celu (społecznego) produkty i usługi “kluczowe” (załączniki I i II oraz wskazanie podmiotów z dyrektywy CER jako trzeciej grupy podmiotów kluczowych). I do nich nakazuje… no właśnie, czy naprawdę utrzymanie świadczenia usług i produktów? Potocznie tak się rozumie, ale z tym mitem też się rozprawimy, ponieważ to kolejna determinanta, aby nie używać armaty (ISO 31000) do wróbla. NIS 2 wymaga utrzymania wysokiego poziomu cyberbezpieczeństwa dla systemów IT i ICT, które są powiązane ze świadczeniem usługi lub produkcją. Wyznaczonymi jako kluczowe, na podstawie decyzji prawodawcy, a czasem już później organu.