CISO-as-a-Service

Zarządzanie Cyberbezpieczeństwem dla organizacji objętych NIS2 / uKSC

CISO-as-a-Service (CISOaaS) to kompleksowa, abonamentowa usługa zapewniająca organizacji stałe wsparcie doświadczonego zespołu ekspertów ds. cyberbezpieczeństwa PKF Advisory.

Usługa została zaprojektowana tak, aby spełniać wszystkie wymogi NIS2, nowelizacji ustawy o KSC, RODO, DORA, a także standardów ISO 27001/22301.

W modelu CISOaaS organizacja otrzymuje kompetencje CISO, Security Managera i zespołu SOC/IT Risk, bez konieczności zatrudniania pełnoetatowych specjalistów. To idealne rozwiązanie dla firm, które muszą szybko spełnić obowiązki regulacyjne, zwiększyć dojrzałość bezpieczeństwa lub uporządkować procesy cyber.

Dla kogo?

Podmioty kluczowe i ważne wg NIS2 / uKSC

· energetyka, wodociągi, transport, chemia, zdrowie, bankowość,

· logistyka, produkcja, usługi cyfrowe, telekomunikacja,

· JST, uczelnie, spółki komunalne.

Firmy i instytucje, które mogą zostać objęte regulacją

· średnie i duże przedsiębiorstwa, operatorzy usług cyfrowych,

· firmy posiadające rozbudowany łańcuch dostaw ICT,

· organizacje świadczące usługi dla sektorów regulowanych.

Podmioty wymagające eksperckiego wsparcia

· zarządy realizujące obowiązki odpowiedzialności osobistej za cyberbezpieczeństwo (NIS2 – art. 20),

· działy IT potrzebujące wsparcia procesowego i compliance,

· jednostki, które nie mają pełnoetatowego CISO lub Security Officera.

Zakres usługi CISO-as-a-Service

1. Zarządzanie strategiczne & zgodność z regulacjami

· Budowa i wdrożenie Strategii Cyberbezpieczeństwa zgodnej z NIS2/uKSC.

· Przygotowanie i utrzymanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

· Mapowanie wymagań NIS2 na organizację (audyt 6-miesięczny, ocena luk).

· Doradztwo dla zarządu: budżet, plan rozwoju, mapa ryzyk ICT.

· Projektowanie i wdrażanie BCP/DRP, planów odporności operacyjnej.

· Reprezentacja organizacji w kontaktach z CSIRT sektorowymi i organami nadzoru.

2. Zarządzanie operacyjne cyberbezpieczeństwem

· Koordynacja incydentów: analiza, eskalacja, działania naprawcze, raporty 24/72h.

· Monitorowanie zgodności konfiguracji, backupów, usług chmurowych.

· Utrzymywanie rejestrów wymaganych przez NIS2 (incydenty, zasoby, podatności).

· Nadzór nad przeglądami uprawnień, MFA, logowaniem i retencją danych.

· Stała opieka nad dokumentacją: polityki, procedury, instrukcje IT.

· Przygotowanie organizacji do kontroli na podstawie nowelizacji uKSC (audyt 3-letni).

3. Wsparcie techniczne & audyty zgodne z NIS2

· Audyty cyberbezpieczeństwa, audyty BSI, testy podatności.

· Przegląd ekspozycji internetowej (Web, DNS, VPN, RDP, chmura).

· Ocena zgodności usług chmurowych i outsourcingu ICT.

· Nadzór nad zarządzaniem podatnościami (CVE, patching, hardening).

· Ocena dostawców zgodnie z procedurą DWR (dostawca wysokiego ryzyka – NIS2/5G Toolbox).

4. Zarządzanie łańcuchem dostaw ICT

· Analiza ryzyka dostawców, umów outsourcingowych i SLA.

· Wdrożenie procedur kwalifikacji dostawców zgodnych z uKSC/NIS2.

· Wsparcie w zapisach kontraktowych (cybersecurity clauses, right to audit).

5. Szkolenia, świadomość, odporność cyber

· Szkolenia dla zarządu z odpowiedzialności prawnej wg NIS2.

· Szkolenia dla pracowników i działów IT (phishing, incydenty, ochrona danych).

· Symulacje Tabletop – testy reagowania na cyberataki.

· Kampanie edukacyjne, testy phishingowe.

Elementy dodatkowe (opcjonalne)

1. Internet Exposure Audit (IEA)

Szybki audyt ekspozycji w internecie (WWW, VPN, DNS, M365, OT/ICS).

2. SOC/MDR-as-a-Service

Monitoring 24/7, wykrywanie incydentów, reakcja i triage.

3. AI Governance (AI Act)

Ocena ryzyka modeli AI, zgodność z AI Act, polityki AI.

Korzyści dla organizacji objętych NIS2

· Spełnienie obowiązków regulacyjnych w czasie (6 miesięcy od wejścia ustawy)

· Zmniejszenie ryzyka kar – do 10 mln € lub 2% obrotu

· Pełna dokumentacja i procedury gotowe do audytu

· Stała gotowość na incydenty + wsparcie w raportowaniu

· Jedno miejsce za cyberbezpieczeństwo – pełna odpowiedzialność PKF

· Obniżenie kosztów zatrudnienia pełnoetatowego CISO

Tryby współpracy (przykładowe pakiety)

BASIC – zgodność minimalna (dla MŚP)

· CISO 8–12h/miesiąc

· reakcja na incydenty

· dokumentacja podstawowa

STANDARD – pełna zgodność NIS2 (podmioty ważne)

· CISO 20–30h/miesiąc

· roczna ocena ryzyka

· wsparcie w audycie 3-letnim

· szkolenia

ADVANCED – podmioty kluczowe

· CISO 40+ h/miesiąc

· pełne zarządzanie cyber + compliance

· audyty podatności

· Tabletop, SOC/MDR

CISO-as-a-Service PKF Advisory to gotowa, skalowalna i zgodna z NIS2 usługa, dzięki której organizacja natychmiast podnosi poziom odporności cybernetycznej, spełnia obowiązki regulacyjne i zyskuje realne wsparcie eksperckie w codziennym zarządzaniu bezpieczeństwem.