Jako firma z wieloletnim doświadczeniem w dziedzinie szkoleń i audytów bezpieczeństwa, kładziemy szczególny nacisk na przestrzeganie zasad i procedur, wydawanych przez różne instytucje i regulatorów. Naszym priorytetem jest poprawa bezpieczeństwa na poziomie ogólnopolskim, a nie tylko w kontekście naszych klientów.

W ciągu ostatniego roku przeprowadziliśmy ponad 70 audytów i diagnoz cyberbezpieczeństwa w ramach konkursu „Cyfrowa Gmina/Cyfrowy Powiat”. Nasze bogate doświadczenie w tej dziedzinie pozwala nam na precyzyjne zrozumienie specyfiki oczekiwań NASK, które mogą być różnie interpretowane przez wykonawców ubiegających się o przetargi.

Otrzymaliśmy niedawno informacje od NASK, że wiele diagnoz cyberbezpieczeństwa (w szczególności Załącznik_nr_8_) jest wypełnianych w sposób nieprawidłowy. Taka sytuacja prowadzi do konieczności poprawienia diagnozy, a w przypadku braku działań korygujących, grozi cofnięcie przyznanego grantu. Dlatego też, jako firma, zwracamy szczególną uwagę na staranność w wypełnianiu wszystkich formularzy i dokumentów, aby zapobiec takim nieporozumieniom i zagrożeniom dla naszych klientów i dla nas samych.

Poniżej przygotowaliśmy listę pytań dla wykonywanej usługi, która powinna Państwu bardziej naświetlić jej specyfikę oraz umożliwi wybranie rzetelnego Wykonawcy. Jeśli są Państwo na etapie tworzenia publicznego zapytania, zalecamy aby tego typu zagadnienia znalazły się w jego treści. 

1. Czy Wykonawca będzie analizował wszystkie obowiązujące regulacje Grantobiorcy z obszaru bezpieczeństwa? – jest to niezbędne do wskazania prawidłowych dowodów w tabeli. W przypadku diagnozy przeprowadzanej w sposób zdalny, Grantobiorca zobligowany jest do przesłania wszystkich regulacji Wykonawcy w formie elektronicznej.
2. Czy Wykonawca będzie potrzebował wgląd do innych dokumentów Grantobiorcy (np. certyfikaty ze szkoleń, wyniki analizy ryzyka, arkusze inwentaryzacyjne itp.) – także tutaj jest to niezbędne do wskazania prawidłowych dowodów w tabeli. W przypadku diagnozy przeprowadzanej w sposób zdalny, Grantobiorca zobligowany jest do przesłania wszystkich regulacji Wykonawcy w formie elektronicznej.
3. Jaką metodą Wykonawca będzie sprawdzał techniczne aspekty bezpieczeństwa Grantobiorcy (pkt.5, arkusz CERT) – wybrana metodologia musi pozwalać na niezależne sprawdzenie wskazanego obszaru.
   W przypadku diagnozy przeprowadzanej w sposób zdalny, Grantobiorca powinien zapewnić dostęp do środowiska teleinformatycznego (np. przez połączenie VPN).
4. Czy Wykonawca może przekazać referencje od co najmniej 3 Grantobiorców Konkursu Cyfrowa Gmina lub Cyfrowy Powiat, którzy pomyślnie przeszli proces weryfikacyjny przesłanej diagnozy cyberbezpieczeństwa w NASK? – ten zapis pozwoli Państwu zweryfikować podejście Wykonawcy do poziomu wykonywanej usługi. Referencja od zadowolonego klienta jest formalnością. Jeśli Wykonawca będzie zgłaszał protest, oznacza to, że nie jest w stanie takich referencji zapewnić.
5. Jakim certyfikatem będzie dysponował Audytor przeprowadzający diagnozę? – proszę o szczególne zwrócenie uwagi na kompetencje – Audytor Wiodący ISO27001 lub Audytor Wiodący ISO22301. Wielu Wykonawców dysponuje takimi certyfikatami, lecz jeśli zostały one wydane przed 2019 rokiem to w znaczącej większości nie spełniają szczegółowych kryteriów stawianych w Rozporządzeniu Ministra Cyfryzacji.  
6. W jakim terminie od wskazania niezgodności przez NASK w przesłanym załączniku nr 8, Wykonawca wykona niezbędne prace związane z naniesieniem oczekiwanych przez NASK poprawek? – jak wiadomo w przypadku Grantu, czas jest bardzo ważny. Wiele umów zawiera zapisy wymagające poprawę dokumentów przez Wykonawców. Często pomijane są jednak ramy czasowe, co w wyniku celowej opieszałości Wykonawcy może doprowadzić do utracenia GRANTU. Wykonawca z kolei nie poniesie w tym przypadku większych konsekwencji, gdyż poprawkę może przesłać w późniejszym terminie.

Mamy nadzieję, że powyższe informacje pozwolą Państwu na lepsze zrozumienie tematyki Diagnozy Cyberbezpieczeństwa. Wbrew potocznej opinii, przesyłane Diagnozy są szczegółowo weryfikowane przez NASK. Nie wyklucza się także w przyszłości, osobistych wizyt NASK w siedzibach Grantobiorców. W tej sytuacji, tym bardziej warto wybrać rozsądnie i postawić na rzetelnego Wykonawcę.