Dla kogo

Dla organizacji, które potrzebują nadzoru — bez pełnego etatu CISO

Brak formalnej funkcji CISO to nie tylko luka kompetencyjna — to coraz częściej ryzyko regulacyjne i prawne. NIS2 nakłada na zarządy osobistą odpowiedzialność za nadzór nad bezpieczeństwem. vCISO zamyka tę lukę bez konieczności budowania kosztownej struktury wewnętrznej.

01 · Sytuacja

Organizacje bez CISO

Firmy, które rosną i potrzebują funkcji bezpieczeństwa, ale nie chcą lub nie mogą zatrudnić pełnoetatowego CISO. vCISO pozwala mieć kompetentny nadzór nad programem bezpieczeństwa w zakresie dopasowanym do aktualnych potrzeb i budżetu — bez zobowiązań właściwych dla pełnego etatu na poziomie C-suite.

02 · Sytuacja

Zarządy w obliczu NIS2

NIS2 (implementowana w Polsce jako nowelizacja Ustawy o krajowym systemie cyberbezpieczeństwa — UKSC) nakłada na zarządy osobistą odpowiedzialność za cyberbezpieczeństwo. Managed CISO Programme dokumentuje należytą staranność, buduje udokumentowany nadzór zarządu i dostarcza materiały, które mają znaczenie prawne w przypadku kontroli regulatora lub incydentu.

03 · Sytuacja

Firmy w trakcie ISO 27001 lub DORA

Wdrożenie systemu zarządzania bezpieczeństwem informacji, rejestr ryzyk i polityki zgodne z ISO 27001 — bez zewnętrznego właściciela programu to zwykle projekt, który trwa za długo i dostarcza za mało. Dla sektora finansowego: DORA-compatible continuous risk management z ścieżką audytową i dokumentacją wymaganą przez regulatora.

Zakres usługi

Co obejmuje Managed CISO Programme

NOXVERI przejmuje ownership programu bezpieczeństwa — nie jako konsultant z raportem, ale jako stały punkt odpowiedzialności. Zakres zależy od wybranego wariantu współpracy, ale każde zaangażowanie obejmuje ciągłość, nie jednorazową interwencję.

Nadzór strategiczny i należyta staranność zarządu — regularne przeglądy z zarządem, materiały decyzyjne w formacie przystępnym dla organu zarządzającego, dokumentowanie nadzoru jako realna ochrona prawna pod NIS2. Zarząd ma dowód, że spełnił obowiązki art. 20 dyrektywy.
Ciągłe zarządzanie ryzykiem cyber — rejestr ryzyk prowadzony na bieżąco, ścieżka audytowa każdej zmiany, kluczowe wskaźniki ryzyka (KRI), raportowanie wymagane przez NIS2 i ISO 27001. Ryzyka są aktualizowane po każdym istotnym zdarzeniu — nie raz na rok przy audycie.
Ownership programu bezpieczeństwa — plan działań i roadmapa bezpieczeństwa z priorytetami opartymi na realnym ryzyku, nie na liście życzeń. Eskalacje blokad, śledzenie statusu realizacji działań, koordynacja z wewnętrznymi zespołami IT i compliance.
Miesięczne spotkania zarządzania ryzykiem — przegląd statusu programu, aktualizacja rejestru ryzyk, decyzje operacyjne dotyczące otwartych kwestii. Kwartalne przeglądy zarządcze z dashboardem ryzyk dla zarządu — zwięzłe, decyzyjne materiały.
Polityki i procedury dopasowane do skali — niezbędne minimum, nie papierologia dla papierologii. Tylko to, czego wymaga regulacja lub co realnie zmniejsza ryzyko. Dokumenty pisane z myślą o stosowaniu, nie o zaliczeniu audytu.
Reprezentacja na zewnątrz — wobec klientów w procesach due diligence dostawcy, wobec audytorów zewnętrznych, wobec regulatora. NOXVERI mówi językiem bezpieczeństwa tam, gdzie jest to potrzebne — bez angażowania czasu zarządu w kwestie techniczne.
Nadzór nad realizacją rekomendacji — decyzje bez realizacji to tylko ryzyko odroczone. NOXVERI śledzi postęp wdrożenia każdej rekomendacji, eskaluje blokady i weryfikuje, czy działania naprawcze faktycznie zamykają zidentyfikowane luki.

W kontekście NIS2: art. 20 dyrektywy NIS2 nakłada na organy zarządzające podmiotów kluczowych i ważnych osobistą odpowiedzialność za nadzór nad środkami zarządzania ryzykiem cyberbezpieczeństwa. Managed CISO Programme buduje dokumentację tego nadzoru w sposób, który stanowi realną ochronę prawną dla członków zarządu — protokoły przeglądów, zatwierdzone ryzyka, historia decyzji.

Warianty współpracy

Trzy warianty współpracy

Zakres dostosowujemy do potrzeb i dojrzałości organizacji. Nie ma jednego modelu — są trzy punkty startowe. Współpraca zaczyna się od rozmowy o sytuacji, nie od wyboru pakietu z cennika.

Wariant A

Nadzór strategiczny

Rola doradcza i nadzorcza na poziomie zarządu. Regularne przeglądy z zarządem, wsparcie decyzyjne w kwestiach bezpieczeństwa, weryfikacja kierunku programu bezpieczeństwa prowadzonego wewnętrznie. Dla organizacji, które mają wewnętrzny zespół IT lub security i potrzebują niezależnego, zewnętrznego nadzoru na poziomie strategicznym — bez angażowania się w bieżące operacje.

board advisory · przeglądy zarządcze · wsparcie decyzyjne · niezależna ocena

Wariant B

vCISO

Pełny zakres funkcji CISO, realizowany w niepełnym wymiarze. Ownership programu bezpieczeństwa, rejestr ryzyk prowadzony na bieżąco, polityki i procedury, spotkania miesięczne i kwartalne, reprezentacja na zewnątrz wobec audytorów i klientów. Dla organizacji bez dedykowanego CISO, które potrzebują pełnej funkcji bezpieczeństwa i jednoznacznego punktu odpowiedzialności.

pełny zakres CISO · program bezpieczeństwa · ciągłe zarządzanie ryzykiem · NIS2 / ISO 27001

Wariant C

vCISO + warstwa operacyjna

vCISO z dodatkowym wsparciem operacyjnym: nadzór nad wdrożeniem konkretnych elementów programu bezpieczeństwa — polityki, szkolenia dla zarządu, oceny ryzyka, przygotowanie dokumentacji regulacyjnej. Dla organizacji w trakcie transformacji bezpieczeństwa lub aktywnego wdrożenia NIS2 i ISO 27001, gdzie potrzebne jest wsparcie wykraczające poza sam nadzór.

pełny zakres + wsparcie operacyjne · wdrożenie ISO 27001 · transformacja bezpieczeństwa

Doświadczenie

Doświadczenie zbudowane w środowiskach, gdzie bezpieczeństwo musiało działać

25+ lat doświadczenia. CERT.GOV.PL, Deloitte Poland (Red Team), Standard Chartered, 500+ symulacji zagrożeń. Founder NOXVERI budował programy bezpieczeństwa w instytucjach, gdzie koszt błędu był wysoki — nie w środowiskach testowych. To doświadczenie przekłada się na inny poziom osądu: zarówno w rozmowie z zarządem, jak i przy ocenie realnej jakości kontroli.

Rozumiemy jak wygląda realne ryzyko — nie z podręcznika, ale z pracy w CERT.GOV.PL i globalnych instytucjach finansowych, gdzie incydenty miały realne konsekwencje operacyjne i reputacyjne.
Potrafimy rozmawiać z zarządem — materializujemy ryzyko w języku decyzji biznesowych, nie technicznych wskaźników. Zarząd rozumie, co jest na szali — i może podjąć świadomą decyzję.
Oddzielamy papier od rzeczywistości — compliance bez realnego bezpieczeństwa to jedna z rzeczy, których aktywnie unikamy. Polityki mają sens tylko wtedy, gdy są stosowane. Certyfikaty mają wartość tylko wtedy, gdy odzwierciedlają rzeczywistość.
Współtworzył 1Strike.io — silnik do symulacji zagrożeń i walidacji obrony. Praktyczna weryfikacja, czy kontrole działają w rzeczywistości, a nie tylko na papierze.

NOXVERI prowadzi ograniczoną liczbę klientów Managed CISO. Nie budujemy skali kosztem jakości osądu — każde zaangażowanie wymaga prawdziwego zrozumienia kontekstu organizacji, nie kopiowania szablonu.

vCISO — strategiczny nadzór nad cyberbezpieczeństwem bez etatu