ISO/IEC 27001 Lead Auditor
ISO / NormyKompetencja audytorska i projektowa w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO/IEC 27001.
Redakcja
Za treść merytoryczną tego serwisu odpowiada Dariusz Zając — lead vCISO marki Cyber Alterity. Jego doświadczenie obejmuje 14 lat zarządzania zakładem przemysłowym, 4 lata pracy w obszarze IT, kompetencje audytorskie ISO 27001 oraz państwowe poświadczenie bezpieczeństwa.
Akredytacje i twarde dowody zaufania
ISO 27001 LA
Audytor Wiodący
CompTIA CySA+
Analityk bezpieczeństwa
NASK-PIB
Zatwierdzenia KSC
ULC / PART-IS
Lotnictwo cywilne
Poświadczenie
Klauzula „ZASTRZEŻONE”
Lat doświadczenia
19
od pierwszej roli zarządczej (2007)
Sektorów objętych
5
z 7 polskich sektorów NIS2
Certyfikacji
3
ISO, CompTIA, ZASTRZEŻONE
Specjalizacji
9
tematy z dowodami publicznymi
Lista weryfikowalna — każda pozycja wskazuje organ wystawiający, do którego można udać się po sprawdzenie autentyczności.
ISO/IEC 27001 Lead Auditor
ISO / NormyKompetencja audytorska i projektowa w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z ISO/IEC 27001.
CompTIA CySA+ (Cybersecurity Analyst)
Certyfikacja technicznaTechniczna certyfikacja analityka bezpieczeństwa — rozumienie logów, detekcji i reguł SIEM. Umożliwia dialog z inżynierami SOC w języku technicznym.
Polskie poświadczenie bezpieczeństwa — klauzula „ZASTRZEŻONE”
Poświadczenie państwowePaństwowe poświadczenie bezpieczeństwa w trybie ustawy o ochronie informacji niejawnych — rygorystyczna weryfikacja przez polskie służby.
Konkretne dokumenty SZBI / lotnicze zaakceptowane przez polskie organy państwowe — nie wewnętrzna opinia firmy doradczej.
NASK Państwowy Instytut Badawczy (PIB)
Dokumentacja SZBI tworzona przez Dariusza Zająca posiada oficjalne państwowe zatwierdzenia weryfikatorów KSC w NASK-PIB. Konkretne zestawy procedur, polityk i dowodów wdrożenia przechodzą państwową weryfikację — nie wewnętrzną opinię firmy doradczej.
Urząd Lotnictwa Cywilnego (ULC)
Doświadczenie w przygotowaniu dokumentacji organizacji lotniczych zgodnej z wymogami EASA PART-IS i ULC — jeden z najściślejszych reżimów regulacyjnych w UE.
Kariera w trzech fazach: zarządzanie zakładem przemysłowym → IT → vCISO. Każda rola wnosi inną perspektywę do tematyki NIS2/KSC.
Plant Manager (kierownik zakładu)
2007 – 2021
Międzynarodowy zakład przemysłu ciężkiego (kategoria podprogowa Seveso)
14 lat zarządzania zakładem przemysłowym z infrastrukturą krytyczną — ciągłość produkcji, bezpieczeństwo procesowe, karna odpowiedzialność za bezpieczeństwo.
Administrator IT
2021 – 2025
Międzynarodowy zakład przemysłu ciężkiego
4 lata praktycznej administracji IT — architektura sieciowa, systemy, podstawowa inżynieria bezpieczeństwa. Perspektywa „od strony serwera”, nie tylko od strony dokumentu.
Lead vCISO
2025 – obecnie
Cyber Alterity
Pełnienie funkcji vCISO w modelu B2B; redakcja merytoryczna serwisu dyrektywanis2.com. Specjalizacja w łączeniu doświadczenia OT z reżimem NIS2/KSC + ISO 27001.
Tematy, w których Dariusz Zając publikuje na tym serwisie. Każdy kafel odsyła do najszerszego materiału na dany temat.
Dyrektywa NIS2
Interpretacja Art. 21, Art. 23 + transpozycja w polskim KSC.
Ustawa o KSC
Polska nowelizacja KSC — Art. 8, Art. 9, Art. 12a, Art. 15, system S46.
ISO/IEC 27001:2022
SZBI + Annex A (93 kontrole) — wdrożenia od zera i mapowania na NIS2.
OT + IEC 62443
Segmentacja IT/OT wg modelu Purdue — energetyka, produkcja przemysłowa, woda.
EASA PART-IS
Cyberbezpieczeństwo w organizacjach lotniczych — zgodność z reżimem ULC.
Art. 12a + odpowiedzialność zarządu
Polska specyfika regresu osobistego (do 600 % wynagrodzenia) i odpowiedzialności organu zarządzającego.
vCISO w modelu B2B
Outsourcing funkcji CISO dla średnich i dużych podmiotów objętych NIS2/KSC.
Raportowanie incydentów CSIRT
Procedura kaskady 24h / 72h / 1 miesiąc + integracja z systemem S46 NASK-PIB.
Łańcuch dostaw NIS2
Art. 21 ust. 2 lit. d + Art. 66a/67b/67c KSC — analiza ryzyka dostawców ICT.
Aktualizujemy tę sekcję — pełna lista wystąpień konferencyjnych, paneli i publikacji prasowych zostanie opublikowana w najbliższych tygodniach. Bieżące aktualności znaleźć można na profilu LinkedIn eksperta.
Dariusz Zając łączy trzy rzadko spotykane razem perspektywy: governance (ISO 27001, SZBI, dokumentacja KSC), techniczne rozumienie bezpieczeństwa (CompTIA CySA+) oraz operacyjne doświadczenie z hali produkcyjnej. Profil ten powstał w naturalnej sekwencji — najpierw 14 lat jako Plant Manager w międzynarodowym przemyśle ciężkim (zakład klasyfikowany niżej kategorii Seveso), następnie 4 lata w obszarze IT, wreszcie pełnienie funkcji vCISO w modelu B2B. Pełną listę certyfikatów, państwowych zatwierdzeń i ścieżki kariery znajdą Państwo w sekcjach powyżej.
Podejście metodyczne Dariusza Zająca, które stosowane jest również w metodyce Cyber Alterity, opiera się na trzech zasadach. Po pierwsze — top-down. Audyt zaczyna się od warsztatu z zarządem, na którym zawęża się scope do usług kluczowych dla KSC, zamiast obchodzić wszystkie działy z otwartym kwestionariuszem. Po drugie — zwinność. Dokumentacja powstaje w trybie tygodniowym, nie miesięcznym. Po trzecie — model Bow-Tie. Prewencja (lewa strona muszki) to jedno; równie istotne jest BCP/DR (prawa strona) — to, jak firma wraca do działania po incydencie.
Dariusz Zając jest autorem merytorycznym tego serwisu. Pełna jego dokumentacja zawodowa, lista wdrożeń referencyjnych, a także dostępność do rozmowy konsultacyjnej znajdują się na stronie marki Cyber Alterity. Konkretny katalog usług, w których ekspert występuje jako prowadzący — w tym vCISO w modelu abonamentowym oraz Audyt Zerowy — jest dostępny w katalogu usług Cyber Alterity.
Pierwszy kontakt z ekspertem realizowany jest w trybie 20-minutowej rozmowy konsultacyjnej (bezpłatnie i niezobowiązująco). Cel rozmowy — wstępna ocena, czy Państwa firma jest w zakresie NIS2, jaki jest jej profil ryzyka i jakie działania są rekomendowane na pierwsze 30 dni. Po rozmowie otrzymują Państwo krótkie podsumowanie i listę rekomendacji.
Jeśli temat jest pilniejszy niż dwutygodniowy horyzont rezerwacji — warto jednocześnie przeczytać artykuł o pierwszych 30 dniach po klasyfikacji. Plan w nim opisany pozwala uporządkować pierwszy miesiąc niezależnie od kalendarza konsultanta.