Dyrektywa NIS2. Co to jest i jak ją wdrożyć w firmie
Komisja Europejska, fot. ShutterstockOd stycznia 2023 roku obowiązuje dyrektywa NIS2, która aktualizuje i rozszerza unijne przepisy cyberbezpieczeństwa NIS z 2016 roku. Dokument sprzed siedmiu lat skupiał się na współpracy międzynarodowej, krajowej oraz wprowadzeniu obowiązkowego raportowania incydentów i zarządzania ryzykiem dla operatorów i dostawców usług kluczowych. NIS2 znacznie rozszerza obowiązujące dotychczas zapisy, obejmując wymaganiami coraz więcej sektorów. Z doświadczeń dotyczących wdrożeń przepisów ustawy o krajowym systemie cyberbezpieczeństwa wynika, że wprowadzenie zmian może zająć nawet kilkanaście miesięcy. Jakie działania należy podjąć?
Co to jest NIS2
Dyrektywa NIS2 objęła swoim zasięgiem 11 sektorów: energetykę, transport, bankowość, infrastrukturę rynku finansowego, ochronę zdrowia, wodociągi, spółki wodno-kanalizacyjne, infrastrukturę cyfrową, administrację publiczną, przestrzeń kosmiczną i produkcję żywności. Firmy działające we wskazanych obszarach zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa oraz przeciwdziałaniu zagrożeniom. Przepisy dyrektywy określają jednocześnie „niezbędne minimum” środków, które muszą zostać podjęte przez każdy podmiot, w tym m.in.: prowadzenie analizy ryzyka, zapewnienie bieżącej obsługi incydentów, czy korzystanie z kryptografii i szyfrowania.
- Dyrektywa NIS2 nakłada bardzo duże wymagania na nowe sektory, które nie były wcześniej objęte dyrektywą. Podmioty, które znalazły się na nowej liście, objętej regulacjami, często mają niższy poziom dojrzałości cyberbezpieczeństwa, gdyż nie miały wcześniej ustawowego obowiązku zabezpieczenia infrastruktury IT. Warto podkreślić, że obecnie wypracowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa schematy w zakresie NIS2 to ogólny spis podstawowych wytycznych budowania bezpieczeństwa systemów teleinformatycznych. Brak więc specjalistycznych wymagań sektorowych, które w tym przypadku byłyby potrzebne. Przykładowo przedsiębiorstwa powinny zarządzać podatnościami systemów informatycznych, ale poprawne ułożenie procesów i technologii, uwzględniając specyfikę infrastruktury organizacji, to niełatwe zadanie. Warto więc powierzyć zadanie dostosowania zabezpieczeń do nowych wymogów doświadczonemu partnerowi, który kompleksowo zadba o cyberbezpieczeństwo firmy - mówi Jakub Suchorab, Euvic Solutions.
Ważnym obowiązkiem jest raportowanie zdarzeń zagrażających bezpieczeństwu. Istniał on już na gruncie dyrektywy NIS, ale w projekcie NIS2 cała procedura jak i konsekwencje niedostosowania się zostały uregulowane w bardziej precyzyjny sposób. Za nieprzestrzeganie przepisów grożą kary sięgające nawet 10 milionów euro . Ograniczenie ilości zdarzeń jest możliwe dzięki skutecznemu monitorowaniu i zarządzaniu podatnościami w organizacji.
Kogo dotyczy NIS2
Luki w zabezpieczeniach zwiększają ryzyko wystąpienia niepożądanego zdarzenia lub celowego ataku. Wraz z ewolucją cyfrowych rozwiązań, pojawiają się nowe, newralgiczne punkty, na które należy zwrócić szczególną uwagę. Ważne jest, aby do bezpieczeństwa i kondycji systemów firmowych podchodzić z rezerwą. Zbyt duża pewność w działaniu może narazić przedsiębiorstwo na cyberzagrożenia.
Podatności mogą dotyczyć zarówno sprzętu, oprogramowania jak i sieci. Słabe szyfrowanie, niewystarczające testy, czy niezabezpieczone linie komunikacyjne stanowią duże ryzyko cyberataku. Warto dodać, że istotnym aspektem jest również czynnik ludzki. Niska świadomość i rzadkie szkolenia personelu, niepoprawne zarządzanie hasłami lub brak audytu narażają organizację na powstawanie luk w zabezpieczeniach. Podczas gdy 76 proc. organizacji doświadczyła wzrostu liczby podatności w ciągu ostatnich 12 miesięcy, tylko jedna trzecia spodziewa się zwiększenia liczby pracowników zajmujących się zarządzaniem nimi .
- Z raportu „2022 Vulnerability Management Report” przygotowanego przez Cybersecurity Insiders wynika że 71 proc. organizacji posiada formalny program zarządzania podatnościami. Natomiast , jedynie 66 proc. programów oceniono jako średnio lub wysoko skuteczne. Tylko jedna trzecia przedsiębiorstw uważa swój program za efektywny, co nie jest dobrym wskaźnikiem. Największą barierą w zarządzaniu podatnościami są ograniczenia finansowe, brak umiejętności i nieefektywne procesy. Jest jednak i dobra wiadomość - 44 proc. organizacji spodziewa się wzrostu inwestycji w rozwiązania przeznaczone do zarządzania podatnościami - mówi Wojciech Wrzesień, Euvic Solutions.
W przedsiębiorstwie warto wdrożyć działania minimalizujące ryzyko ataku, takie jak proaktywne monitorowanie zabezpieczeń i zachowania użytkowników. Ze względu na ograniczone zasoby czy ciągły rozwój systemów IT, należy skupić się na usunięciu tych podatności, które najbardziej zagrażają firmie. Odpowiednie ustalenie priorytetów pozwoli szybko zniwelować najistotniejsze luki.
Jak wdrożyć NIS2
Wdrożenie dyrektywy NIS2 (Dyrektywa dotycząca Bezpieczeństwa Sieci i Informacji) jest niezwykle istotne dla organizacji działających w obszarze usług cyfrowych. W tym artykule przedstawimy kluczowe informacje na temat dyrektywy NIS2 oraz omówimy kroki, które należy podjąć, aby skutecznie wdrożyć te wytyczne.
Dyrektywa NIS2 stanowi ramy regulacyjne dotyczące bezpieczeństwa sieci i informacji w Unii Europejskiej. Jej głównym celem jest zwiększenie odporności sektora usług cyfrowych na zagrożenia cybernetyczne. Dyrektywa NIS wprowadza wymogi dotyczące zarządzania ryzykiem, zgłaszania incydentów oraz współpracy pomiędzy państwami członkowskimi. Jej skuteczne wdrożenie przyczynia się do zwiększenia bezpieczeństwa cyfrowego na terenie UE.
Jak to zrobić, przedstawiamy krok po kroku:
Ocena obecnej sytuacji: Pierwszym krokiem jest przeprowadzenie kompleksowej oceny obecnej sytuacji pod kątem bezpieczeństwa sieci i informacji. Należy zidentyfikować kluczowe obszary zagrożeń, zasoby i procesy, które są narażone na ryzyko cybernetyczne.
- Wdrożenie odpowiednich środków ochrony: Na podstawie oceny sytuacji należy opracować i wdrożyć odpowiednie środki ochronne. Dotyczy to zarówno technicznych zabezpieczeń, takich jak zapory sieciowe, systemy antywirusowe czy audyty penetracyjne, jak i organizacyjnych środków, takich jak polityki bezpieczeństwa, szkolenia pracowników i procedury reagowania na incydenty.
- Tworzenie planu kontroli i monitorowania: Należy opracować plan regularnej kontroli i monitorowania systemu zabezpieczeń, aby zapewnić ciągłość i skuteczność działań. Wskazane jest wykorzystanie narzędzi monitorujących, które umożliwią wykrywanie i reagowanie na potencjalne zagrożenia.
- Szkolenie pracowników: Niezwykle istotne jest przeszkolenie pracowników w zakresie świadomości i praktycznych zasad bezpieczeństwa informacji. Wiedza i umiejętności personelu mają kluczowe znaczenie dla skutecznego wdrożenia dyrektywy NIS2.
- Zgodność z wymogami prawnymi: Warto skonsultować się z prawnym doradcą, aby upewnić się, że wszystkie działania są zgodne z wymogami dyrektywy NIS2 oraz innych istotnych przepisów prawa dotyczących bezpieczeństwa informacji.
Podsumowanie
Wdrożenie dyrektywy NIS2 jest niezbędne dla zapewnienia bezpieczeństwa sieci i informacji w sektorze usług cyfrowych. Wymaga to przeprowadzenia oceny sytuacji, wdrożenia odpowiednich środków ochrony, tworzenia planu kontroli i monitorowania, szkolenia pracowników oraz zapewnienia zgodności z wymogami prawno-regulacyjnymi. Skuteczne wdrożenie dyrektywy NIS2 przyczynia się do zwiększenia odporności organizacji na zagrożenia cybernetyczne i utrzymania stabilności usług cyfrowych.