Czym jest dyrektywa NIS 2?
W ostatnim czasie w obszarze cyberbezpieczeństwa możemy zaobserwować wzrost zagrożeń. Według przeprowadzonych badań przez Vmware, w 2022 roku, co trzecia polska firma zmagała się z cyberatakiem. Odnotowano również eskalację skutecznych naruszeń bezpieczeństwa o 20,1% w latach 2020-22.
Większość incydentów dotknęło instytucje działające na rynku międzynarodowym. Odpowiedzią na wspomniane potrzeby było stworzenie na szczeblu międzynarodowym systemu, który miałby pozytywny wpływ na proces podniesienia poziomu bezpieczeństwa systemów informatycznych.
W lipcu 2016 roku, została przyjęta przez parlament europejski oraz UE dyrektywa 2016/1148 (NIS). Jednakże wraz ze wzrostem nowych zagrożeń, powstała konieczność rozszerzenia wytycznych na inne sektory.
Znowelizowana Dyrektywa NIS 2 (nowelizacja dyrektywy NIS, pierwszego europejskiego prawa w zakresie cyberbezpieczeństwa), weszła w życie 16 stycznia 2022 roku. Od tego momentu, Polska oraz inne kraje członkowskie UE mają niecałe dwa lata na wdrożenie NIS 2 w polskim ustawodawstwie od daty przyjęcia (czyli do 17 października 2024 roku).
Co dokładnie zmienia dyrektywa NIS 2?
Dyrektywa NIS 2 względem pierwszej wersji dokumentu wprowadza takie zmiany jak:
- Poszerzenie zakresu podmiotów objętych regulacjami,
- NIS 2 klasyfikuje organizacje według ich znaczenia dzieląc na kluczowe oraz podmioty ważne,
- Znowelizowana dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach (umożliwiając elastyczniejsze podejście w identyfikacji mniejszych firm o wysokim profilu ryzyka),
- NIS 2 nakłada nowe obowiązki takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementacja polityki bezpieczeństwa systemów, zabezpieczenie łańcucha dostaw oraz opracowanie Planu Ciągłości Działania,
- Nowa dyrektywa zaostrza również wymóg dotyczący zgłaszania incydentów oraz podwyższa sankcje za ich nieprzestrzeganie.
Kogo dotyczy dyrektywa NIS 2?
Przedmioty kluczowe (essential services) czyli przedsiębiorstwa i organizacje sektora zarówno prywatnego jak i publicznego dostarczające kluczowe usługi.
- Energetyka (m.in. energia elektryczna, system ciepłowniczy lub chłodniczy);
- Transport (powietrzny, kolejowy, wodny, drogowy);
- Woda pitna (dostawcy i dystrybutorzy „wody przeznaczonej do spożycia przez ludzi”);
- Bankowość;
- Infrastruktura rynków finansowych.
(Załącznik nr 1. do Dyrektywy NIS z 2016 roku – bez zmian).
Aktualizacja zakresu w stosunku do Dyrektywy NIS:
- Opieka zdrowotna (np. podmioty prowadzące działalność badawczo-rozwojową, podmiot produkujący produkty medyczne),
- Ropa naftowa, gaz (np. operatorzy systemów dystrybucyjnych) czy wodór,
- Ścieki głównie (np. przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne),
- Infrastruktura cyfrowa (np. dostawcy usług DNS, usług chmurowych),
- Zarządzanie usługami ICT,
- Administracja publiczna,
- Przestrzeń kosmiczna,
Podmioty ważne (important entities) to:
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny),
- maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy),
- produkcja i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- dostawcy usług cyfrowych w tym wyszukiwarek internetowych, platform social media i platform handlowych.
W jaki sposób należy przygotować się do dyrektywy NIS 2?
Analiza ryzyka infrastruktury IT
Analiza to proces, który pozwala na identyfikację zagrożenia, wykonanie priorytyzacji (w celu określenia, które z zagrożeń jest najistotniejsze), oszacowanie potencjalnych strat oraz zaproponowanie odpowiednich rozwiązań (opracowanie planu redukcji zagrożeń dostosowanego do budżetu danej organizacji). W tym celu należy wykonać audyt zgodny z wymogami NIS 2.
Zapobieganie, Wykrywanie oraz reagowania na incydenty.
Organizacje oraz instytucje powinny wdrożyć odpowiednią politykę, która będzie strategicznym planem działania w sytuacji kryzysowej.
Sugerowane przez nas rozwiązanie :
Rozszerzone wykrywanie i reagowanie (XDR) firmy ESET umożliwia szybkie i skuteczne identyfikowanie nietypowych zachowań i naruszeń, a także zapewnia zaawansowane wyszukiwanie zagrożeń, ocenę ryzyka, reagowanie na incydenty, dochodzenie i środki zaradcze.
Zapewnienie Planu Ciągłości Działania
Każda firma powinna określić kroki, które pomogą utrzymać ciągłość działania w przypadku wystąpienia incydentu. Opracowanie dokumentu BCP czyli planu ciągłości działania może się okazać niezbędne w przypadku wystąpienia awarii systemów, klęsk żywiołowych oraz innych sytuacji kryzysowych. BCP Zawiera plan przywracania oraz plan reagowania na wystąpienie incydentu wszystko po to, aby organizacje mogły kontynuować swoja działania biznesowe.
Edukacja pracowników
Wszystkie podmioty powinny zadbać o szkolenie w zakresie cyber higieny, bezpieczeństwo systemów oraz standardów określonych w danej organizacji. Pracownicy powinni być świadomi zagrożeń takich jak ataki socjotechniczne, phising lub malware.
Kryptografia oraz szyfrowanie danych
W sytuacjach wymagających zachowania poufności danych, derektywa narzuca na podmioty obowiązek stosowania kryptografii oraz szyfrowania (VPN, ZTNA-kontrola dostępu).
Zgłaszanie incydentów
Ważnym aspektem, w kontekście dyrektywy NIS 2 jest obowiązek raportowania incydentów. Podmiot powinien wykonać zgłoszenie do właściwego CSIRT MON, CSIRT NASK, nie później niż 24 godziny od momentu wykrycia,
Kary oraz przeprowadzanie kontroli
Zaktualizowana dyrektywa NIS 2 wprowadza dokładne przepisy dotyczące nakładania kar pieniężnych i sankcji za naruszenie przepisów.
Kary administracyjny w przypadku podmiotów kluczowych mogą sięgnąć nawet 10 mln euro lub 2% rocznego obrotu. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.
Dlaczego system IdM PASK jest idealnym rozwiązaniem dla dyrektywy NIS2?
Dyrektywa NIS 2 wprowadza szereg nowych wymagań dotyczących bezpieczeństwa sieci i systemów informatycznych w organizacjach działających w kluczowych sektorach.
Jednym z kluczowych aspektów jest kwestia zarządzania uprawnieniami użytkowników, audytowania ich dostępu oraz szybka reakcja na incydenty związane z nadmiarowym dostępem.
Tutaj właśnie z pomocą przychodzi PASK – system IdM, który kompleksowo spełnia te wymagania.
System zarządzania tożsamością i dostępami od PASK jest bazą sprawnej polityki bezpieczeństwa, którą można następnie rozbudować o kolejne mechanizmy zabezpieczające kluczowe dane, takie jak wieloskładnikowe uwierzytelnianie czy systemy monitorowania ryzyka.
System IdM PASK wspiera ten proces poprzez:
-Zarządzanie Uprawnieniami zgodnie z Ideą Least Privilege: PASK pozwala na precyzyjne przydzielanie dostępu do danych, zapewniając, że pracownicy mają dostęp tylko do zasobów niezbędnych do wykonywania swoich obowiązków.
-Automatyzacja Procesów: IdM PASK automatyzuje kluczowe procesy zarządzania tożsamościami, takie jak onboarding i offboarding pracowników, nadawanie okresowych uprawnień, czy budowanie ścieżek nadawania uprawnień dla nowych pracowników.
-Podniesienie Poziomu Zgodności z regulacjami: Implementacja systemu IdM PASK spełnia wymagania Rekomendacji D (KNF), normy ISO 27001 i podnosi poziom zgodności z GDPR/RODO.
Jakie są dodatkowe korzyści wynikające z wdrożenia systemu IdM PASK ?
- Zwiększenie Bezpieczeństwa:
PASK oferuje możliwość szybkiego audytowania uprawnień danego pracownika we wszystkich systemach informatycznych. Pozwala to na łatwą identyfikację potencjalnych nadużyć.
- Lepsza Organizacja Zarządzania Użytkownikami:
Efektywne przyznawanie i odbieranie dostępów zgodnie z założonymi regułami.
- Szybka Implementacja:
Całkowite wdrożenie systemu PASK trwa zaledwie 6 tygodni (na serwerze jak i w chmurze)
- Skalowalność i Elastyczność:
Mikroserwerowa struktura systemu umożliwia szybkie dokonywanie zmian i implementowanie nowych funkcjonalności.
- Integracja z systemem Active Directory oraz Microsoft 365:
Zmiany uprawnień wprowadzane w systemie PASK są automatycznie synchronizowane z Active Directory i Microsoft 365, co eliminuje konieczność ręcznej aktualizacji uprawnień w wielu systemach. Dzięki temu, dodatkowe wsparcie działu IT nie jest potrzebne.
Wdrożenie systemu IdM od PASK to inwestycja w bezpieczeństwo Twojej firmy i jej przyszłość.
Skontaktuj się z nami już dziś, aby dowiedzieć się więcej o tym, jak system PASK może pomóc Ci spełnić wymagania NIS 2 i chronić Twoją firmę przed cyberatakami.
biuro@dimers.pl.
Świadczymy usługi w zakresie bezpieczeństwa IT od 20 lat. Posiadamy certyfikację ISO27001 w zakresie obsługi informatycznej, usług cloudowych, bezpieczeństwa IT, wdrożeń IT, danych osobowych oraz certyfikowanego przez audytora, który przygotowuje firmę do audytu certyfikującego oraz opracowuje stosowne dokumenty.
Źródła:
NIS 2 i obowiązki firm w sprawie cyberbezpieczeństwa – jak się przygotować? | PBSG
Jakie wymagania nakłada na firmy dyrektywa NIS 2? (sebitu.pl)
Dyrektywa NIS2 – omówienie wytycznych cyberbezpieczeństwa UE (resilia.pl)