NIS 2- Jakie działania muszą podjąć firmy w celu wdrożenia cyberbezpieczeństwa?

Opublikowano przez

Czym jest dyrektywa NIS 2?

W ostatnim czasie w obszarze cyberbezpieczeństwa możemy zaobserwować wzrost zagrożeń. Według przeprowadzonych badań przez Vmware, w 2022 roku, co trzecia polska firma zmagała się z cyberatakiem. Odnotowano również eskalację skutecznych naruszeń bezpieczeństwa o 20,1% w latach 2020-22.

Większość incydentów dotknęło instytucje działające na rynku międzynarodowym. Odpowiedzią na wspomniane potrzeby było stworzenie na szczeblu międzynarodowym systemu, który miałby pozytywny wpływ na proces podniesienia poziomu bezpieczeństwa systemów informatycznych.

W lipcu 2016 roku, została przyjęta przez parlament europejski oraz UE dyrektywa 2016/1148 (NIS). Jednakże wraz ze wzrostem nowych zagrożeń, powstała konieczność rozszerzenia wytycznych na inne sektory.

Znowelizowana Dyrektywa NIS 2 (nowelizacja dyrektywy NIS, pierwszego europejskiego prawa w zakresie cyberbezpieczeństwa), weszła w życie 16 stycznia 2022 roku. Od tego momentu, Polska oraz inne kraje członkowskie UE mają niecałe dwa lata na wdrożenie NIS 2 w polskim ustawodawstwie od daty przyjęcia (czyli do 17 października 2024 roku).

Co dokładnie zmienia dyrektywa NIS 2?

Dyrektywa NIS 2 względem pierwszej wersji dokumentu wprowadza takie zmiany jak:

  • Poszerzenie zakresu podmiotów objętych regulacjami,
  • NIS 2 klasyfikuje organizacje według ich znaczenia dzieląc na kluczowe oraz podmioty ważne,
  • Znowelizowana dyrektywa uwzględnia średnie i duże przedsiębiorstwa w wybranych branżach (umożliwiając elastyczniejsze podejście w identyfikacji mniejszych firm o wysokim profilu ryzyka),
  • NIS 2 nakłada nowe obowiązki takie jak wdrożenie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, implementacja polityki bezpieczeństwa systemów, zabezpieczenie łańcucha dostaw oraz opracowanie Planu Ciągłości Działania,
  • Nowa dyrektywa zaostrza również wymóg dotyczący zgłaszania incydentów oraz podwyższa sankcje za ich nieprzestrzeganie.

Kogo dotyczy dyrektywa NIS 2?

Przedmioty kluczowe (essential services) czyli przedsiębiorstwa i organizacje sektora zarówno prywatnego jak i publicznego dostarczające kluczowe usługi.

  • Energetyka (m.in. energia elektryczna, system ciepłowniczy lub chłodniczy);
  • Transport (powietrzny, kolejowy, wodny, drogowy);
  • Woda pitna (dostawcy i dystrybutorzy „wody przeznaczonej do spożycia przez ludzi”);
  • Bankowość;
  • Infrastruktura rynków finansowych.

(Załącznik nr 1. do Dyrektywy NIS z 2016 roku – bez zmian).

Aktualizacja zakresu w stosunku do Dyrektywy NIS:

  • Opieka zdrowotna (np. podmioty prowadzące działalność badawczo-rozwojową, podmiot produkujący produkty medyczne),
  • Ropa naftowa, gaz (np. operatorzy systemów dystrybucyjnych) czy wodór,
  • Ścieki głównie (np. przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne),
  • Infrastruktura cyfrowa (np. dostawcy usług DNS, usług chmurowych),
  • Zarządzanie usługami ICT,
  • Administracja publiczna,
  • Przestrzeń kosmiczna,

Podmioty ważne (important entities) to:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny),
  • maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy),
  • produkcja i dystrybucja chemikaliów,
  • produkcja, przetwarzanie i dystrybucja żywności,
  • dostawcy usług cyfrowych w tym wyszukiwarek internetowych, platform social media i platform handlowych.

(Załącznik nr 2. do NIS 2).

W jaki sposób należy przygotować się do dyrektywy NIS 2?

Analiza ryzyka infrastruktury IT

Analiza to proces, który pozwala na identyfikację zagrożenia, wykonanie priorytyzacji (w celu określenia, które z zagrożeń jest najistotniejsze), oszacowanie potencjalnych strat oraz zaproponowanie odpowiednich rozwiązań (opracowanie planu redukcji zagrożeń dostosowanego do budżetu danej organizacji). W tym celu należy wykonać audyt zgodny z wymogami NIS 2.

Zapobieganie, Wykrywanie oraz reagowania na incydenty.

Organizacje oraz instytucje powinny wdrożyć odpowiednią politykę, która będzie strategicznym planem działania w sytuacji kryzysowej.

Sugerowane przez nas rozwiązanie :

Rozszerzone wykrywanie i reagowanie (XDR) firmy ESET umożliwia szybkie i skuteczne identyfikowanie nietypowych zachowań i naruszeń, a także zapewnia zaawansowane wyszukiwanie zagrożeń, ocenę ryzyka, reagowanie na incydenty, dochodzenie i środki zaradcze.

Zapewnienie Planu Ciągłości Działania

Każda firma powinna określić kroki, które pomogą utrzymać ciągłość działania w przypadku wystąpienia incydentu. Opracowanie dokumentu BCP czyli planu ciągłości działania może się okazać niezbędne w przypadku wystąpienia awarii systemów, klęsk żywiołowych oraz innych sytuacji kryzysowych. BCP Zawiera plan przywracania oraz plan reagowania na wystąpienie incydentu wszystko po to, aby organizacje mogły kontynuować swoja działania biznesowe.

Edukacja pracowników

Wszystkie podmioty powinny zadbać o szkolenie w zakresie cyber higieny, bezpieczeństwo systemów oraz standardów określonych w danej organizacji. Pracownicy powinni być świadomi zagrożeń takich jak ataki socjotechniczne, phising lub malware.

Kryptografia oraz szyfrowanie danych

W sytuacjach wymagających zachowania poufności danych, derektywa narzuca na podmioty obowiązek stosowania kryptografii oraz szyfrowania (VPN, ZTNA-kontrola dostępu).

Zgłaszanie incydentów

Ważnym aspektem, w kontekście dyrektywy NIS 2 jest obowiązek raportowania incydentów. Podmiot powinien wykonać zgłoszenie do właściwego CSIRT MON, CSIRT NASK, nie później niż 24 godziny od momentu wykrycia,

Kary oraz przeprowadzanie kontroli

Zaktualizowana dyrektywa NIS 2 wprowadza dokładne przepisy dotyczące nakładania kar pieniężnych i sankcji za naruszenie przepisów.

Kary administracyjny w przypadku podmiotów kluczowych mogą sięgnąć nawet 10 mln euro lub 2% rocznego obrotu. Podmioty ważne mogą zostać ukarane grzywną w wysokości 7 mln euro lub 1,4% łącznego rocznego obrotu.

Wdrożenie zmian w zakresie cyberbezpieczeństwa zgodnie z wymogami NIS 2 to skomplikowany proces.

Nie wiesz od czego zacząć? Napisz do nas na biuro@dimers.pl.

Świadczymy usługi w zakresie bezpieczeństwa IT od 20 lat. Posiadamy certyfikację ISO27001 w zakresie obsługi informatycznej, usług cloudowych, bezpieczeństwa IT, wdrożeń IT, danych osobowych oraz certyfikowanego przez audytora, który przygotowuje firmę do audytu certyfikującego oraz opracowuje stosowne dokumenty.

Źródła:

NIS 2 i obowiązki firm w sprawie cyberbezpieczeństwa – jak się przygotować? | PBSG

Jakie wymagania nakłada na firmy dyrektywa NIS 2? (sebitu.pl)

Dyrektywa NIS2 – omówienie wytycznych cyberbezpieczeństwa UE (resilia.pl)