Dyrektywa NIS 2 wprowadza rygorystyczne wymogi dotyczące zarządzania bezpieczeństwem cybernetycznym dla podmiotów działających w wysoce krytycznych i krytycznych sektorach. Jakie zmiany obejmuje ten dokument i jakie środki muszą podjąć organizacje w celu spełnienia nowych wymagań?
Dyrektywa NIS2: jak wpłynie na europejskie organizacje?
Dyrektywa NIS2 stanowi rozwinięcie dyrektywy NIS odpowiadającej za zwiększanie cyberbezpieczeństwa w Unii Europejskiej. Dyrektywa została uchwalona 14 grudnia 2022 r. i weszła w życie 17 stycznia 2023 r. Podmioty zobowiązane są do spełnienia jej wymagań do połowy października 2024 r.
Celem NIS2 jest zapewnienie ochrony krytycznej infrastruktury cyfrowej. Jednym z kluczowych elementów dyrektywy jest rozszerzenie zakresu podmiotów objętych regulacją oraz zaostrzenie obowiązków w zakresie raportowania incydentów. Zobowiązanymi do wdrożenia zmian są dwa rodzaje podmiotów działające w sektorach krytycznych lub wysoce krytycznych. Pierwszy to organizacje zatrudniające co najmniej 250 osób o sumie bilansowej rocznych obrotów min. 50 mln euro, drugi zaś to organizacje zatrudniające co najmniej 50 osób o sumie bilansowej obrotów rocznych min. 10 mln euro.
Kary za uchylanie się od spełnienia obowiązków wynoszą do 10 mln euro lub 2% łącznego światowego obrotu dla podmiotów kluczowych oraz do 7 mln euro lub 1.4% łącznego światowego obrotu w poprzednim roku dla podmiotów ważnych.
Główne aspekty zmian wprowadzonych przez NIS 2
Dyrektywa NIS 2 wprowadza rygorystyczne wymogi dotyczące zarządzania ryzykiem, w tym wymóg dokładnej analizy potencjalnych zagrożeń oraz stosowanie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie. Wymagania te dotyczą zarówno kwestii technicznych, jak i organizacyjnych. Procedury unowocześniają elementy cyberbezpieczeństwa zarówno w skali krajowej, jak i całej Europy.
Najważniejszą zmianą jest podejście do zarządzania incydentami. Każdy podmiot kluczowy jest zobowiązany do szybkiej identyfikacji, raportowania oraz reagowania na incydenty cybernetyczne. Kolejnymi wymaganiami stawianymi przez NIS2 są między innymi: zapewnianie ciągłości działania systemów IT, bezpieczeństwo nabywania, rozwoju i utrzymania sieci oraz systemów informatycznych, a także stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności w sytuacjach nadzwyczajnych. NIS 2 skupia się także na zwiększeniu bezpieczeństwa danych osobowych (RODO). Jeśli skutkiem incydentu będzie naruszenie danych osobowych, dyrektywa wymaga raportowania tego zdarzenia również na gruncie przepisów NIS2. Procedura ta ma być niezależna od procedury raportowania incydentów bezpieczeństwa na gruncie obecnych przepisów o ochronie danych osobowych.
Wymogi dyrektywy NIS 2 nie dotyczą jednak wyłącznie technicznych aspektów bezpieczeństwa. Nowe przepisy wymagają od organizacji zwiększenia świadomości i szkolenia personelu w zakresie potencjalnych zagrożeń cybernetycznych, aby móc skutecznie odpowiadać na ataki, a nawet je wyprzedzać.
To na podmiotach będzie spoczywać odpowiedzialność za weryfikację tego, czy spełniają warunki do określenia się jako podmiot kluczowy lub ważny oraz czy działają w sektorze krytycznym lub wysoce krytycznym. Na tej podstawie podmioty są zobligowane do wprowadzenia adekwatnych środków bezpieczeństwa.
NIS2: plan działania dla organizacji
Spełnienie wymagań dyrektywy NIS 2 wymaga podjęcia odpowiednich działań technicznych oraz organizacyjnych. Konieczne jest przeprowadzenie analizy obecnych środków bezpieczeństwa i procedury reagowania na incydenty w celu określenia wąskich gardeł procesu. Kolejnym krokiem jest opracowanie planu zarządzania ryzykiem cybernetycznym. Następnie należy wprowadzić profesjonalne rozwiązania, takie jak specjalistyczne systemy dostarczane przez OXARI, umożliwiające pełną kontrolę i ciągły monitoring zasobów IT. Na koniec należy zadbać o odpowiednie przeszkolenie personelu oraz regularne audyty bezpieczeństwa.
W jaki sposób OXARI pozwala spełniać wymagania NIS 2? Specjalistyczne oprogramowanie umożliwia ścisłą kontrolę całej infrastruktury IT. Monitorowanie stanu infrastruktury w czasie rzeczywistym pozwala szybko identyfikować i odpowiednio reagować na pojawiające się incydenty bezpieczeństwa. Service Desk obejmujący systemową obsługę zgłoszeń daje możliwość proaktywnego zarządzania problemami i likwidacji usterek w celu utrzymania dostępności i niezawodności systemów. Asset Management gwarantuje sprawną ewidencję sprzętu i oprogramowania oraz bezpieczne przechowywanie danych, a także umożliwia tworzenie i zarządzanie polityką NIS2. MDM wzmacnia natomiast bezpieczeństwo poprzez centralne zarządzanie urządzeniami mającymi dostęp do wrażliwych danych.
Implementacja powyższych środków pozwoli podmiotom krytycznym i wysoce krytycznym zapewnić najwyższy poziom bezpieczeństwa cybernetycznego oraz spełnić rygorystyczne wymagania dyrektywy NIS 2.