Piszemy dużo o konsekwencjach europejskiej dyrektywy NIS2, która dotyczy cyberbezpieczeńśtwa Starego Kontynentu. Nowa wersja projektu ustawy o krajowym systemie cyberbezpieczeństwa, przedstawia planowany przez rząd sposób wdrożenia jej postanowień do polskiego systemu prawnego. Wiemy już, że zasady te dotyczyć będą wszystkich małych i średnich operatorów telekomunikacyjnych. Ale nie tylko.
Eksperci do spraw cyberbezpieczeństwa wskazują aż 18 sektorów gospodarki, które muszą usprawnić narzędzia informatyczne chroniące przed cyberatakami, zaś brak wdrożenia dyrektywy może grozić grzywną w wysokości 10 mln euro lub 2 proc. obrotów danej firmy.
Deadline: 18 października 2024 r.
Pełna nazwa NIS2 to dyrektywa Unii Europejskiej w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2). O jej znaczeniu dla poprawy cybernetycznego bezpieczeństwa Europy mówił na zjeździe w Janowie Podlaskim Marcin Zemła, pełnomocnik ds. cyberbezpieczeństwa Grupy MiŚOT.
Dyrektywa ma na celu wzmocnienie naszego cyberbezpieczeństwa we wszystkich kluczowych sektorach. Od energetyki po opiekę zdrowotną, od bankowości po infrastrukturę cyfrową.
Warto też podkreślić, że dyrektywa ta weszła już w życie. Nastąpiło to w styczniu 2023 r. 18. października tego roku moja zaś termin na dostosowanie niezbędnych do wykonania niniejszej dyrektywy przepisów krajowych.
Spełnienie wymogów dyrektywy NIS2 jest nie tylko wskazane, ale wręcz konieczne, ponieważ grzywny sięgają nawet 10 milionów euro lub 2 proc. łącznego rocznego obrotu w poprzednim roku przedsiębiorstwa, do którego należy podmiot kluczowy, a dyrektorzy najwyższego szczebla są pociągani do osobistej odpowiedzialności.
Szersza perspektywa
Dyrektywa NIS2, która ma szerszy zakres niż jej poprzedniczka (NIS), obejmuje 18 sektorów gospodarki, w tym przedsiębiorstwa i organizacje świadczące usługi, które są niezbędne dla sprawnego funkcjonowania UE na poziomie społecznym i gospodarczym. Dotyczy to: energetyki, opieki zdrowotnej, finansów i kilku podobnych.
Lista sektorów została podzielona na dwie kategorie: sektory kluczowe i sektory ważne. Oczekuje się jednak, że zarówno kluczowe, jak i ważne podmioty będą spełniać te same standardy bezpieczeństwa, ale sposób ich karania i nadzorowania jest różny i zwykle zależy od wielkości organizacji.
Jeśli firma zostanie sklasyfikowana jako kluczowa, będzie podlegać proaktywnemu nadzorowi, który ma na celu upewnienie się, że spełnia wszystkie wymogi dyrektywy. Jeśli zaś przedsiębiorstwo zostanie sklasyfikowane jako ważny, będzie objęte jedynie nadzorem reaktywnym, który zostanie uruchomiony tylko wtedy, gdy władze otrzymają dowody braku przestrzegania przepisów.
W ramach dyrektwy NIS2 monitowane będą: zapobieganie, wykrywanie i reagowanie na incydenty, utrzymanie ciągłości działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, cyberhigiena oraz szkolenia, bezpieczeństwo sieci i systemów informacyjnych, polityka zarządzania i zgłaszania podatności, bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami, uwierzytelnianie wieloskładnikowe oraz ciągłe stosowanie kryptografii i szyfrowania.
Efekt domina
– Jak widzieliśmy w przypadku RODO, inne kraje mogą również pójść za przykładem unijnych rozwiązań i wymagać od organizacji wdrożenia podobnej podstawowej ochrony cybernetycznej i kontroli zarządzania ryzykiem – analizuje Michał Borowiecki, dyrektor Netskope na Polskę i Europę Wschodnią. – Nie zapominajmy też o efekcie domina w łańcuchu dostaw. Ponieważ NIS2 obejmuje szerokie spektrum podmiotów, wiele organizacji będzie potrzebować swoich partnerów, aby podnieść poziom bezpieczeństwa. Może się więc okazać, że firma z innego sektora zostanie zmuszona do przestrzegania przepisów, ponieważ jej klienci to robią – podkreśla.
Michał Borowiecki podkreśla też, że żadna pojedyncza platforma informatyczna nie pokryje w pełni wszystkich dziesięciu minimalnych środków bezpieczeństwa wymaganych przez NIS2. W tym wypadku mogą jednak pomóc rozwiązania klasy SASE. Pomagają one wdrożyć podstawowe praktyki ochrony cybernetycznej, takie jak zasady zerowego zaufania, aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie tożsamością i dostępem oraz świadomość użytkowników.
Nie ma wątpliwości, że NIS2 ustawia wysoko poprzeczkę dla standardów cyberbezpieczeństwa, a termin dla organizacji na dostosowanie swoich systemów zabezpieczeń zbliża się wielkimi krokami. Kiedy jednak zacznie się analizować inwestycje w bezpieczeństwo w okresie poprzedzającym termin 18 października 2024 r., warto skorzystać z okazji, aby wyeliminować niepotrzebne wydatki i stworzyć ekosystem cyberbezpieczeństwa, w którym każdy komponent nie tylko działa dobrze, ale także uzupełnia się i integruje ze sobą.
Małym i średnim operatorom telekomunikacyjnym może pomóc w tym zakresie Projekt MdS: