TECHNOLOGIA · CYBERBEZPIECZEŃSTWO · BIZNES

Z notatnika bezpiecznika: wyliczanka, czyli jakie obowiązki płyną z dyrektywy NIS2

W zeszłym tygodniu, po opublikowaniu przez rząd nowej wersji projektu ustawy o krajowym systemie cyberbezpieczeństwa, stało się ostatecznie jasne to, o czym mówiliśmy od dawna: zasady płynące z dyrektywy NIS2 dotyczyć będą wszystkich małych i średnich operatorów telekomunikacyjnych. Przechodzimy do konkretów.

Wylicznaki zawarte w przepisach nie są może szczególnie ciekawe, ale warto je powtarzać, by dotarły do wszystkich, a jak już kiedyś dotarły, to żeby się utrwaliły. Artykuł 5 proponowanej przez rząd ustawy w wskazuje podmioty kluczowe i ważne. Niektórzy z Was będą kluczowi niezależnie od wielkości (jeśli bawicie się DNS-ami), a nie niektórzy będą ważni. Nie zmienia to jednak faktu, że obowiązki wynikające z dyrektywy NIS2 będziecie musieli spełnić.

Dyrektywa obejmuje więc:

  • podmioty średnie z załącznika I lub II, które są podmiotami ważnymi,
  • przedsiębiorców telekomunikacyjnych będących mikro lub małymi przedsiębiorcami;
  • średnie podmioty telekomunikacyjne (napisane jest tam: przedsiębiorca komunikacji elektronicznej i z definicji jesteście właśnie takimi podmiotami);
  • dostawców usług DNS niezależnie od wielkości (tutaj toczy się jeszcze walka, którą podjęła w Waszym imieniu Rada Bezpieczeństwa Biznesowego); 
  • dostawców usług zarządzania w zakresie cyberbezpieczeństwa,
  • inne podmioty wskazane decyzją rządu na podstawie artykułu 7c.  

Pozostałe punkty raczej Was nie dotyczą.

Projekt MdS natomiast będzie miał status podmiotu kluczowego i jest do tego przygotowywany od trzech lat. Dla Was.

Po wejściu w życie ustawy nie będzie już natomiast wystarczyło wzięcie na umowę kolegi Janka, który w garażu ogarnia Splunka i jest dobry (w Waszej opinii), bo jak go zakontraktujecie za miskę ryżu, to odpowiecie przy kontroli za robienie biznesu z podmiotem niespełniającym wymogów ustawy.

Co ciekawego się zdarzy?

Składacie wniosek, żeby się zarejestrować – do dwóch miesięcy od wejścia obowiązków z oświadczeniem; Świadomy odpowiedzialności karnej za złożenie fałszywego oświadczenia wynikającej z art. 233 § 6 Kodeksu karnego oświadczam, że dane zawarte we wniosku są zgodne z prawdą.” i od tego momentu dotyczą Was obowiązki wynikające z artykułu 8 ustawy.

Jakie?

  1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem, czyli wdrożenie u Was całego systemu zarządzania i udowodnienie, że od momentu wejścia przepisów to działa – na razie jedna kartka papieru na miesiąc i ogrom pracy, żeby to się działo;
  2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności, czyli udowodnienie, że wdrażacie działania korygujące wynikające z rejestru ryzyk i rejestru incydentów oraz przeglądacie własny system bezpieczeństwa, a wasza organizacja zakłada sobie za cel ich spełnienie; 
  3. realizowanie polityk szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityk tematycznych: pełna, żyjąca polityka z wdrożonymi procedurami, opis działań, dowód, że się dzieją zgodnie z przyjętą normą;
  4. utrzymanie i bezpieczna eksploatację systemu informacyjnego – dowody, logi w korelacji z dokumentacją, rejestrem ryzyk i incydentów; 
  5. bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu oraz adekwatność zastosowanych środków dostępu do urządzeń (zgodnie z normą ma to wynikać z ryzyka i jego poziomu); 
  6. bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym, czyli badanie łańcucha dostaw, prowadzenie rejestru dostawców i analiza każdej dostawy; 
  7. wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po katastrofie. To element normy ISO 22301. Trzeba zrobić analizy BIA i popatrzeć jakie zakłócenia mogą wyłożyć Wam firmę; 
  8. system informacyjny wykorzystywany do świadczenia usługi systemem monitorowania w trybie ciągłym, czyli pole dla tych, którym cyberbezpieczeństwo kojarzy się z XDR, EDR, SIEM. Zastosowanie takich monitoringów musi być uzasadnione ryzykiem. Projekt MdS ma własne centrum monitorowania. Istnieje możliwość by się do niego podłączyć. Po wdrożeniu, bo musimy najpierw wiedzieć co mamy podłączyć; 
  9. polityki i procedury oceny skuteczności środków technicznych i organizacyjnych. System ma być skuteczny i to należy wykazać, a następnie móc później udowodnić, że polityki nasze są rzeczywiście skuteczne; 
  10. edukacja z zakresu cyberbezpieczeństwa dla personelu podmiotu, w ramach której wytłumaczone zostaną podstawowe zasady cyberhigieny. MdS przygotował Wam Szkolenia trąbimy o nich od roku. Zero odzewu z Waszej strony;
  11. polityki i procedury stosowania kryptografii, w tym szyfrowania (jeśli są konieczne);
  12. zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi. To załatwia Projekt MdS będąc SOC. Nasz zespół Testów I Analiz gromadzi te informacje i rozdaje rekomendacje;
  13. zarządzanie incydentami w zakresie informacji o ich wystąpieniu, minimalizacji skutków, wdrożenia działań korygujących w oparciu o ryzyko;
  14. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi;
  15. stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym;
  16. regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji;
  17. ochrona przed nieuprawnioną modyfikacją w systemie informacyjnym;
  18. niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń;
  19. stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe.

Wymagania, o których mowa uznaje się za spełnione, gdy podmiot kluczowy i podmiot ważny zapewnia system zarzadzania bezpieczeństwem informacji, z uwzględnieniem wymagań określonych w Polskiej Normie PN-EN ISO/IEC 27001 oraz PN-EN ISO/IEC 22301. Oczywiście możecie się certyfikować (tak jak dla Was zrobił to Projekt MdS), co nie zwolni Was z kontroli. Być może złagodzi. 

Dużo? Owszem. A to nie koniec.

Co jeszcze musicie?

Macie prowadzić dokumentację, która  jest opisana szczegółowo w artykule 10 projektu. Projekt MdS ma to także w swojej ofercie. Jeżeli zawierasz z nami umowę dostajecie portal (jeśli nie masz własnego) i pełnomocnika, który za to odpowiada i chroni Was też w trakcie kontroli.

Macie zgłaszać incydenty i komunikować się z CSIRTEM (zapewne przez system S46). 

Macie informować użytkowników o zagrożeniach. Trzeba wypracować mechanizmy. Projekt MdS już to robi. 

Macie co dwa lata przeprowadzać na własny koszt audyt bezpieczeństwa. Jeśli Projekt MdS będzie Was obsługiwał i chronił, nie będzie mógł Was audytować ale spokojnie – mamy do tego firmy zewnętrzne. Jesteśmy przygotowani. A Wy?

Skontaktuj się z MdS

Projekt MdS wdraża już wymagania dyrektyw NIS 2 u operatorów, a pełnego wdrożenia tych przepisów nie da się dokonać w kilka dni ani tygodni. Chcemy abyście nadal mogli skupiać się na działalności telekomunikacyjnej w tych naprawdę trudnych warunkach, z którymi NATO oraz Unia Europejska radzą sobie dziś tak, jak potrafią.

Jeżeli uważacie, a usłyszałem to w Janowie Podlaskim, że ściągamy z Was kasę, powiem to jasno: przestanie być śmiesznie, jak nam się skończą zasoby. Wtedy to, w trosce o tych, którzy wcześniej nam zaufali, powiemy reszcie dosyć. Nie będzie nas stać na zatrudnianie kolejnych specjalistów i obsługi wszystkich małych i średnich operatorów po cenach, które są poniżej rynkowych. Nasze ceny są zaledwie SKŁADKĄ, drodzy spółdzielcy.  

Z Projektem MiSOT dla Security można skontaktować się pisząc na e-mail: biuro@projektmds.pl lub wypełniając formularz kontaktowy na stronie: Kontakt – Projekt MdS.

Marcin Zemła
Marcin Zemła
specjalista ds. cyberbezpieczeństwa, ekspert projektu MdS

przeczytaj najnowszy numer isporfessional

Najnowsze