Prawo
NIS-2: jak przygotować się do wprowadzenia nowej dyrektywy unijnej?
Jak już informowaliśmy w poprzednim numerze na początku 2023 roku w życie weszła dyrektywa NIS-2, regulująca kwestie cyberbezpieczeństwa w Unii Europejskiej.
Organizacjom pozostało już niewiele czasu na dostosowanie się do zawartych w niej wytycznych, bowiem termin wdrożenia upływa 17 października bieżącego roku.W czasach ciągle ewoluujących i rosnących cyberzagrożeń nie tylko dostawcy systemów bezpieczeństwa IT, ale również instytucje szukają rozwiązań pozwalających powstrzymać napastników. Jednym z takich przykładów jest przyjęta przez Parlament Europejski dyrektywa NIS-2. To nowy akt prawny zawierający szereg przepisów, mających na celu zwiększenie odporności cybernetycznej organizacji działających na terenie Unii Europejskiej. W NIS-2 pojawiły się dwie istotne zmiany (w porównaniu z dyrektywą NIS obowiązującą od 2016 roku) – są to obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie oraz nakładanie kar, które w przypadku usług kluczowych mogą wynosić nawet do 10 mln EUR lub 2 procent łącznego rocznego obrotu.Dyrektywa NIS-2 odnosi się m.in. do jedenastu sektorów: energii, , infrastruktury cyfrowej, administracji publicznej i przestrzeni kosmicznej. Świadomość przedsiębiorców na temat NIS-2 na ogół pozostawia wiele do życzenia. Część z nich nie zna obowiązkowej daty wdrożenia dyrektywy, a jeszcze inni nawet nie wiedzą, że UE wprowadziła taki akt prawny. Specjaliści z G DATA opracowali dokument pozwalający nie tylko łatwiej zrozumieć, na czym polega NIS-2, ale również przygotować się do jej wdrożenia.
Matthias Zuchowski, ekspert ds. regulacji w G DATA CyberDefense, wyjaśnia, jakie środki firmy powinny podjąć, i przedstawia harmonogram zarządzania ryzykiem. Firmy, których dotyczy NIS-2, powinny przyjrzeć się dziesięciu punktom środków zarządzania ryzykiem, a następnie je przepracować.
1. Opracowanie koncepcji w zakresie analizy ryzyka i bezpieczeństwa systemów informatycznych.
2. Zarządzanie incydentami bezpieczeństwa. Wiele firm nie posiada specjalistycznego personelu lub budżetu. W takich przypadkach rozwiązaniem może być współpraca z zewnętrznym podmiotem świadczącym usługi cyberbezpieczeństwa.
3. Zarządzanie ciągłością działania, co oznacza utrzymanie operacji związanych z cyberochroną. Przy czym dotyczy to nie tylko sytuacji awaryjnych czy odzyskiwania danych po awarii lub ataku, ale również zarządzania kryzysowego.
4. Zachowanie bezpieczeństwa w łańcuchu dostaw. Na wstępie konieczne jest określenie zakresu łańcucha dostaw, ponieważ nie wszystkie kwestie są jasno sprecyzowane przy podejmowaniu decyzji o zakupie produktów lub usług. Na przykład do łańcucha dostaw zalicza się również oprogramowanie open source. W świetle wymagań NIS-2 należy pamiętać, że ochrona musi obejmować sieci oraz systemy informatyczne i ich środowiska fizyczne.
5. Zachowanie wysokiego bezpieczeństwa w rozwoju, nabywaniu i utrzymaniu systemów informatycznych. Proces ten obejmuje również zarządzanie lukami w zabezpieczeniach.
6. Opracowanie koncepcji i procedur skuteczności środków zarządzania ryzykiem.
7. Ustalenie podstawowych procedur w zakresie cyberhigieny i przeprowadzenia szkoleń pracowników uświadamiających im konsekwencje, jakie niosą ze sobą cyberzagrożenia.
8. Opracowanie koncepcji i procedur korzystania z kryptografii i szyfrowania oraz kontroli dostępu.
9. Zarządzanie bezpieczeństwem zakładu.
10. Wprowadzenie uwierzytelniania wieloskładnikowego.
Matthias Zuchowski dodaje, że wymienione obszary tematyczne powinny być realizowane przez firmy oraz instytucje skutecznie i proporcjonalnie. Należy też wziąć pod uwagę istniejące już normy, takie jak np. ISO 27001. Jeśli organizacja posiada certyfikat określający tę normę, to w dużej mierze spełnia wymagania NIS-2 w obszarze zarządzania ryzykiem, pod warunkiem że osoby odpowiedzialne za ten obszar należycie wywiązują się ze swoich obowiązków i dysponują odpowiednimi rozwiązaniami, takimi jak na przykład systemy do reagowania i wykrywania zagrożeń na urządzeniach końcowych. Jednak, ogólnie rzecz biorąc, założenia NIS-2 wykraczają poza ISO, bowiem wymagają dodatkowych działań. W szczególności odnosi się to do odpowiedzialności zarządu i obowiązków sprawozdawczych. NIS-2 dostarcza również informacje dotyczące kosztów: osoby odpowiedzialne za wydatki powinny kierować się ryzykiem i wielkością obiektu. Jak stworzyć harmonogram NIS-2We wstępnej fazie trzeba stworzyć grupę projektową zajmującą się kwestiami związanymi z NIS-2. W jej skład powinni wchodzić menedżerowie, kierownik działu IT oraz szef ds. bezpieczeństwa IT. Zdaniem specjalistów z G DATA realizacja każdego tematu zajmie co najmniej 12 miesięcy, dlatego nie można ich odkładać na później lub realizować na boku. Grupa projektowa musi przejść szkolenie w zakresie cyberbezpieczeństwa. Jest ono niezbędne, aby zdobyć wiedzę potrzebną do wykonania zaplanowanego zadania. Kolejnym zadaniem kierownika IT jest poinformowanie członków zarządu o ich odpowiedzialności za wdrożenie NIS-2. Co istotne, do przestrzegania dyrektywy zobowiązują ich normy prawne. Następny krok dotyczy zapewnienia bezpieczeństwa łańcucha dostaw. Najpierw należy dokonać przeglądu, a to wymaga czasu, ponieważ proces nie ogranicza się wyłącznie do analizy faktur zakupowych, bowiem nie za wszystko się płaci, co pokazuje chociażby przykład open source. Księgowi posługujący się tego rodzaju oprogramowaniem ponoszą większe ryzyko naruszenia danych aniżeli ich koledzy korzystający z aplikacji komercyjnych. W następnym etapie trzeba zadbać o certyfikaty bezpieczeństwa. W tym celu należy zadać pytanie: „Czy ja lub moja firma wytwarzamy produkt, który musi mieć certyfikat bezpieczeństwa, czy też mam obowiązek kupować tylko produkty, które są odpowiednio certyfikowane?”Jakie certyfikaty są użyteczne z punktu widzenia NIS-2 Unia Europejska wykazuje w ostatnich latach zwiększoną aktywność w zakresie tworzenia prawa odnoszącego się do kwestii cyberbezpieczeństwa. W 2016 roku wprowadziła dyrektywę NIS, zaś rok temu NIS-2. Ważną rolę spełnia powołana w 2004 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), działająca na rzecz osiągnięcia wysokiego wspólnego poziomu bezpieczeństwa IT w Europie. ENISA oferuje system certyfikacji, obecnie najbardziej zaawansowany w zakresie Wspólnych Kryteriów (międzynarodowe normy dotyczące oceny bezpieczeństwa informacji). W procesie certyfikacji wiele firm musi skorzystać ze wsparcia zewnętrznego oraz zaplanować dodatkowe wydatki, ponieważ taka usługa nie jest bezpłatna. Ponadto nabywcy produktów, które wkrótce będą podlegać obowiązkowi certyfikacji, powinni przygotować się na rosnące koszty, ponieważ producenci z pewnością przerzucą na nich koszty związane z tym procesem. Certyfikacja i co dalej?Bardzo ważnym tematem w kontekście NIS-2 jest proces raportowania w odniesieniu do sytuacji kryzysowych IT. Bardzo przydatne mogą być tutaj konsultacje z inspektorem ochrony danych. W dalszej fazie nowa dyrektywa przewiduje format wymiany danych na temat cyberzagrożeń. Przedsiębiorstwa powinny skorzystać z okazji, jaką jest wdrożenie NIS-2, aby poprawić stan ogólnego zarządzania ryzykiem. – Doradzam każdej firmie, aby zajmowała się NIS-2 szczegółowo i na wczesnym etapie, bowiem jest to procesy długotrwały, a cyberprzestępcy też nie śpią. Wykorzystają każdą okazję, aby zaatakować organizację – podsumowuje Matthias Zuchowski.
www.GDATA.pl
