Dyrektywa NIS 2 – nowa odsłona cyberbezpieczeństwa czy standard, który powinien być w każdej firmie?

Początki Dyrektywy NIS sięgają 2016 roku, to właśnie wtedy Dyrektywa została przyjęta przez Państwa Członkowskie Unii Europejskiej i stanowi pierwsze europejskie prawo w zakresie cyberbezpieczeństwa. Dyrektywa opiera się między innymi na współpracy zarówno międzynarodowej, jak i krajowej, wprowadzenie obowiązkowego raportowania incydentów oraz odpowiedniego zarządzania ryzykiem dla operatorów usług kluczowych i dostawców usług cyfrowych. W grudniu 2020 roku Komisja Europejska zaprezentowała nową koncepcję cyberbezpieczeństwa, która została nazwana Dyrektywą NIS 2. 

To tyle jeśli chodzi o ogólny zarys prawny, przejdźmy teraz do zmian, które zostały wprowadzone pod koniec roku. W Dyrektywie zostały uwzględnione tzw. usługi kluczowe, w których zakres NIS 2 został rozszerzony. Teraz usługa kluczowa nie dotyczy tylko „wielkich” energetyk czy bankowości, ale również m.in. administracji publicznej, przemysłu, sektoru żywności, ścieków, zarządzania odpadami, a także przestrzeni kosmicznej.

Na wszystkie wyróżnione podmioty zostały nałożone zwiększone wymagania, jeśli chodzi o zarządzanie, obsługę i ujawnienie luk w zabezpieczeniach. Dodatkowo duży nacisk jest kładziony na testowanie poziomu cyberbezpieczeństwa oraz skuteczne wykorzystanie szyfrowania. Plusem jest to, że nowa wersja Dyrektywy zawiera bardziej precyzyjne informacje w jaki sposób powinniśmy raportować incydent, który miał miejsce. Jednakże i tak największą zmianą i myślę, że dla niektórych najistotniejszą jest fakt, że teraz kierownictwo firmy jest odpowiedzialne za działania zgodne z wynikami zarządzania ryzykiem w cyberbezpieczeństwie. Sądzę, że niedługo nie będziemy już słyszeć rozmów „nie jestem zainteresowany, przecież u nas wszystko działa i nikt nas nie zaatakuje”, ale jak ze wszystkim – czas pokaże. 

Tak jak wspominałam wcześniej, dla wszystkich podmiotów uwzględnionych w Dyrektywie (kluczowych i ważnych) zmianie uległ zakres obowiązków, które nakłada Dyrektywa NIS 2. Zmiany dotyczą zarówno części procesowej, odpowiedniej dokumentacji, ale również aspektów praktycznych oraz rozwiązań systemowych. Przyjrzyjmy się im zatem bliżej – poniżej kilka przykładów: 

• opracowanie analizy ryzyka oraz polityki bezpieczeństwa systemów informatycznych – podstawowe elementy, które powinny być udokumentowane w każdej organizacji, 
• obsługa incydentów – zapobieganie, wykrywanie oraz szybkie reagowanie na incydenty – nie jest tutaj istotny tylko aspekt papierowy, ale skuteczny system, który funkcjonuje poprawnie, 
• zapewnienie ciągłości działania oraz zarządzania kryzysowego – analiza oraz przeprowadzanie testów jest ważnym elementem utrzymania ciągłości działania,
• bezpieczeństwo w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci informatycznych (w tym konieczna obsługa i ujawnienie podatności),
• procedura dotycząca testowania oraz audytu, która służy ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa, 
• wykorzystywanie kryptografii oraz szyfrowania – należy wprowadzić klasyfikację informacji, aby wiedzieć, które informacje powinny być szczególnie chronione. 

Należy teraz postawić pytanie – czy powyższe punkty to wygórowane wymagania jeśli chodzi o bezpieczeństwo? I nie pytam tylko o infrastrukturę krytyczną (operatorów usług kluczowych), ale i mniejsze organizacje. Dobre praktyki mówią, że audyt systemów powinien być przeprowadzany przynajmniej raz w roku. Oczywiście najlepiej, gdyby był on przeprowadzony przez niezależnego audytora, ale można to zrobić samodzielnie, jeśli posiada się odpowiednie kompetencje. Oczywiście zdaję sobie sprawę, że dla organizacji, które dotychczas nie kładły zbyt dużego nacisku na bezpieczeństwo (zarówno informacji jak i IT) te wymagania mogą być przerażające, ale nie są tak naprawdę niczym nowym. W Dyrektywie znajdziemy też „motywację” w postaci potencjalnych kar za niestosowanie się do wymogów, ale nie nimi powinniśmy się kierować dbając o bezpieczeństwo w naszej firmie, tylko przede wszystkim przeciwdziałaniem ataków i dobrym imieniem swoim oraz firmy. 

Po więcej informacji zapraszamy na naszego bloga: https://www.vol.com.pl/aktualnosci.

KW