Do 17 października 2024 r. organizacje muszą wdrożyć wymogi unijnej dyrektywy NIS2, która wprowadza szereg obowiązków w dziedzinie cyberbezpieczeństwa. Znacznie poszerza też zakres sektorów i podmiotów objętych regulacjami.
Czasu jest coraz mniej, a świadomość nowych wymagań wśród firm wciąż pozostaje niska. Tegoroczne badanie CSO Council W oczekiwaniu na NIS2: stan przygotowań wykazało, że aż 25% ankietowanych przedsiębiorców nie wie, czy podlega przepisom.
Czym jest NIS2? Sprawdź, czy Twój biznes musi zastosować się do jej założeń i dowiedz się, jak można ułatwić spełnienie wymogów nowej dyrektywy.
Czym jest dyrektywa NIS2 i jaki jest jej cel?
NIS2 (Network and Information Security Directive 2) to rozwinięcie dyrektywy NIS z 2016 r. – pierwszego europejskiego prawa dotyczącego cyberbezpieczeństwa.
Powstała w odpowiedzi na potrzebę dostosowania obecnych przepisów do dynamicznie ewoluującego krajobrazu cyberzagrożeń i coraz bardziej wyrafinowanych ataków. Celem NIS2 jest osiągnięcie wysokiego, wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej oraz wzmocnienie ochrony infrastruktury krytycznej i usług kluczowych dla społeczeństwa i gospodarki.
Najważniejsze aspekty NIS2
- Rozszerzony zakres – NIS2 obejmuje więcej sektorów gospodarki niż poprzednia dyrektywa, zwiększając ich liczbę z 7 do 18. W rezultacie dotyczy większej liczby branż i podmiotów.
- Nowe obowiązki – organizacje objęte regulacjami muszą wprowadzić minimalny zakres środków bezpieczeństwa, by zapewnić efektywne zarządzanie ryzykiem. Dodatkowo NIS2 zaostrza zasady zgłaszania incydentów.
- Kary i sankcje – dyrektywa jasno określa wysokość kar administracyjnych za uchylanie się od spełnienia wymogów. Mogą one sięgać nawet do 10 mln euro lub 2% łącznego rocznego obrotu.
Kogo dotyczą nowe przepisy?
NIS2 dzieli firmy podlegające regulacjom na podmioty kluczowe i ważne. Do pierwszej grupy należą te, których zakłócenie działalności, np. w wyniku cyberataku, może mieć poważne konsekwencje dla funkcjonowania społeczeństwa i gospodarki (np. energetyka, woda pitna, bankowość). Druga grupa obejmuje firmy o mniejszym, choć wciąż istotnym znaczeniu (np. usługi pocztowe, produkcja).
Jakie są zasady identyfikacji podmiotów?
Dyrektywa podaje następujące kryteria:
- Samoidentyfikacja: organizacja musi we własnym zakresie ocenić, czy podlega dyrektywie, i powiadomić o tym odpowiedni organ państwowy.
- Wielkość: przepisy dotyczą przedsiębiorstw średnich i dużych, czyli takich zatrudniających ponad 50 osób i osiągających roczne obroty lub sumę bilansową przekraczającą 10 mln euro.
- Obszar działalności: dyrektywie podlegają podmioty, które świadczą usługi na terytorium UE i działają w sektorach uznanych za niezbędne dla funkcjonowania gospodarki i społeczeństwa.
Nowa dyrektywa – nowe obowiązki
NIS2 wprowadza takie same minimalne wymogi bezpieczeństwa dla wszystkich podmiotów. Obowiązki wynikające z dyrektywy opisano ogólnie, co daje możliwość elastycznego doboru rozwiązań, które pomogą spełnić założenia. Dodatkowo każde państwo UE może narzucić własne regulacje – pod warunkiem, że będą nie mniej rygorystyczne niż te zawarte w NIS2.
Jakie środki zarządzania ryzykiem trzeba wprowadzić?
Dyrektywa skupia się nie tylko na technicznych i organizacyjnych aspektach bezpieczeństwa. Wymaga też, aby pracownicy byli świadomi zagrożeń i odpowiednio przeszkoleni. Środki zarządzania ryzykiem powinny być adekwatne do poziomu ryzyka i obejmować przynajmniej te obszary:
- Politykę analizy ryzyka – procedury w celu identyfikacji, analizy, oceny i minimalizacji ryzyka związanego z cyberbezpieczeństwem.
- Obsługę incydentu – procedury w celu wykrywania incydentów, reagowania na nie i zapobiegania im.
- Ciągłość działania – przywracanie normalnego funkcjonowania organizacji po wystąpieniu sytuacji kryzysowej, np. dzięki stosowaniu kopii zapasowych.
- Bezpieczeństwo sieci i systemów informatycznych – w procesie ich nabywania, rozwoju, utrzymania, a także postępowanie w przypadku wykrycia podatności.
- Bezpieczeństwo łańcucha dostaw – ustalenie wymogów stawianych podmiotom zewnętrznym przy współpracy.
- Bezpieczeństwo zasobów ludzkich, zarządzanie aktywami i kontrola dostępu.
- Procedury stosowania: kryptografii, szyfrowania, uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo, a także zabezpieczonych systemów łączności wewnętrznej, używanych w sytuacjach nadzwyczajnych.
- Cyberhigienę – wprowadzenie jej podstawowych praktyk oraz regularne szkolenia pracowników w zakresie cyberbezpieczeństwa.
Zgłaszanie incydentów
NIS2 zaostrza wymogi dotyczące zgłaszania incydentów. Każdy podmiot kluczowy musi być gotowy do szybkiego rozpoznawania incydentów cybernetycznych, reagowania na nie oraz do ich raportowania.
Najważniejszym obowiązkiem jest zgłaszanie poważnych incydentów – po ich wykryciu i bez zbędnej zwłoki – do odpowiedniego CSIRT (Computer Security Incident Response Team). W Polsce są to: CSIRT GOV, CSIRT NASK i CSIRT MON.
Wstępne zgłoszenie należy przesłać w ciągu 24 godzin od wykrycia naruszenia, a bardziej szczegółowe informacje – maksymalnie do 72 godzin. Nie później niż miesiąc po zgłoszeniu incydentu organizacja musi dostarczyć sprawozdanie końcowe. Dokument powinien zawierać opis przebiegu zdarzenia, rodzaj i przyczynę zagrożenia oraz podjęte środki zaradcze.
Kary administracyjne
Za nieprzestrzeganie przepisów NIS2 grożą sankcje prawne i finansowe. Sankcje prawne mogą obejmować np. nakazy zgodności, wdrażanie zaleceń z audytu bezpieczeństwa oraz obowiązek informowania klientów o zagrożeniach. Kary finansowe różnią się w zależności od kategorii, do której przynależy dana organizacja.
Podmioty kluczowe: co najmniej 10 mln euro lub 2% łącznego rocznego obrotu.
Podmioty ważne: co najmniej 7 mln euro lub 1,4% łącznego rocznego obrotu.
Konsekwencje, w tym finansowe oraz osobistą odpowiedzialność za brak zgodności, mogą ponieść także osoby pełniące funkcje zarządcze.
Bezpieczeństwo urządzeń mobilnych elementem zgodności z NIS2
Ważnym aspektem zarządzania ryzykiem w świetle NIS2 jest bezpieczeństwo sieci i systemów informatycznych. Wraz z postępem cyfryzacji biznesowe infrastruktury IT obejmują coraz szersze spektrum urządzeń – co odzwierciedlają nowe przepisy.
Jak dyrektywa definiuje „sieci i systemy informatyczne”? To nie tylko komputery stacjonarne i serwery, ale wszelkie urządzenia przetwarzające dane cyfrowe (rozdz. 1 art. 6). Wśród nich znajdują się więc także urządzenia mobilne: laptopy, telefony komórkowe, tablety oraz sprzęt wzmocniony.
Obecnie urządzenia mobilne to nieodzowne narzędzia do prowadzenia biznesu, umożliwiające pracownikom dostęp do aplikacji, danych i zasobów z dowolnego miejsca. Zgodnie z NIS2 muszą być zatem odpowiednio chronione – na równi z tradycyjnymi systemami IT. W realizacji tego zadania nieocenioną rolę pełnią zaawansowane rozwiązania do zarządzania mobilnością, takie jak Proget.
Jak Proget wspiera zgodność z dyrektywą NIS2?
Proget to platforma typu All-in-One, która centralizuje zarządzanie, monitorowanie i ochronę urządzeń mobilnych w biznesie. Pomaga ona administratorom IT spełniać wymagania NIS2, oferując szeroki wachlarz funkcjonalności w obszarach objętych dyrektywą.
Pełna widoczność i zgodność
NIS2 wymaga stałego monitorowania wszystkich urządzeń mobilnych przetwarzających firmowe dane oraz oceny ryzyka z nimi związanego. Konsola Proget zawiera kompleksowy spis sprzętu wdrożonego do systemu, dostarczając wiedzę na temat tego, kto i jakimi urządzeniami dysponuje. Ponadto rozwiązanie umożliwia bieżące śledzenie lokalizacji i stanu bezpieczeństwa urządzeń mobilnych, dzieląc je na zgodne i niezgodne z ustalonymi przez organizację zasadami.
Obsługa incydentów i działania prewencyjne
Dyrektywa nakazuje wprowadzenie skutecznych procedur w celu zapobiegania incydentom bezpieczeństwa, ich wykrywania oraz szybkiego reagowania na nie. Profil Mobile Threat Prevention w systemie Proget monitoruje urządzenia, aplikacje i sieci pod kątem potencjalnych zagrożeń. Pozwala też skonfigurować natychmiastowe, automatyczne reakcje w odpowiedzi na wykryte incydenty – na przykład próbę zainstalowania niebezpiecznej aplikacji. Natomiast gdy urządzenie zostanie zgubione lub skradzione, administrator może zdalnie je zablokować lub wyczyścić dane firmowe, chroniąc je przed nieuprawnionym dostępem.
Spójne i rygorystyczne zasady bezpieczeństwa
NIS2 obliguje firmy do opracowania i wdrożenia polityk bezpieczeństwa, w tym dla urządzeń mobilnych. To obejmuje także zasady codziennego korzystania ze sprzętu oraz metody jego zabezpieczania. Proget pozwala skonfigurować spójne polityki dla poszczególnych urządzeń lub grup (np. pracowników danego działu) oraz wymusić ich przestrzeganie. Polityki mogą narzucać między innymi konieczność ustawiania silnych haseł, wymuszone szyfrowanie oraz kontrolować dostęp do funkcji urządzenia, takich jak aparat czy mikrofon. To podejście minimalizuje ryzyko typowych niedopatrzeń w zakresie bezpieczeństwa, zapewniając zgodność z NIS2.
Efektywne zarządzanie aplikacjami
Ponieważ aplikacje mobilne często uzyskują dostęp do firmowych systemów informatycznych oraz danych, powinny być odpowiednio kontrolowane, gdyż mogą stać się źródłem zagrożenia dla bezpieczeństwa. Proget umożliwia tworzenie białych i czarnych list aplikacji, dzięki czemu blokuje instalowanie aplikacji z nieznanych źródeł i minimalizuje ryzyko zainstalowania złośliwego oprogramowania na urządzeniu. System zapewnia również regularne aktualizacje aplikacji, eliminując luki bezpieczeństwa wynikające z korzystania z przestarzałych, podatnych na cyberataki wersji.
Oddaj swoje dane w dobre ręce.
Podsumowanie
Chociaż wiele firm wdraża zasady i rozwiązania w zakresie cyberbezpieczeństwa głównie ze względu na regulacje prawne, niedługo rynek prawdopodobnie sam narzuci te standardy, reagując na dynamicznie rozwijające się zagrożenia. Bezpieczeństwo informacji stanie się kluczowym kryterium współpracy biznesowej, dlatego warto już teraz zacząć wprowadzać odpowiednie środki ochrony. Nawet jeśli Twoja firma nie jest bezpośrednio objęta dyrektywą NIS2, świadomość potencjalnych zagrożeń i proaktywne podejście do zabezpieczeń to inwestycja, która zapewni Twojej organizacji bezpieczeństwo i stabilność w przyszłości.