Audyt NIS2 – Jakie środki techniczne są wymagane?

Czym jest Dyrektywa NIS2?

Dyrektywa NIS2 (ang. Network and Information Security Directive 2) to kolejna ważna regulacja Unii Europejskiej, która wprowadza nowe wymagania w zakresie cyberbezpieczeństwa. Celem tej dyrektywy jest zwiększenie odporności systemów informacyjnych w kluczowych sektorach gospodarki, w tym w sektorze finansowym, energetycznym, zdrowotnym czy telekomunikacyjnym. NIS2 stanowi rozwinięcie obowiązującej obecnie dyrektywy NIS i staje się aktualnie tematem nr 1 w IT (oraz na styku IT i biznesu).

Nowe regulacje kładą szczególny nacisk na ochronę systemów i sieci, na które wpływ mogą mieć cyberataki lub inne zagrożenia informatyczne. W odróżnieniu od NIS, która obejmowała jedynie wąską grupę sektorów, dyrektywa NIS2 rozszerza zakres na większą liczbę podmiotów i wprowadza bardziej szczegółowe wymogi dotyczące zarządzania ryzykiem oraz reagowania na incydenty. Organizacje objęte zakresem dyrektywy NIS2 muszą teraz spełniać wyższe standardy bezpieczeństwa, a ich nieprzestrzeganie może skutkować dotkliwymi sankcjami, w tym karami finansowymi.

Obejrzyj panel Q&A, gdzie wspólnie z prawnikiem z Kancelarii Prawnej GFP – Piotrem Grzelczakiem – odpowiadamy na pytania dotyczące implementacji NIS2:

Główne wymagania zarządzania bezpieczeństwem, jakie nakłada NIS2:

Wymagania, jakie stawia NIS2 dotyczą m.in. zarządzania bezpieczeństwem, minimalizując ryzyko oraz zwiększając odporność na cyberzagrożenia. Oto główne wymagania zarządzania bezpieczeństwem, jakie nakłada NIS2:

1. Zarządzanie ryzykiem i bezpieczeństwem: Organizacje muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu zarządzania ryzykiem związanym z cyberbezpieczeństwem. Obejmuje to identyfikację zagrożeń, wdrażanie odpowiednich mechanizmów ochrony oraz regularne oceny ryzyka.
2. Bezpieczeństwo łańcucha dostaw: Firmy muszą zapewnić bezpieczeństwo również na poziomie łańcucha dostaw, monitorując bezpieczeństwo swoich dostawców, zwłaszcza tych odpowiedzialnych za kluczowe zasoby i usługi.
3. Wykrywanie i reagowanie na incydenty: Organizacje muszą posiadać rozwiązania umożliwiające szybkie wykrywanie incydentów bezpieczeństwa oraz sprawne zarządzanie nimi. Konieczne jest również wprowadzenie odpowiednich procedur umożliwiających analizę, usuwanie skutków oraz raportowanie incydentów do CSIRT’ów.
4. Raportowanie incydentów: Przedsiębiorstwa objęte dyrektywą mają obowiązek zgłaszania do CSIRT incydentów charakteryzujących się znacznym wpływem na bezpieczeństwo operacyjne. Raportowanie powinno być zgodne z ustalonymi terminami i procedurami, aby umożliwić szybkie reagowanie i koordynację działań na poziomie krajowym i unijnym.
5. Zarządzanie ryzykiem kadrowym: Pracownicy muszą być odpowiednio przeszkoleni w zakresie bezpieczeństwa, a dostęp do kluczowych systemów powinien być ograniczony do odpowiednich osób. Dyrektywa zaleca także implementację procedur weryfikacyjnych i kontrolnych.
6. Współpraca z organami nadzoru i raportowanie: Organizacje muszą współpracować z organami nadzoru w zakresie zarządzania bezpieczeństwem oraz dostarczania informacji na temat stanu bezpieczeństwa (na żądanie).
7. Zarządzanie ciągłością działania: Firmy muszą opracować i utrzymywać plany ciągłości działania oraz plany Disaster Recovery na wypadek awarii, aby minimalizować skutki incydentów i sprawnie przywracać do działania operacje biznesowe.

Dyrektywa NIS2 wprowadza także rozszerzenie odpowiedzialności zarządu, który jest zobowiązany do nadzorowania polityki cyberbezpieczeństwa w organizacji oraz zapewnienia odpowiednich zasobów i wsparcia dla zespołów IT, a także jednostek odpowiedzialnych za bezpieczeństwo.

Podmioty objęte regulacją NIS2

Dyrektywa NIS2 obejmuje swoim zakresem dwie kategorie podmiotów: podmioty kluczowe i podmioty ważne. Podmioty kluczowe to te, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki. Podmioty ważne to te, które również odgrywają istotną rolę w społeczeństwie i gospodarce, ale nie są kluczowe.

Jakie środki techniczne wymagane?

Aby sprostać wymogom NIS2, firmy muszą wdrożyć odpowiednie środki techniczne i organizacyjne. Dyrektywa nie precyzuje konkretnych produktów i procedur, ale wskazuje metodę ich doboru. Wprowadzone środki zarządzania ryzykiem w cyberbezpieczeństwie powinny być:

1. Proporcjonalne,
2. Uwzględniające stopień narażenia na ryzyko,
3. Uwzględniające wielkość podmiotu,
4. Uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.

Chociaż dyrektywa nie precyzuje określonych rozwiązań, to wskazuje jednak kluczowe obszary, które powinny zostać zaopiekowane.

Zapewnienie bezpieczeństwa sieci i systemów informatycznych

Podmioty objęte regulacją NIS2 muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić bezpieczeństwo sieci i systemów informatycznych. Może to obejmować zaktualizowane systemy zabezpieczeń, lepsze procedury autoryzacji i autentykacji, zaawansowane rozwiązania do wykrywania i reagowania na incydenty, a także regularne aktualizacje oprogramowania.

Zarządzanie ryzykiem i oceną zagrożeń

Podmioty, zarówno podmioty kluczowe i ważne objęte regulacją NIS2 muszą przeprowadzić ocenę ryzyka cyberbezpieczeństwa, aby zidentyfikować potencjalne słabości w systemach i infrastrukturze. To również czas na zrozumienie, jakie dane są najbardziej narażone i jakie konsekwencje mógłby przynieść ich wyciek lub utrata.

• Inwentaryzacja zasobów – spis systemów i zasobów IT z przyporządkowanymi typami danych, ich istotnością dla ciągłości działania oraz oceną skutków w przypadku incydentu bezpieczeństwa.
• Ocena ryzyka – regularna analiza zagrożeń i ocena ryzyka w celu identyfikacji potencjalnych słabości.
• Kontrola ryzyka – wdrożenie środków zarządzania ryzykiem, takich jak minimalizacja dostępu do krytycznych zasobów.

Zapewnienie bezpieczeństwa sieci i systemów informatycznych

• Zapora sieciowa (firewall) – kontrola ruchu w sieci i zapobieganie nieautoryzowanemu dostępowi.
• Systemy wykrywania włamań (IDS/IPS) – monitorowanie sieci i wykrywanie niepożądanej aktywności.
• Segmentacja sieci – podzielenie sieci na mniejsze, zabezpieczone segmenty dla ograniczenia dostępu.

Poniżej znajduje się lista sugerowanych środków technicznych, które organizacje powinny uwzględnić w swoich strategiach cyberbezpieczeństwa:

Mechanizmy szyfrowania i ochrony danych

Podmioty objęte regulacją NIS2 powinny wdrożyć mechanizmy szyfrowania i ochrony danych, aby chronić dane przed nieuprawnionym dostępem. To może obejmować szyfrowanie danych w trakcie transmisji i przechowywania, a także stosowanie procedur bezpieczeństwa, takich jak autoryzacja i autentykacja.

• Szyfrowanie danych – zabezpieczenie wrażliwych danych w transporcie i w przechowywaniu.
• Ochrona danych osobowych – zgodność z RODO i zabezpieczenie danych wrażliwych, a także informowanie odpowiednich organów o incydentach cyberbezpieczeństwa zgodnie z dyrektywą NIS2.

Zarządzanie tożsamością i dostępem

Podmioty objęte regulacją NIS2 powinny wdrożyć systemy zarządzania tożsamością i dostępem, aby kontrolować dostęp do systemów i danych. To może obejmować procedury autoryzacji i autentykacji, a także stosowanie mechanizmów kontroli dostępu, takich jak role-based access control (RBAC).

• Silne uwierzytelnianie – wymaganie wieloskładnikowego uwierzytelniania (MFA) dla krytycznych systemów.
• Kontrola dostępu – przyznawanie dostępu zgodnie z zasadą najmniejszego uprawnienia.
• Usługi katalogowe – zarządzanie tożsamością i dostępem do zasobów.

Bezpieczeństwo aplikacji

• Regularne testowanie aplikacji – testy penetracyjne i skanowanie aplikacji pod kątem luk w zabezpieczeniach. Narzędzia do testowania bezpieczeństwa oferują szerokie możliwości w identyfikacji i eliminacji zagrożeń, co jest kluczowe dla ochrony przed atakami.
• Bezpieczny cykl życia oprogramowania (SDLC) – wdrażanie zasad bezpiecznego tworzenia, testowania i wdrażania oprogramowania.

Kopie zapasowe i ciągłość działania po awarii

• Regularne tworzenie kopii zapasowych – kopie zapasowe danych i systemów krytycznych przechowywane w bezpiecznym miejscu. W firmie odpowiedzialność za utrzymanie planów tworzenia kopii zapasowych i ich regularne aktualizowanie spoczywa na kierownictwie, które powinno zapewnić zgodność z obowiązującymi wymogami NIS2.
• Plany przywracania danych po incydencie – procedury przywracania systemów do działania po awarii lub cyberataku.

Monitorowanie i reagowanie na incydenty bezpieczeństwa

• Systemy SIEM (Security Information and Event Management) – monitorowanie i analizowanie zdarzeń związanych z bezpieczeństwem.
• Centra operacji bezpieczeństwa (SOC) – zespoły odpowiedzialne za monitorowanie i reagowanie na incydenty oraz zgłaszanie poważnych incydentów cyberbezpieczeństwa do właściwego organu.

Szkolenia z zakresu cyberbezpieczeństwa

• • Szkolenia dla pracowników – regularne szkolenia, które zwiększają świadomość na temat cyberzagrożeń, dobrych praktyk bezpieczeństwa i procedur reagowania na incydenty.

Podsumowując

Dyrektywa NIS2 nie tylko wyznacza standardy zgodności, lecz także skłania organizacje do głębszej analizy i optymalizacji własnych środowisk IT pod kątem bezpieczeństwa. Dostosowanie się do nowych wymogów to szansa na wzmocnienie nie tylko samej infrastruktury, lecz również całej strategii biznesowej. Warto pamiętać, że cyberzagrożenia ewoluują szybko, a incydent bezpieczeństwa może mieć bezpośredni wpływ na reputację, zaufanie klientów, a nawet stabilność finansową organizacji.

W obliczu wzmożonych regulacji i narastających zagrożeń warto, by każdy podmiot traktował burzę wokół NIS2, jako okazję i inspirację do ciągłego doskonalenia swojej strategii cyberbezpieczeństwa oraz systemu zarządzania bezpieczeństwem informacji w pełnej korelacji z faktycznymi potrzebami biznesu.