10 kluczowych kroków do uzyskania zgodności z NIS2 | Blog - Securivy
Bezpieczeństwo aplikacji, Bezpieczeństwo danych, Bezpieczeństwo sieci, Zarządzanie IT

10 kluczowych kroków do uzyskania zgodności z NIS2

Posted on by Securivy - Bezpieczeństwo i Outsourcing IT

Wstęp

W coraz dynamiczniej zmieniającym się środowisku internetowym, firmy i organizacje muszą być świadome rosnących zagrożeń w obszarze cyberbezpieczeństwa, a także sposobów reagowania na incydenty w przypadku wycieku wrażliwych danych czy złamania bezpiecznej granicy przechowywania informacji.

Najnowsze wymogi w sprawie środków cyberbezpieczeństwa, czyli Dyrektywa NIS2, Art. 21 to zestaw wytycznych, które mają za zadanie ujednolicić praktyki dotyczące wysokiego wspólnego poziomu cyberbezpieczeństwa w krajach na terenie Unii Europejskiej. Są one odpowiedzią na znacząco zwiększoną częstotliwość i powagę ataków na infrastruktury informatyczne w ciągu ostatnich lat.

Państwa członkowskie zapewniają, aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu. – Dyrektywa NIS2, Artykuł 21.

W zestawieniu z poprzednią dyrektywą – NIS1 z 2016 r., NIS2 jako jej nowelizacja w istotny sposób poszerza zakres wymogów, ale także wyznacza bardzo konkretne kroki, które należy podjąć w celu uzyskania powołanej zgodności z nowymi przepisami.  

NIS2 weszła w życie już 16 stycznia 2023, jednak ostatecznym terminem na uzyskanie zgodności z nią jest 17 października 2024. W naszym poradniku dowiesz się jakie są podmioty kluczowe w kontekście wymagań z NIS2 (a więc czy Twoja firma także musi zastosować się do wytycznych), zapoznasz się z etapami jakie musisz przejść na drodze uzyskiwania zgodności z NIS2, dowiesz się jakie kary pieniężne i inne sankcje są przewidziane za niedotrzymanie obowiązków oraz poznasz Ekran System – rozwiązanie, które pozwoli Ci przejść wszystkie te kroki spokojnie i bez obawy o pominięcie czegoś istotnego. Pamiętaj jednak, że nawet jeśli charakter Twojej firmy nie kwalifikuje jej do grupy najważniejszych sektorów wdrożenia, stosowanie praktyk w obszarze cyberbezpieczeństwa powinno być dla Ciebie priorytetem. Poznaj więc sposoby jak możesz to zrobić.

Definicja Dyrektywy NIS2 oraz termin jej implementacji

Najważniejsze aspekty NIS2 w skrócie

Istotą NIS2 jest wprowadzenie bardzo konkretnych regulacji, które rozwiniemy w artykule. Wśród nich możemy wymienić:

  • uspójnienie reguł co do identyfikacji podmiotów – bardzo jasne wytyczne dotyczące zarówno wielkości przedsiębiorstwa, jak i jego dochodów rocznych
  • wprowadzenie dwóch kategorii podmiotów włączonych w nowe zasady – grupa kluczowa oraz grupa ważna
  • określenie minimalnego zakresu podjętych środków bezpieczeństwa, które będą koniecznie do wdrożenia
  • wytyczenie ścieżki postępowania w przypadku raportowania incydentów
  • zapewnienie kar finansowych i konsekwencji dla osób decyzyjnych w firmach

Kogo dotyczy Dyrektywa NIS2 – krytyczność sektora i wielkość firmy 

Przy najnowszej dyrektywie nastąpiło także zaktualizowanie wykazu sektorów, które zostaną włączone do odpowiedzialności zapewnienia wysokiego poziomu cyberbezpieczeństwa. Obecnie jest ich 18, natomiast w NIS1 było ich zaledwie 7. Kryteria identyfikacji podmiotów kluczowych dla NIS2 odnoszą się do krytyczności sektorów, ale także ich wielkości.

Wyróżniamy dwie grupy sektorów działających na terytorium Unii, które muszą osiągnąć zgodność z NIS2, a więc są uwzględnione w krajowym systemie cyberbezpieczeństwa.

Kluczowe podmioty lub podmioty działające w sektorach o wysokim stopniu krytyczności

  • sektor energetyczny
  • transport
  • rynki finansowe
  • bankowość
  • opieka zdrowotna
  • dystrybucja wody pitnej
  • oczyszczalne ścieków
  • infrastruktura cyfrowa
  • zarządzanie usługami ICT (B2B)
  • administracja publiczna
  • przemysł kosmiczny

Ważne podmioty lub podmioty działające w innych krytycznych sektorach

  • usługi pocztowe i kurierskie
  • gospodarowanie odpadami
  • produkcja, wytwarzanie i dystrybucja chemikaliów
  • produkcja, przetwarzanie i dystrybucja żywności
  • przemysł
  • dostawcy usług cyfrowych
  • organizacje badawcze

Bardzo istotne jest także to, że Dyrektywa NIS2 ma zastosowanie w przypadku każdego podmiotu świadczącego usługi krytyczne w całej Unii, niezależnie od jego geograficznej lokalizacji. Jeśli więc Twoje przedsiębiorstwo nie jest fizycznie zlokalizowane w UE, nadal może podlegać NIS2.

Wielkość firmy także odgrywa główną rolę w identyfikacji. Pamiętaj, że przepisom NIS2 podlegają wyłącznie duże i średnie przedsiębiorstwa.

Tabela z progami wielkości dla kluczowych i ważnych podmiotów podlegających NIS2

Podmioty traktowane jako wyjątki, których dotyczy NIS2

Organizacje zatrudniające mniej niż 50 pracowników lub mające roczny obrót poniżej 10 milionów euro nie podlegają przepisom NIS2, chyba że zostaną uznane za organizacje o krytycznym znaczeniu dla społeczeństwa.

Artykuł 2 dyrektywy zawiera między innymi listę takich wyjątków, niezależnie od wielkości firmy. Podmioty te mogą więc być postrzegane w kategoriach operatorów usług kluczowych bądź jako podmioty ważne, jeśli:

  • usługi świadczone przez dany podmiot odbywają się za pośrednictwem:
    • dostawców publicznych sieci łączności elektronicznej lub dostawców publicznie dostępnych usług łączności elektronicznej,
    • dostawców usług zaufania,
    • rejestrów nazw domen najwyższego poziomu oraz dostawców usług systemów nazw domen;
  • podmiot jest jedynym w danym państwie członkowskim dostawcą usługi, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej;
  • zakłócenie usługi świadczonej przez podmiot mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne;
  • zakłócenie usługi świadczonej przez podmiot mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny;
  • podmiot ma charakter krytyczny ze względu na jego szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi lub dla innych współzależnych sektorów w państwie członkowskim;
  • podmiot jest podmiotem administracji publicznej
    • na poziomie rządu centralnego, zdefiniowanym przez państwo członkowskie, lub
    • na poziomie lokalnym, zdefiniowanym przez państwo członkowskie zgodnie z prawem krajowym, który zgodnie z oceną opartą na analizie ryzyka świadczy usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczną działalność społeczną lub gospodarczą;
  • podmiot zidentyfikowany został jako krytyczny (zgodnie z procedowaną dyrektywą ws. odporności podmiotów krytycznych);
  • podmiot świadczy usługi rejestracji nazw domen (domain name registration services);
  • opcjonalnie (do decyzji państw członkowskich):
    • podmiot jest organem administracji publicznej na poziomie lokalnym;
    • podmiot jest instytucją edukacyjną, zwłaszcza gdy prowadzi działalność badawczą o krytycznym znaczeniu.

Kluczowe obszary wymagań z NIS2 

NIS2 określa także bardzo jasne wytyczne odnośnie obszarów, które muszą koniecznie podlec regulacjom. Są nimi:

  • ocena oraz zarządzanie ryzykiem
  • integralność danych
  • umiejętność zarządzania i zgłaszania incydentów
  • ciągłość działania
  • bezpieczeństwo sieci i systemów informatycznych
  • bezpieczeństwo łańcucha dostaw

Konsekwencje i kary związane z nieprzestrzeganiem przepisów NIS2 

W przypadku niedopełnienia obowiązku dostosowania infrastruktury IT pod najnowsze wytyczne, firma poniesie nie tylko kary finansowe, ale także konsekwencje związane z utratą wizerunku przedsiębiorstwa. W przypadku kar finansowych mowa tu w szczególności o grzywnach w wysokości do 10 milionów euro lub co najmniej 2% całkowitego rocznego światowego obrotu w przypadku podmiotów kluczowych, a także grzywnach w wysokości do 7 milionów euro lub co najmniej 1,4% całkowitego rocznego światowego obrotu w przypadku podmiotów ważnych.

Jeśli chodzi zaś o inne konsekwencje dotyczące menadżerów najwyższego szczebla, mogą nimi być:

  • zawieszenia certyfikatów i autoryzacji oraz wszelkich zezwoleń na usługi świadczone przez organizację
  • zakaz pełnienia funkcji zarządczych dla każdej osoby decyzyjnej odpowiedzialnej za naruszenia
  • podanie do informacji publicznej danych osób odpowiedzialnych za złamanie dyrektywy oraz szczegółów nieprzestrzegania jej przez organizację
Kary w przypadku niespełnienia wymagań NIS2

Wymagania NIS2 a funkcjonalności Ekran System

Zgodnie z NIS2 podmioty muszą wdrożyć 10 praktyk w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych do świadczenia ich podstawowych i ważnych usług. Nie jest to łatwe, mając na uwadze brak odpowiednich rozwiązań, które mogą zapewnić zgodność bez konieczności sięgania po wiele różnych narzędzi.

Z pomocą więc przychodzi Ekran System – platforma do zarządzania pełnym cyklem ryzyka wewnętrznego. Jej celem jest powstrzymywanie, wykrywanie i zapobieganie zagrożeniom wewnętrznym. Dzięki wyposażeniu w bogaty zestaw narzędzi, może skutecznie pomóc Twojej organizacji zwiększyć poziom cyberbezpieczeństwa i wdrożyć większość wymagań NIS2.

Kroki zarządzania zagrożenia wewnętrznymi w zgodzie z NIS2

Przechodząc do szczegółowego zestawienia, postaramy się jak najklarowniej określić wszystkie wymogi NIS2 przy jednoczesnym odniesieniu ich do możliwości jakie daje Ekran System.

Wymóg 1 – Analiza ryzyka i bezpieczeństwo systemów informacyjnych

Dzięki Ekran System możesz:

  • Zarządzać ryzykiem cyberbezpieczeństwa dzięki możliwościom zarządzania zagrożeniami wewnętrznymi Ekran System.
  • Zwiększać widoczność i wykrywać cyberzagrożenia dzięki ciągłemu monitorowaniu aktywności użytkowników.
  • Egzekwować polityki kontroli dostępu, zarządzać dostępem użytkowników na poziomie szczegółowym i monitorować aktywność uprzywilejowanych użytkowników.

Wymóg 2 – Obsługa incydentów i działania w zakresie raportowania incydentów

Dzięki Ekran System możesz:

  • Zarządzać zagrożeniami w czasie rzeczywistym, poprzez szybką identyfikację i reakcję na incydenty bezpieczeństwa.
  • Przeglądać szczegółowe nagrania sesji użytkowników, aby odtworzyć łańcuch zdarzeń.
  • Dostarczać organom zarządzającym kompleksowy dziennik audytu dzięki funkcjonalności audytu i raportowania Ekran System.
  • Eksportować dowody cyberbezpieczeństwa do celów sądowych.
Etapy postępowania z incydentami cyberbezpieczeństwa wg NIST

Istnieją także wymogi dotyczące odstępów czasowych w zakresie zgłaszania incydentów, które bezpośrednio wskazują na zdolność reagowania danego podmiotu.

Według Artykułu 23 dyrektywy, podmioty kluczowe i ważne muszą powiadomić odpowiednie jednostki w przypadku wystąpienia incydentu bezpieczeństwa:

• Narodowe Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) lub inne właściwe organy państw członkowskich, w Polsce jest to NASK CSIRT

• Odbiorców usług, jeśli incydent może negatywnie wpłynąć na świadczenie tych usług (w odpowiednich przypadkach)

• Podmioty dotknięte istotnym zagrożeniem (w odpowiednich przypadkach)

Wymogi czasowe raportowania incydentów cyberbezpieczeństwa zgodnie z NIS2

Wymóg 3 – Ciągłość działania

Dzięki Ekran System możesz:

  • Szybko wykrywać zagrożenia bezpieczeństwa, które mogą potencjalnie prowadzić do kryzysu. Jest to możliwe dzięki alertom w czasie rzeczywistym dotyczącym aktywności użytkowników.
  • Wykorzystywać nagrania sesji i dzienniki aktywności użytkowników do oceny wpływu na systemy i dane oraz do opracowywania planów i procedur odzyskiwania.
  • Zmniejszać ryzyko nieautoryzowanej aktywności, która może zakłócać działalność biznesową, przejmując kontrolę nad uprawnieniami dostępu w Twojej infrastrukturze IT.
  • Ułatwiać komunikację, poprzez dostarczanie dokładnych i szczegółowych informacji o kryzysie i jego skutkach.
  • Przywracać dziennik audytu swojej organizacji i kontynuować monitorowanie i rejestrowanie aktywności użytkowników w przypadku awarii serwera dzięki trybom Wysokiej Dostępności oraz Disaster Recovery Ekran System.

Wymóg 4 – Ocena skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie

Dzięki Ekran System możesz:

  • Wykorzystywać dziennik audytu generowany przez Ekran System potrzebny do oceny działania środków cyberbezpieczeństwa w Twojej organizacji.
  • Monitorować, czy Twoi pracownicy i inni użytkownicy przestrzegają polityk bezpieczeństwa danych i innych zasad cyberbezpieczeństwa w Twojej organizacji.

Wymóg 5 – Bezpieczeństwo łańcucha dostaw

Dzięki Ekran System możesz:

  • Monitorować aktywność dostawców zewnętrznych, partnerów i innych podmiotów w łańcuchach dostaw, którzy mają dostęp do Twojej infrastruktury.
  • Weryfikować i zarządzać tożsamościami członków łańcucha dostaw, którzy mają dostęp do Twojej infrastruktury dzięki świadczeniu usług.
  • Zabezpieczać połączenia RDP do swojego środowiska i wykrywać nieautoryzowany dostęp oraz kradzież danych lub jakiekolwiek zachowania zdalnego użytkownika wskazującego na potencjalne zagrożenie wewnętrzne.
  • Chronić dostęp do wrażliwych danych i kluczowych systemów, poprzez przekazywanie dostawcom zewnętrznym jednorazowych haseł i ograniczanie czasu ich sesji w Twojej infrastrukturze IT.
  • Zwiększać bezpieczeństwo łańcucha dostaw, dzięki opcjonalnej instalacji Ekran System na końcówkach dostawców zewnętrznych.

Wymóg 6 – Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa

Dzięki Ekran System możesz:

  • Uzyskiwać widoczność działań i zachowań użytkowników, aby zidentyfikować i rozwiązać wszelkie braki w podstawowych praktykach higieny cybernetycznej i wykrywać naruszenia polityki.
  • Monitorować działania użytkowników podczas testów penetracyjnych, aby dostarczyć użytkownikom ukierunkowane informacje zwrotne i promować przestrzeganie najlepszych praktyk w zakresie cyberbezpieczeństwa.
  • Wykorzystywać nagrane sesje użytkowników do opracowywania materiałów i studiów przypadków dla inicjatyw szkoleniowych z zakresu świadomości cyberbezpieczeństwa.
  • Kształtować nawyki cyberbezpieczeństwa użytkowników, wyświetlając komunikaty ostrzegawcze w odpowiedzi na zabronione działania.

Wymóg 7 – Polityki i procedury dotyczące stosowania kryptografii i szyfrowania

Dzięki Ekran System możesz:

  • Wykorzystywać szyfrowanie danych monitorowania aktywności użytkowników, połączeń i innych wrażliwych rekordów Ekran System.
  • Zabezpieczać hasła i poświadczenia użytkowników Twojej organizacji za pomocą algorytmów SHA-256 i AES-256.
  • Szyfrować wyeksportowane dane sesji użytkowników za pomocą RSA-1024, aby zapobiec jakimkolwiek zmianom w dowodach sądowych.
  • Wykorzystywać certyfikowane szyfrowanie FIPS 140-2 wszystkich nazw użytkowników i aliasów za pomocą funkcji anonimizacji danych Ekran System.

Wymóg 8 – Stosowanie uwierzytelniania wieloskładnikowego lub ciągłego

Dzięki Ekran System możesz:

  • Zmniejszać ryzyko nieautoryzowanego dostępu i kompromitacji konta dzięki uwierzytelnianiu dwuskładnikowemu.
  • Wykorzystywać możliwości zarządzania hasłami i tożsamością Ekran System do ustanowienia bezpiecznego procesu żądania i zatwierdzania dostępu oraz do zwiększenia procedur uwierzytelniania w Twojej organizacji.
  • Zintegrować Ekran System z Active Directory i systemami obsługi zgłoszeń (Help-Desk).

Wymóg 9 – Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobami

Dzięki Ekran System możesz:

  • Zapewniać bezpieczeństwo zasobów ludzkich, wykrywając i badając wszelkie nieautoryzowane lub podejrzane działania prowadzone przez pracowników.
  • Kontrolować dostęp do wrażliwych zasobów i wdrażać zasadę najmniejszych uprawnień za pomocą funkcji zarządzania uprzywilejowanym dostępem Ekran System.
  • Rejestrować interakcje użytkowników z kluczowymi zasobami i systemami, aby zapewnić śledzenie zasobów, odpowiedzialność i ochronę.

Wymóg 10 – Bezpieczeństwo w pozyskiwaniu, rozwoju i utrzymaniu systemów sieciowych i informacyjnych, w tym zarządzanie podatnościami i ich wykrywanie

Aby spełnić ten wymóg, warto rozważyć zabezpieczenie systemów IT na każdym etapie ich cyklu życia. Celem jest zapewnienie, by system informacyjny był chroniony przez cały czas, minimalizując podatności i ryzyko.

Gwarantowanie takiej ochrony wymaga wdrożenia odpowiednich środków ostrożności, tj.:

  • zabezpieczanie procesu pozyskiwania, czyli dokładna ocena produktów i usług dostawców usług cyfrowych podczas ich wyboru, a także dopilnowanie, by wymagania bezpieczeństwa były zgodne z polityką wewnętrzną Twojej firmy;
  • aktualizowanie systemów informatycznych, tzn. ustanowienie konkretnego procesu zarządzania aktualizacjami tak, aby radzić sobie z podatnościami dzięki regularnym aktualizacjom;
  • wprowadzanie bezpieczeństwa w procesie rozwoju, czyli przyjęcie standardów oraz praktyk programowania w celu eliminacji ryzyka bezpieczeństwa podczas rozwoju oprogramowania zarówno z Twojej strony, jak i dostawców zewnętrznych;
  • wdrożenie ciągłego monitoringu, czyli zastosowanie mechanizmów monitorowania w celu wykrywania i reagowania na incydenty w czasie rzeczywistym;
  • rozwijanie procesu ujawniania słabości systemów, tzn. ustanowienie polityki ujawniania podatności (VDP), aby zachęcać i ułatwiać odpowiedzialne zgłaszanie słabych punktów bezpieczeństwa systemów, aplikacji czy sieci.  

Podsumowanie

Przeszliśmy przez wszystkie aspekty potrzebne do zrozumienia czym charakteryzuje się nowa Dyrektywa NIS2 w państwach członkowskich oraz jakie prezentuje kroki, niezbędne do podjęcia działań w kierunku uzyskania ochrony w dziedzinie cyberbezpieczeństwa. Jeśli Twoja firma znajduje się w sektorze kluczowym lub ważnym, wypełnienie luk między obecnym stanem zabezpieczeń a pożądanym będzie teraz dla Ciebie priorytetem. Aby nie stresować się zbliżającym się terminem wejścia w życie dyrektywy, najrozsądniej jest zacząć realizować opisane przez nas kroki już dziś, aby do października zdążyć je wdrożyć.

W zależności od Twojego aktualnego poziomu zgodności z wymogami, możesz potrzebować pomocy technicznej i solidnego rozwiązania jakim może być Ekran System wraz z całym wachlarzem możliwości zarządzania zagrożenia wewnętrznymi opisanych w artykule.

Skontaktuj się z nami, aby omówić możliwości Ekran System w zakresie zgodności z regulacjami i przetestuj produkt w ramach bezpłatnego 30-dniowego okresu próbnego. Możesz również otrzymać bezpłatny dostęp do portalu demonstracyjnego online, który pozwoli Ci sprawdzić wszystkie funkcje Ekran System.

Pamiętaj, że nawet jeśli ustawa o krajowym systemie cyberbezpieczeństwa nie dotyczy bezpośrednio Twojej firmy, przed Tobą stoi także szereg potencjalnych zagrożeń, którym możesz zacząć przeciwdziałać już dziś!

5/5 - (1 vote)
Paweł Chudziński
Securivy - Bezpieczeństwo i Outsourcing IT

Jesteśmy młodym zespołem, dla którego priorytetem jest bezpieczeństwo oraz satysfakcja klienta. Securivy to innowacyjne podejście, elastyczność oraz powiew świeżości w świecie IT.