Dyrektywa NIS2 – sprawdź, czy Twoja firma jest gotowa na wdrożenie

Od stycznia 2023 roku obowiązuje dyrektywa NIS2, która aktualizuje i rozszerza unijne przepisy cyberbezpieczeństwa NIS z 2016 roku. Dokument sprzed siedmiu lat skupiał się na współpracy międzynarodowej, krajowej oraz wprowadzeniu obowiązkowego raportowania incydentów i zarządzania ryzykiem dla operatorów i dostawców usług kluczowych. NIS2 znacznie rozszerza obowiązujące dotychczas zapisy, obejmując wymaganiami coraz więcej sektorów. Z doświadczeń dotyczących wdrożeń przepisów ustawy o krajowym systemie cyberbezpieczeństwa wynika, że wprowadzenie zmian może zająć nawet kilkanaście miesięcy. Jakie działania należy podjąć?

Dyrektywa NIS2 objęła swoim zasięgiem 11 sektorów:

• energetykę,
• transport,
• bankowość,
• infrastrukturę rynku finansowego,
• ochronę zdrowia,
• wodociągi,
• spółki wodno-kanalizacyjne,
• infrastrukturę cyfrową,
• administrację publiczną,
• przestrzeń kosmiczną,
• produkcję żywności.

Firmy działające we wskazanych obszarach zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa oraz przeciwdziałaniu zagrożeniom. Przepisy dyrektywy określają jednocześnie „niezbędne minimum” środków, które muszą zostać podjęte przez każdy podmiot. W tym m.in.: prowadzenie analizy ryzyka, zapewnienie bieżącej obsługi incydentów, czy korzystanie z kryptografii i szyfrowania.

„Dyrektywa NIS2 nakłada bardzo duże wymagania na nowe sektory, które nie były wcześniej objęte dyrektywą. Podmioty, które znalazły się na nowej liście, objętej regulacjami, często mają niższy poziom dojrzałości cyberbezpieczeństwa. Nie miały wcześniej ustawowego obowiązku zabezpieczenia infrastruktury IT. Warto podkreślić, że obecnie wypracowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa schematy w zakresie NIS2 to ogólny spis podstawowych wytycznych budowania bezpieczeństwa systemów teleinformatycznych. Brak więc specjalistycznych wymagań sektorowych, które w tym przypadku byłyby potrzebne. Przykładowo przedsiębiorstwa powinny zarządzać podatnościami systemów informatycznych, ale poprawne ułożenie procesów i technologii, uwzględniając specyfikę infrastruktury organizacji, to niełatwe zadanie. Warto więc powierzyć zadanie dostosowania zabezpieczeń do nowych wymogów doświadczonemu partnerowi, który kompleksowo zadba o cyberbezpieczeństwo firmy” – mówi Jakub Suchorab, Euvic Solutions.

Czytaj też >> Raport: inwazja hakerów. Firmy zbroją się na potęgę i testują swoje systemy bezpieczeństwa

Ważnym obowiązkiem jest raportowanie zdarzeń zagrażających bezpieczeństwu. Istniał on już na gruncie dyrektywy NIS, ale w projekcie NIS2 cała procedura jak i konsekwencje niedostosowania się zostały uregulowane w bardziej precyzyjny sposób. Za nieprzestrzeganie przepisów grożą kary sięgające nawet 10 milionów euro [1]. Ograniczenie ilości zdarzeń jest możliwe dzięki skutecznemu monitorowaniu i zarządzaniu podatnościami w organizacji.

Podatności w organizacjach

Luki w zabezpieczeniach zwiększają ryzyko wystąpienia niepożądanego zdarzenia lub celowego ataku. Wraz z ewolucją cyfrowych rozwiązań, pojawiają się nowe, newralgiczne punkty, na które należy zwrócić szczególną uwagę. Ważne jest, aby do bezpieczeństwa i kondycji systemów firmowych podchodzić z rezerwą. Zbyt duża pewność w działaniu może narazić przedsiębiorstwo na cyberzagrożenia.

Podatności mogą dotyczyć zarówno sprzętu, oprogramowania jak i sieci. Słabe szyfrowanie, niewystarczające testy, czy niezabezpieczone linie komunikacyjne stanowią duże ryzyko cyberataku. Warto dodać, że istotnym aspektem jest również czynnik ludzki. Niska świadomość i rzadkie szkolenia personelu, niepoprawne zarządzanie hasłami lub brak audytu narażają organizację na powstawanie luk w zabezpieczeniach. Podczas gdy 76 proc. organizacji doświadczyła wzrostu liczby podatności w ciągu ostatnich 12 miesięcy, tylko jedna trzecia spodziewa się zwiększenia liczby pracowników zajmujących się zarządzaniem nimi [2].

„Z raportu „2022 Vulnerability Management Report” przygotowanego przez Cybersecurity Insiders wynika że 71 proc. organizacji posiada formalny program zarządzania podatnościami. Natomiast , jedynie 66 proc. programów oceniono jako średnio lub wysoko skuteczne. Tylko jedna trzecia przedsiębiorstw uważa swój program za efektywny, co nie jest dobrym wskaźnikiem. Największą barierą w zarządzaniu podatnościami są ograniczenia finansowe, brak umiejętności i nieefektywne procesy. Jest jednak i dobra wiadomość – 44 proc. organizacji spodziewa się wzrostu inwestycji w rozwiązania przeznaczone do zarządzania podatnościami” – mówi Wojciech Wrzesień, Euvic Solutions.

W przedsiębiorstwie warto wdrożyć działania minimalizujące ryzyko ataku, takie jak proaktywne monitorowanie zabezpieczeń i zachowania użytkowników. Ze względu na ograniczone zasoby i ciągły rozwój systemów IT, należy skupić się na usunięciu podatności, które najbardziej zagrażają firmie. Odpowiednie ustalenie priorytetów pozwoli szybko zniwelować najistotniejsze luki.