Dyrektywa NIS2 – sprawdź, czy Twoja firma jest gotowa na wdrożenie
Od stycznia 2023 roku obowiązuje dyrektywa NIS2, która aktualizuje i rozszerza unijne przepisy cyberbezpieczeństwa NIS z 2016 roku. Dokument sprzed siedmiu lat skupiał się na współpracy międzynarodowej, krajowej oraz wprowadzeniu obowiązkowego raportowania incydentów i zarządzania ryzykiem dla operatorów i dostawców usług kluczowych. NIS2 znacznie rozszerza obowiązujące dotychczas zapisy, obejmując wymaganiami coraz więcej sektorów. Z doświadczeń dotyczących wdrożeń przepisów ustawy o krajowym systemie cyberbezpieczeństwa wynika, że wprowadzenie zmian może zająć nawet kilkanaście miesięcy. Jakie działania należy podjąć?
Dyrektywa NIS2 objęła swoim zasięgiem 11 sektorów:
- energetykę,
- transport,
- bankowość,
- infrastrukturę rynku finansowego,
- ochronę zdrowia,
- wodociągi,
- spółki wodno-kanalizacyjne,
- infrastrukturę cyfrową,
- administrację publiczną,
- przestrzeń kosmiczną,
- produkcję żywności.
Firmy działające we wskazanych obszarach zostały zobligowane do regularnego przedstawiania dowodów na prowadzenie realnej polityki cyberbezpieczeństwa oraz przeciwdziałaniu zagrożeniom. Przepisy dyrektywy określają jednocześnie „niezbędne minimum” środków, które muszą zostać podjęte przez każdy podmiot. W tym m.in.: prowadzenie analizy ryzyka, zapewnienie bieżącej obsługi incydentów, czy korzystanie z kryptografii i szyfrowania.
„Dyrektywa NIS2 nakłada bardzo duże wymagania na nowe sektory, które nie były wcześniej objęte dyrektywą. Podmioty, które znalazły się na nowej liście, objętej regulacjami, często mają niższy poziom dojrzałości cyberbezpieczeństwa. Nie miały wcześniej ustawowego obowiązku zabezpieczenia infrastruktury IT. Warto podkreślić, że obecnie wypracowane przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa schematy w zakresie NIS2 to ogólny spis podstawowych wytycznych budowania bezpieczeństwa systemów teleinformatycznych. Brak więc specjalistycznych wymagań sektorowych, które w tym przypadku byłyby potrzebne. Przykładowo przedsiębiorstwa powinny zarządzać podatnościami systemów informatycznych, ale poprawne ułożenie procesów i technologii, uwzględniając specyfikę infrastruktury organizacji, to niełatwe zadanie. Warto więc powierzyć zadanie dostosowania zabezpieczeń do nowych wymogów doświadczonemu partnerowi, który kompleksowo zadba o cyberbezpieczeństwo firmy” – mówi Jakub Suchorab, Euvic Solutions.
Ważnym obowiązkiem jest raportowanie zdarzeń zagrażających bezpieczeństwu. Istniał on już na gruncie dyrektywy NIS, ale w projekcie NIS2 cała procedura jak i konsekwencje niedostosowania się zostały uregulowane w bardziej precyzyjny sposób. Za nieprzestrzeganie przepisów grożą kary sięgające nawet 10 milionów euro [1]. Ograniczenie ilości zdarzeń jest możliwe dzięki skutecznemu monitorowaniu i zarządzaniu podatnościami w organizacji.
Podatności w organizacjach
Luki w zabezpieczeniach zwiększają ryzyko wystąpienia niepożądanego zdarzenia lub celowego ataku. Wraz z ewolucją cyfrowych rozwiązań, pojawiają się nowe, newralgiczne punkty, na które należy zwrócić szczególną uwagę. Ważne jest, aby do bezpieczeństwa i kondycji systemów firmowych podchodzić z rezerwą. Zbyt duża pewność w działaniu może narazić przedsiębiorstwo na cyberzagrożenia.
Podatności mogą dotyczyć zarówno sprzętu, oprogramowania jak i sieci. Słabe szyfrowanie, niewystarczające testy, czy niezabezpieczone linie komunikacyjne stanowią duże ryzyko cyberataku. Warto dodać, że istotnym aspektem jest również czynnik ludzki. Niska świadomość i rzadkie szkolenia personelu, niepoprawne zarządzanie hasłami lub brak audytu narażają organizację na powstawanie luk w zabezpieczeniach. Podczas gdy 76 proc. organizacji doświadczyła wzrostu liczby podatności w ciągu ostatnich 12 miesięcy, tylko jedna trzecia spodziewa się zwiększenia liczby pracowników zajmujących się zarządzaniem nimi [2].
„Z raportu „2022 Vulnerability Management Report” przygotowanego przez Cybersecurity Insiders wynika że 71 proc. organizacji posiada formalny program zarządzania podatnościami. Natomiast , jedynie 66 proc. programów oceniono jako średnio lub wysoko skuteczne. Tylko jedna trzecia przedsiębiorstw uważa swój program za efektywny, co nie jest dobrym wskaźnikiem. Największą barierą w zarządzaniu podatnościami są ograniczenia finansowe, brak umiejętności i nieefektywne procesy. Jest jednak i dobra wiadomość – 44 proc. organizacji spodziewa się wzrostu inwestycji w rozwiązania przeznaczone do zarządzania podatnościami” – mówi Wojciech Wrzesień, Euvic Solutions.
W przedsiębiorstwie warto wdrożyć działania minimalizujące ryzyko ataku, takie jak proaktywne monitorowanie zabezpieczeń i zachowania użytkowników. Ze względu na ograniczone zasoby i ciągły rozwój systemów IT, należy skupić się na usunięciu podatności, które najbardziej zagrażają firmie. Odpowiednie ustalenie priorytetów pozwoli szybko zniwelować najistotniejsze luki.
Mogą zainteresować Cię również

Sztuczna inteligencja stwarza problemy. Pojawiają się pozwy.
AI - to najgorętszy temat tego roku. Na fali popularności pojawia się jednak coraz więcej problemów związanych ze sztuczną inteligencją. Dotyczą one m.in. kreowania fake newsów, zagrożenia dezinformacją, łamania praw autorskich i nieuczciwego pozyskiwania danych do trenowani...
Damian Kołata: Największa aktywność deweloperów dotyczy sektora magazynowego
Damian Kołata, Dyrektor Działu Industrial & Logistics w Polsce oraz Dyrektor E-Commerce w regionie CEE w Cushman & Wakefield, opowiedział redakcji „Nowoczesnych Hal” o sytuacji na rynku nieruchomości, aktualnych trendach, obszarach atrakcyjnych dla deweloperów i cenach...
Zastosowanie współrzędnościowych systemów pomiarowych w procesie inżynierii rekonstrukcyjnej
Z artykułu dowiesz się: jakiego typu współrzędnościowe systemy pomiarowe są najczęściej stosowane w procesie inżynierii rekonstrukcyjnej,w jakiej postaci otrzymujemy dane pomiarowe odwzorowujące geometrię obiektu,jak przebie...
Centrum Produkcyjno-Wdrożeniowe
Ponad 20-letnie doświadczenie w dziedzinie sprzedaży systemów narzędziowych, pomiarowych a także usług z nimi związanych skłoniło nas do podjęcia kroku w stronę poszerzenia naszej działalności o produkcję narzędzi i części maszyn. Impuls ku temu dała nam wieloletnia współpra...
Cyberprzestępcy coraz częściej kradną dane poprzez aplikacje chmurowe
W lipcu 2023 r. 57% wszystkich pobrań złośliwego oprogramowania pochodziło z popularnych aplikacji w chmurze. Jednocześnie całkowita liczba aplikacji w chmurze, z których pobrano złośliwe oprogramowanie, wzrosła do 167. To wskazuje, że cyberprzestępcy nadal docierają do swo...
Paulina Grabowska-Lisowska: Jako spawalnicy musimy się uczyć na bieżąco
O blaskach i cieniach pracy w spawalnictwie, trudnościach, z jakimi zmagają się pracownicy tej branży, o tym, co należałoby zmienić i o perspektywie na przyszłość opowiada nam Paulina Grabowska-Lisowska, inżynier spawalnik i założycielka strony przepisyspawalnicze.pl.
Efektywność energetyczna – poznaj sprawdzone metody
Już 5 października w Redzie, koło Gdyni odbędzie się Konferencja Techniczna Axon Media: „Efektywność energetyczna w przemyśle”, podczas której zaproszeni eksperci z branży energetycznej zaprezentują skuteczne techniki optymalizacji energii w zakładach przemysłowych. To spotkan...
Wyzwania działów Utrzymaniu Ruchu: globalne trendy a lokalne rozwiązania
4 października w Redzie (Hotel River Style), koło Gdyni odbędzie się Konferencja Techniczna „Niezawodność i Utrzymanie Ruchu w zakładach produkcyjnych”. Wydarzenie adresowane do praktyków działów utrzymania ruchu odbędzie się w sprawdzonej wykładowo-konsultacyjnej formule, któ...
Powłoki ochronne na warstwach wierzchnich stopów magnezu otrzymywane w procesie natryskiwania cieplnego
Z artykułu dowiesz się: o charakterystyce metody naddźwiękowego natryskiwania płomieniowego,jakie są wyniki bada...
Kalendarium wydarzeń
Relacje
Energetab 2023
Za nami trzy intensywne dni 36. międzynarodowych targów energetycznych ENERGETAB. Były one niezwykle pracowite dla 433 wystawców, którzy starali się zaprezen...
Sprawdź więcejI Mazowieckie Sympozjum Obróbki Skrawaniem
W dniu 22 czerwca br. na Wydziale Mechanicznym Technologicznym Politechniki Warszawskiej odbyło się I Mazowieckie Sympozjum Obróbki Skrawaniem, współorganizo...
Sprawdź więcejSeminarium Obróbki Laserowej 2023
Trzeciego dnia targów STOM odbyło się Seminarium Obróbki Laserowej, zorganizowane przez naukowców z Politechniki Świętokrzyskiej. Wydarzenie cieszyło się ...
Sprawdź więcejWystawcy Przemysłowej Wiosny 2023 z nagrodami!
Drugi dzień Przemysłowej Wiosny upłynął pod znakiem nagród dla najnowocześniejszych produktów i rozwiązań, w ramach przemysłowych wydarz...
Sprawdź więcej