5-8 minut

Nadchodzi NIS2: co musisz wiedzieć o nowych zasadach w cyberbezpieczeństwie
Część II – rozwiązania techniczne

Dyrektywa NIS2 nakłada na kadrę menedżerską obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w obszarze cyberbezpieczeństwa pod rygorem osobistej odpowiedzialności. Z jakich gotowych rozwiązań można skorzystać, aby zapewnić zgodność z postanowieniami nowych przepisów?

Z TEGO MATERIAŁU DOWIESZ SIĘ:

 

  1. JAKIE WYMAGANIA STAWIA PRZED ORGANIZACJAMI I MENEDŻERAMI DYREKTYWA NIS2?
  2. KTÓRE KLUCZOWE ELEMENTY ORGANIZACJA MUSI UWZGLĘDNIĆ OCENIAJĄC SWOJĄ ZGODNOŚĆ Z NIS2?
  3. W JAKI SPOSÓB PRZEŁOŻYĆ ZAPISY DYREKTYWY NA REALNE DZIAŁANIA I Z KTÓRYCH USŁUG KORZYSTAĆ?

Podstawowym celem wdrożenia dyrektywy NIS 2 jest osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej przez ograniczenie ryzyka wystąpienia incydentów i zminimalizowanie negatywnych skutków takich zdarzeń. Dlatego dyrektywa wprowadza niemal takie same obowiązki dla podmiotów kluczowych i ważnych (więcej o tym, co decyduje o zaliczeniu organizacji do tych kategorii w pierwszej części materiału o NIS2) – wszystkie organizacje objęte NIS2 mają obowiązek wprowadzić dane środki.

Co najistotniejsze – środki te mają uwzględniać specyfikę danej organizacji, czyli muszą być proporcjonalne zarówno do jej wielkości, jak i zagrożenia potencjalnymi incydentami bezpieczeństwa oraz ich ewentualnymi skutkami. O tym, jakie środki są adekwatne w danej organizacji, decyduje ona sama.

Kary są odstraszające

Różnice między podmiotami kluczowymi i ważnymi dotyczą przede wszystkim trybu nadzoru. W przypadku podmiotów ważnych stosowany jest nadzór uproszczony, po stwierdzonym naruszeniu (tzw. ex post). W przypadku podmiotów kluczowych nadzór jest proaktywny (ex ante) i obejmuje m.in. regularne audyty oraz doraźne, wyrywkowe kontrole.

W przypadku stwierdzenia naruszeń właściwy organ nadzorujący może m.in. wydać ostrzeżenie, nakazać wdrożenie zaleceń, a w skrajnych przypadkach nawet tymczasowo zakazać prowadzenia działalności. Może także nałożyć karę zakazu pełnienia funkcji zarządczych na osoby zajmujące kierownicze stanowiska w organizacji (na poziomie dyrektora generalnego lub przedstawiciela prawnego)[i]. Istotne jest również zagrożenie bardzo wysokimi karami finansowymi – nakładanymi na podmioty kluczowe do kwoty 10 mln euro lub co najmniej 2 proc. rocznego światowego obrotu, a na podmioty ważne – 7 mln euro lub co najmniej 1,4 proc. rocznego światowego obrotu (w obu przypadkach zastosowanie ma kwota wyższa).

Dekalog menedżera ds. cyberbezpieczeństwa

Jak uchronić siebie i firmę przed konsekwencjami braku zgodności z postanowieniami NIS2? Spójrzmy na obowiązki nakładane przez dyrektywę na podmioty kluczowe i ważne. Powinny one uwzględnić wszystkie rodzaje zagrożeń i obejmować[ii]:

  • analizę ryzyka i polityki bezpieczeństwa IT,
  • procedury obsługi (czyli zapobiegania, wykrywania i reagowania) incydentów,
  • procedury zapewnienia ciągłość działania i zarządzania kryzysowego,
  • kontrolę bezpieczeństwa łańcucha dostaw,
  • zasady bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów (w tym obsługi i ujawniania podatności),
  • politykę i procedury (testy i audyty) służące ocenie skuteczności środków zarządzania ryzykiem,
  • podstawowe praktyki cyberhigieny i szkolenia pracowników w zakresie cyberbezpieczeństwa,
  • zasady wykorzystania kryptografii i szyfrowania,
  • politykę kontroli dostępu i zarządzania aktywami,
  • w stosownych przypadkach stosowanie uwierzytelniania wieloskładnikowego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności.

Co jeszcze jest istotne dla zapewnienia zgodności z przepisami? Dyrektywa NIS2 wprowadza trzystopniowe raportowanie poważnych incydentów bezpieczeństwa. Pierwszym etapem jest wczesne ostrzeżenie (w ciągu 24 godzin od ujawnienia incydentu), którego celem jest ograniczenie rozprzestrzenienia się potencjalnego zagrożenia. Drugim etapem jest zgłoszenie (w ciągu 72 godzin) zawierające wstępną ocenę skutków incydentu. Ostatnim zaś jest sprawozdanie końcowe przedstawione w ciągu miesiąca i zawierające szczegółowy opis, przyczynę i skutki incydentu[iii].

Rozwiązania na wyciągnięcie ręki

Choć nowa dyrektywa nakłada wymieniowe wyżej obowiązki na wszystkie podmioty, reguła proporcjonalnego i odpowiedniego stosowania środków ochrony sprawia, że nie istnieje jedno gotowe rozwiązanie techniczne gwarantujące „zgodność z NIS2”. Stawia to w trudnej sytuacji firmy, które do tej pory nie przykładały dużej uwagi do standardów cyberbezpieczeństwa. Takie organizacje często nie posiadają własnego zespołu specjalistów ds. bezpieczeństwa systemów IT. A trzeba podkreślić, że również one mogą podlegać regulacjom NIS2.

Dla takich organizacji T-Mobile przygotowało usługi pokrywające w znacznej mierze najważniejsze wymogi nakładane przez NIS2. Wirtualny specjalista ds. bezpieczeństwa informacji (vCISO) pełni funkcję zaufanego doradcy firmy, zapewniając wiedzę i umiejętności niezbędne do zarządzania systemem IT, polityką bezpieczeństwa, identyfikacją ryzyka oraz zgodnością z regulacjami. Może również zarządzać dostępem i uprawnieniami, tworzyć plany awaryjne, prowadzić badania bezpieczeństwa dostawców i na tej podstawie dobierać komponenty technologiczne.

Organizacja może również skorzystać z usługi badania wrażliwości polegającej na identyfikacji podatności i luk bezpieczeństwa całej infrastruktury IT oraz w szczególności systemów poczty i aplikacji webowych. Pozwala to również na przeprowadzenie symulacji realnych kampanii phishingowych ukierunkowanych na wybrane grupy pracowników. Możliwe jest również zweryfikowanie bezpieczeństwa IT organizacji przez przeprowadzenie przeglądów oraz testów penetracyjnych (symulowanych cyberataków), a w zależności od ich wyników wdrożenie dodatkowych szkoleń dla pracowników, doradztwo w zakresie zmiany architektury IT oraz wykorzystywanego sprzętu i oprogramowania. Gwarantuje to realizację postanowień NIS2 mówiących o analizie ryzyka i polityki bezpieczeństwa informatycznego.

W obszarze zarządzania incydentami zaufany partner może dostarczyć zewnętrzne usługi monitoringu i analizy SOC (Security Operations Center). Dzięki temu rozwiązaniu zespół profesjonalistów T-Mobile dba o bezpieczeństwo IT firmy spełniając założenia dyrektywy NIS2. Co więcej, jest to model działania optymalny kosztowo (stworzenie własnego SOC to wydatek, który dla wielu firm może być nie do przełknięcia), a także niewrażliwy na problemy związane z brakiem specjalistów ds. cyberbezpieczeństwa na rynku pracy. Ochrona urządzeń mobilnych realizowana może być dzięki kontroli i zarządzaniu nimi w ramach usługi Mobile Device Management oraz opartej na uczeniu maszynowym Cyber Guard.

Odporność na wyższym poziomie

Szczególne miejsce w dyrektywie NIS2 zajmuje minimalizacja negatywnych skutków incydentów cyberbezpieczeństwa ich i wpływu na funkcjonowanie gospodarki i społeczeństw Unii Europejskiej. Oznacza to zagwarantowanie odporności i ciągłości działania w warunkach kryzysowych (to zdolność pożądana nie tylko ze względu na obowiązki wynikające z nowej dyrektywy unijnej).

Podstawowym narzędziem pozwalającym spełnić wymogi NIS2 jest usługa AntyDDoS polegająca na monitorowaniu ruchu przychodzącego pod kątem potencjalnych ataków typu Denial of Service i Distributed Denial of Service. W przypadku wykrycia podejrzanej aktywności ruch przychodzący zostaje w ciągu jednej sekundy przekierowany do centrum czyszczenia T-Mobile, a system klienta odzyskuje pełną dostępność.

Niezwykle istotne dla zachowania ciągłości działania w rozumieniu dyrektywy NIS2 są usługi związane z tworzeniem i odzyskiwaniem kopii zapasowych z wykorzystaniem infrastruktury T-Mobile oraz – dla bardziej wymagających scenariuszy – usługa utworzenia i zarządzania zapasowym centrum danych (Disaster Recovery as a Service – DraaS). Pozwala ona na zabezpieczenie całego swojego środowiska IT lub jego krytycznej części przed utratą danych i brakiem dostępności. W przypadku nieplanowanej przerwy w działaniu głównego systemu możliwe jest jego awaryjne odtworzenie dzięki serwerom T-Mobile lub w chmurze publicznej.

Odmianą usługi DRaaS dla najbardziej wymagających klientów, którzy nie mogą pozwolić sobie nawet na najkrótszą przerwę w działaniu (lub są do tego zobligowani przepisami), jest MetroCluster. To dwa centra danych T-Mobile dysponujące tymi samymi, zduplikowanymi danymi. W razie awarii lub cyberataku na jeden system drugi natychmiast przejmuje cały ruch.

Podsumowanie

Nowe obowiązki nakładane na organizacje przez dyrektywę NIS2 są skomplikowane, a cały proces utrudnia brak przepisów implementujących te postanowienia na grunt polskiego prawa. Przygotowanie organizacji do wdrożenia wymogów NIS2 jest zatem zadaniem dość złożonym. Sytuację komplikuje fakt, że wiele firm, które będą podlegać NIS2, nie zdaje sobie sprawy ze skali wyzwania i zbliżającego się terminu wejścia w życie nowych przepisów.

Jak zatem przygotować się na nadejście NIS2 i uniknąć wysokich kar? Organizacje powinny przede wszystkim wskazać osobę lub zespół odpowiedzialny za dostosowanie do nowych przepisów. Dopiero wówczas, we współpracy z zaufanym partnerem i korzystając z jego doświadczenia, firma powinna:

  • ocenić ryzyko naruszeń cyberbezpieczeństwa,
  • wdrożyć odpowiednie środki kontroli,
  • stworzyć kompletne plany reagowania na incydenty bezpieczeństwa – od raportowania po zapewnienie ciągłości działania,
  • wprowadzić programy edukacyjne dla pracowników w zakresie cyberhigieny.

 

Współpraca merytoryczna:

Tomasz Ciepliński

Head of Presales

T-Mobile Business Solutions

 

O tym, jaki jest zakres obowiązywania NIS2 i kiedy ma szansę wejść w życie w Polsce, a także jakie są najważniejsze wyzwania w tym procesie – przeczytasz w tym artykule.

[i] https://cyberpolicy.nask.pl/nadzor-nad-podmiotami-kluczowymi-i-waznymi-w-dyrektywie-nis2/

[ii] https://www.traple.pl/dyrektywa-nis-2-srodki-zarzadzania-ryzykiem/

[iii] https://cyberpolicy.nask.pl/obowiazki-podmiotow-kluczowych-i-waznych-w-dyrektywie-nis2/

Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu
Badanie Wrażliwości

Ten artykuł dotyczy produktu

Badanie Wrażliwości

Przejdź do produktu

Data publikacji: 28.03.2024

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.