Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Poradniki

Podstawowe informacje na temat NIS2, które każda organizacja powinna znać

Piotr R

6 września 2024

Zbliża się ważny termin dla dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS2), najnowszego rozporządzenia w sprawie cyberbezpieczeństwa w Unii Europejskiej (UE). Do 17 października wszyscy członkowie UE przyjmą przepisy transponujące NIS2 do prawa krajowego, dzięki czemu dyrektywa stanie się najważniejszym systemem cyberbezpieczeństwa dla przedsiębiorstw prowadzących działalność w Europie.

Pracownik sprawdza regulacje NIS2

W niedawnej rozmowie z Raphaëlem Peyretem, dyrektorem ds. zarządzania produktami, bezpieczeństwa w chmurze w Bitdefender, omówiono wpływ dyrektywy NIS2 na firmy i kluczowe kroki, które muszą podjąć, aby zapewnić zgodność w 2024 r.

Jaki jest cel NIS2?

NIS2 to akt ustawodawczy uchwalony przez UE, który dąży do zdefiniowania i egzekwowania wysokiego wspólnego poziomu cyberbezpieczeństwa we wszystkich krajach członkowskich. Podczas gdy większość aktu dotyczy krajów UE i ich krajowych podmiotów cyberbezpieczeństwa, NIS2 stawia organizacjom prywatnym dwa główne wymagania: wdrożenie strategii zarządzania ryzykiem (artykuł 21) i zgłaszanie znaczących incydentów cyberbezpieczeństwa co może prowadzić do przestoju – niezależnie od tego, czy intencja jest złośliwa czy przypadkowa (artykuł 23). Artykuł 21 dyrektywy wymienia konkretne obszary i technologie, które powinny być objęte przez organizacje – w tym analizę ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo sieci, szyfrowanie, kontrolę dostępu, zarządzanie aktywami, uwierzytelnianie wieloskładnikowe (MFA) i inne.

Kogo dotyczy NIS2?

NIS2 dotyczy średnich i dużych przedsiębiorstw oraz określa 18 branż podlegających dyrektywie. Obejmuje to 11 sektorów o wysokiej krytyczności, które obejmują energetykę, transport, bankowość, infrastrukturę rynku finansowego, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, dostawców usług zarządzanych (w tym dostawców usług bezpieczeństwa zarządzanego), administrację publiczną i przestrzeń kosmiczną. Podczas gdy NIS2 dotyczy każdej organizacji działającej w tych sektorach, niektóre branże mogą podlegać bardziej rygorystycznym wymogom zgodności za pośrednictwem dodatkowych przepisów, takich jak Digital Operational Resilience Act (DORA), który ma zastosowanie do sektora finansowego.

Każde państwo członkowskie UE opublikuje listę podmiotów podlegających NIS2 i dodatkowym przepisom. Listy te należy złożyć do 17 kwietnia 2025 r. i mogą one wymagać od organizacji samodzielnej rejestracji – wymagającej od pracowników ds. zgodności przeprowadzenia należytej staranności w celu ustalenia, w jaki sposób zostaną dotknięte.

Jaki jest związek NIS2 z ogólnym rozporządzeniem o ochronie danych (RODO)?

NIS2 to dodatkowy akt prawny, który obowiązuje oprócz i oddzielnie od GDPR. GDPR koncentruje się na prywatności konsumentów, określając podstawowe zabezpieczenia, które firmy muszą wdrożyć, aby chronić dane klientów. NIS2 odnosi się do samej infrastruktury cyberbezpieczeństwa, zapewniając, że firmy stosują solidne strategie cyberbezpieczeństwa, które udowodniono, że powstrzymują złośliwych aktorów przed penetracją punktów końcowych i sieci.

Z jakimi wyzwaniami będą musiały zmierzyć się organizacje próbujące spełnić wymagania NIS2?

NIS2 został napisany specjalnie, aby dać krajom członkowskim możliwość budowania na bazie NIS2 w zakresie sposobu, w jaki regulują lokalne przedsiębiorstwa, albo poprzez zapewnienie bardziej szczegółowych wskazówek, albo poprzez dodanie wymagań. To świetnie, ale brak konkretnych wytycznych wprowadza wiele niejasności i niepewności do wysiłków na rzecz zgodności. Zarządzanie ryzykiem może oznaczać wiele różnych rzeczy przy różnym stopniu skuteczności. Tak samo jest ze zgłaszaniem incydentów. Czy każdy alert musi zostać ujawniony, czy tylko udane naruszenia?

Czy raportowanie powinno być dokonywane tylko do krajowego podmiotu sprawozdawczego, czy też dotknięci użytkownicy lub klienci powinni być również powiadamiani? I co uznaje się za udane lub znaczące ? Istnieje wiele niejasności, którymi firmy będą musiały się zająć.

W jaki więc sposób organizacje mogą mieć pewność, że działają zgodnie z przepisami?

Artykuł 21 NIS2 określa konkretne procesy i technologie, które należy wdrożyć. Są to:

Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych: Organizacje muszą opracować i utrzymywać kompleksowe polityki dotyczące analizy ryzyka i ogólnego bezpieczeństwa systemów informatycznych. Zapewnia to systematyczne podejście do zarządzania ryzykiem i bezpieczeństwem, aby potencjalne zagrożenia były identyfikowane i łagodzone niezwłocznie.

Obsługa incydentów: Ustanowienie jasnych procedur zarządzania incydentami cyberbezpieczeństwa i reagowania na nie. Obejmuje to natychmiastowe działania reagowania, środki powstrzymujące, komunikację i analizę poincydentalną w celu zapobiegania przyszłym zdarzeniom. Ciągłość działania firmy, na przykład zarządzanie kopiami zapasowymi, odzyskiwanie danych po awarii i zarządzanie kryzysowe: Organizacje muszą wdrożyć strategie szybkiego odzyskiwania lub utrzymywania działalności operacyjnej podczas zakłóceń, obejmujące solidne zarządzanie kopiami zapasowymi, plany odzyskiwania danych po awarii i protokoły zarządzania kryzysowego w celu zapewnienia odporności.

Bezpieczeństwo łańcucha dostaw, w tym aspekty bezpieczeństwa dotyczące relacji pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami: Wymaganie to podkreśla znaczenie zabezpieczenia całego łańcucha dostaw, zapewniając spójne stosowanie praktyk bezpieczeństwa przez wszystkich dostawców i usługodawców w celu zapobiegania powstawaniu luk w zabezpieczeniach.

Bezpieczeństwo w nabywaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych, w tym obsługa i ujawnianie luk w zabezpieczeniach: Organizacje muszą integrować praktyki bezpieczeństwa w całym cyklu życia sieci i systemów informatycznych, od zakupu do utrzymania, i uwzględniać procedury zarządzania lukami w zabezpieczeniach i ich ujawniania. Organizacje, które opracowują oprogramowanie, muszą również integrować bezpieczeństwo w swoim cyklu życia rozwoju.

Zasady i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa: Regularne oceny skuteczności środków cyberbezpieczeństwa są wymagane w celu zapewnienia, że strategie zarządzania ryzykiem działają zgodnie z przeznaczeniem i dostosowują się do nowych zagrożeń.

Podstawowe praktyki cyberhigieny i szkolenia z zakresu cyberbezpieczeństwa: Organizacje muszą wdrożyć podstawowe praktyki cyberbezpieczeństwa i zapewnić stałe szkolenia, aby mieć pewność, że wszyscy pracownicy rozumieją i stosują najlepsze praktyki.

Zasady i procedury dotyczące stosowania kryptografii, a w stosownych przypadkach szyfrowania: Należy wdrożyć skuteczne zasady kryptografii, obejmujące stosowanie szyfrowania, gdy jest to konieczne, w celu ochrony poufnych informacji i komunikatów.

Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie aktywami: Obejmuje to wszystkie aspekty zarządzania tożsamością i dostępem (IAM), zapewniając, że tylko upoważniony personel ma dostęp do kluczowych systemów, a wszystkie aktywa są ewidencjonowane i zabezpieczone.

W stosownych przypadkach należy stosować rozwiązania uwierzytelniania wieloskładnikowego lub ciągłego, bezpieczną komunikację głosową, wideo i tekstową oraz bezpieczne systemy komunikacji awaryjnej w obrębie organizacji. Wdrożenie solidnych mechanizmów uwierzytelniania i zabezpieczenie wszystkich form komunikacji w obrębie organizacji ma kluczowe znaczenie dla zapobiegania nieautoryzowanemu dostępowi i zapewnienia bezpiecznego działania w sytuacjach awaryjnych.

Dobra wiadomość jest taka, że większość organizacji już robi coś w zakresie zarządzania ryzykiem i zgłaszania incydentów – albo jako najlepszą praktykę, albo jako część innego wysiłku na rzecz zgodności. ISO 27001 i SOC 2 obejmują wiele takich samych wymagań dotyczących zarządzania ryzykiem jak NIS2, i jeśli Twoja firma jest zgodna z którymś z tych standardów, nie będziesz miał problemu ze spełnieniem wszelkich wymagań określonych w NIS2 lub towarzyszących mu przepisach krajowych. W przypadku zgłaszania incydentów większość organizacji stwierdzi, że wymagania NIS2 – w szczególności wymóg 24-godzinnego wczesnego powiadomienia o zagrożeniu – są bardziej solidne niż ich obecne możliwości, które mogą wymagać ponownego rozważenia. Niezależnie od tego, niezwykle korzystne byłoby skontaktowanie się z krajową agencją ds. cyberbezpieczeństwa w celu uzyskania informacji o konkretnych przepisach obowiązujących w Twoim kraju.

Co organizacje mogą zrobić w międzyczasie?

Przygotowując się do NIS2 i innych nowych przepisów, kluczowe jest rozważenie, w jaki sposób partnerzy ds. cyberbezpieczeństwa mogą wesprzeć Cię w osiągnięciu zgodności i wzmocnieniu ogólnej postawy bezpieczeństwa. Właściwy partner nie tylko wyposaży Cię w zaawansowane możliwości, takie jak wykrywanie i reagowanie w czasie rzeczywistym w punktach końcowych i środowiskach chmurowych, ale także oferuje proaktywne środki, takie jak testy penetracyjne i red teaming, aby zidentyfikować luki w zabezpieczeniach, zanim zostaną wykorzystane. Ponadto zarządzanie i zabezpieczanie postawy chmury oraz rozszerzanie wykrywania i reagowania na cały krajobraz IT są kluczowymi elementami kompleksowej strategii bezpieczeństwa. Wybierając partnera z głęboką wiedzą specjalistyczną i solidnym pakietem usług dostosowanych do Twoich potrzeb, możesz mieć pewność, że Twoja organizacja jest dobrze przygotowana do zgodności i chroniona przed pojawiającymi się zagrożeniami.

Nie chodzi jednak tylko o operacje wewnętrzne. Postawa bezpieczeństwa całego łańcucha dostaw jest równie krytyczna. W dzisiejszym, połączonym krajobrazie biznesowym, zapewnienie, że dostawcy, dystrybutorzy i inni partnerzy utrzymują odpowiednie kontrole bezpieczeństwa, jest niezbędne. Może to wymagać trudnych rozmów i dokładnej oceny środków bezpieczeństwa obowiązujących w całym cyklu życia produktu, ale jest to kluczowy krok, aby zapobiec potencjalnym lukom w zabezpieczeniach przed wpływem na Twoją organizację.

Pokonując te wyzwania, zastanów się, w jaki sposób Twoi partnerzy ds. cyberbezpieczeństwa mogą Cię wesprzeć w osiągnięciu tych celów. Niezależnie od tego, czy chodzi o zwiększenie widoczności, wzmocnienie bezpieczeństwa łańcucha dostaw, czy przygotowanie się na przyszłe przepisy, takie jak NIS2, wybór partnera z głęboką wiedzą specjalistyczną i kompleksowym podejściem może mieć ogromne znaczenie.

Ostatecznie zgodność z normą NIS2 zależeć będzie od ścisłej współpracy między Twoją organizacją, lokalnym organem rządowym oraz partnerami i dostawcami rozwiązań z zakresu cyberbezpieczeństwa.

Jeśli chcesz dowiedzieć się, w jaki sposób poprawić jakość swojej ochrony za pomocą systemów antywirusowych z linii Bitdefender GravityZone, to sprawdź tę stronę.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy