Logo
Logo
Logo

15 maja 2023

Co to jest dyrektywa NIS2?

Aby chronić kluczową infrastrukturę przed cyberprzestępcami, Unia Europejska wprowadziła dyrektywę o bezpieczeństwie sieci i informacji (NIS) w 2016 roku, mającą na celu poprawę środków dotyczących cyberbezpieczeństwa w całej UE. Od tego czasu świat cyberbezpieczeństwa znacznie się zmienił, dlatego dyrektywa NIS również wymagała aktualizacji. Dlatego 16 stycznia 2023 r. weszła w życie zmieniona wersja dyrektywy NIS, NIS 2. Jak nowe prawo różni się od oryginalnego i kogo dotyczy? Wszystkiego, co musisz wiedzieć o nowych przepisach, dowiesz się z tego artykułu.

Dlaczego potrzebna była dyrektywa NIS?

Szkodliwe oprogramowanie i robaki istnieją prawie tak długo, jak same komputery – na przykład pierwszy wirus, „Brain”, pojawił się w 1986 roku. Zanim jednak internet stał się powszechnie dostępny, cyberprzestępcy mieli stosunkowo niewiele sposobów na infekowanie i uszkadzanie komputerów. Dzisiaj niestety sytuacja się zmieniła. W 2022 roku organizacje na całym świecie wykryły 493,33 miliona ataków typu ransomware. Według innego bad​​ania, co minutę cztery firmy padają ofiarą takiego ataku.

Niestety, sektory krytyczne są jednym z ulubionych celów cyberprzestępców.

Między lipcem 2021 a czerwcem 2022 r. ataki na infrastrukturę informatyczną, finansową, transportową i telekomunikacyjną stanowiły 40% wszystkich ataków. Rok wcześniej było to 20%.

Powód, dla którego atakują niezbędne usługi, jest prosty. Ich zabezpieczenia są często niewystarczające (co ułatwia atak), a pojedynczy atak może wpłynąć na tysiące osób naraz. Daje to przestępcom szansę na szybsze spełnienie ich żądań – przecież szpital czy zakład wodociągów nie może pozwolić sobie na przerwę w działaniu.

Co to jest dyrektywa o bezpieczeństwie sieci i informacji (NIS)?

Aby poprawić bezpieczeństwo sektora niezbędnych usług, Unia Europejska stworzyła i przyjęła w 2016 roku swoją pierwszą unijną dyrektywę dotyczącą cyberbezpieczeństwa, dyrektywę NIS (Network and Information Security). Głównym celem regulacji było ustanowienie wspólnych praktyk bezpieczeństwa dla organizacji infrastruktury krytycznej w państwach członkowskich oraz w ten sposób obniżenie ryzyka wystąpienia incydentów związanych z cyberbezpieczeństwem.

Kilka lat później jednak oryginalna dyrektywa zaczęła wykazywać swoje słabości:

  • Państwa członkowskie interpretowały i wdrażały wymagania dotyczące bezpieczeństwa na własną rękę.
  • Praktyki bezpieczeństwa zawarte w dyrektywie nie wystarczały już do ochrony danych i infrastruktury przed atakami.
  • Każde państwo miało własny proces zgłaszania incydentów, co utrudniało komunikację między różnymi państwami członkowskimi UE.
  • Branże podlegające prawu NIS różniły się w zależności od kraju.

Aby rozwiązać te problemy i dostosować dyrektywę do współczesnych czasów, w 2020 roku ENISA ogłosiła, że pracuje nad zmienioną wersją dyrektywy, NIS 2.

Nowe prawo zostało oficjalnie opublikowane 27 grudnia 2022 r. i weszło w życie 16 stycznia 2023 r. Państwa członkowskie UE mają teraz 2 lata (do 18 października 2024 r.) na wdrożenie nowych przepisów.

Czym różni się NIS2 od swojego poprzednika?

Klasyfikacja organizacji

Pierwsza znacząca zmiana w nowej dyrektywie polega na tym, że nie rozróżnia już „operatorów niezbędnych usług” i „dostawców usług cyfrowych”. Zamiast tego prawo używa kategorii „podmiotów istotnych” i „podmiotów ważnych”, opartych na sektorze danej organizacji, jej znaczeniu i wielkości.

Podmioty istotne: energia, transport, bankowość, usługi zdrowotne, wodociągi itp.

Podmioty ważne: usługi pocztowe i kurierskie, gospodarka odpadami, przemysł, organizacje badawcze itp.

Warto zauważyć, że dostawcy infrastruktury i usług cyfrowych są teraz również objęci zakresem NIS2. Oznacza to, że dostawcy usług chmurowych, usług DNS, sieci społecznościowych i wyszukiwarek również podlegają temu prawu.

Sektory, które obejmuje dyrektywa

Liczba branż, które muszą przestrzegać regulacji NIS2, również wzrosła. Wynika to z faktu, że wcześniejsza dyrektywa NIS dotyczyła tylko 7 sektorów niezbędnych, takich jak energia, transport i bankowość. Tymczasem NIS2 dodało do listy kilka nowych branż, takich jak przemysł, chemia czy gospodarka odpadami, osiągając łączną liczbę 15 sektorów.

Wielkość firmy

Dyrektywa NIS2 jest przeznaczona głównie dla średnich lub dużych organizacji, czyli tych, które mają:

  • Powyżej 250 pracowników i/lub generują ponad 50 milionów euro rocznie (dla podmiotów istotnych)
  • Powyżej 50 pracowników i/lub generują ponad 10 milionów euro rocznie (dla podmiotów ważnych)

Jeśli jednak dana firma działa jako wyłączny dostawca kluczowej usługi w danym regionie, limit wielkości nie ma zastosowania.

Zgłaszanie incydentów

Dyrektywa NIS2 dodała również wytyczne dotyczące sposobu zgłaszania incydentów bezpieczeństwa przez organizacje objęte dyrektywą. Na podstawie nowego prawa organizacje muszą przygotować:

„Wczesne ostrzeżenie” przekazywane w ciągu 24 godzin od momentu, gdy organizacja dowiedziała się o incydencie

Powiadomienie o incydencie opisujące wpływ problemu na organizację (przesłane w ciągu 72 godzin)

Ostateczne sprawozdanie, które będzie zawierało prawdopodobną przyczynę incydentu oraz zastosowane środki zaradcze. Zawiadomienie musi być przesłane nie później niż jeden miesiąc po przesłaniu powiadomienia o incydencie.

Egzekwowanie i kary administracyjne

Ponieważ pierwotna dyrektywa nie miała przepisów dotyczących egzekwowania, UE miała bardzo ograniczone możliwości ostrzegania i karania państw członkowskich.

NIS2 ma na celu rozwiązanie tego problemu również.

Władze odpowiedzialne za egzekwowanie dyrektywy będą teraz mogły przeprowadzać kontrole bezpieczeństwa, żądać informacji i dokumentów, a nawet odwiedzać organizacje w celu przeprowadzenia kontroli na miejscu.

Co ważniejsze, właściwe organy mogą również nakładać kary finansowe za nieprzestrzeganie przepisów:

  • Dla podmiotów istotnych kary mogą wynosić do 10 milionów euro lub 2% światowego rocznego obrotu.
  • Dla podmiotów ważnych kary mogą wynosić do 7 milionów euro lub 1,4% światowego rocznego obrotu.

Wymagania dotyczące bezpieczeństwa

ENISA opracowała również listę środków bezpieczeństwa, które zarówno podmioty istotne, jak i ważne są zobowiązane wdrożyć. Niektóre z wymagań na liście obejmują:

  • Wzmocnienie środków ochrony łańcucha dostaw
  • Tworzenie analiz ryzyka i polityki bezpieczeństwa systemów informacyjnych
  • Posiadanie ustalonych procesów obsługi incydentów (zapobieganie, wykrywanie i reagowanie)
  • Stosowanie kryptografii i szyfrowania do zabezpieczania swoich danych
  • Wdrażanie środków kontynuacji działalności i zarządzania kryzysowego
  • Obowiązkowe szkolenia z zakresu cyberbezpieczeństwa

Organizacje z kategorii podmiotów istotnych będą również podlegać proaktywnemu nadzorowi cyberbezpieczeństwa ze strony władz. W przypadku nieprzestrzegania przepisów będą narażone na wyższe kary.

Jak usługa SOC-as-a-Service (SOCaaS) może pomóc firmom w osiągnięciu i utrzymaniu zgodności z NIS2?

Ponieważ pełna lista wymagań dotyczących zgodności z NIS2 jest dość długa, może się wydawać, że sprawienie, aby organizacja była w pełni zgodna, zajmie dużo czasu. Istnieje jednak sposób, aby ułatwić zabezpieczanie firmy i spełnienie wymagań – poprzez korzystanie z usługi Security Operations Center (SOC).

Co to jest SOC-as-a-Service?

SOC-as-a-Service (w skrócie SOCaaS) to chmurowe rozwiązanie zabezpieczeń, które daje firmom dostęp do dziesiątek narzędzi do monitorowania i zabezpieczania, umożliwiających wykrywanie i reagowanie na zagrożenia w czasie rzeczywistym. Platformy te mogą wykonywać większość zadań wewnętrznego centrum operacji bezpieczeństwa oraz umożliwiać współpracę z zewnętrznymi ekspertami ds. cyberbezpieczeństwa.

Ponieważ aby uzyskać dostęp do usługi, firmy muszą tylko płacić opłatę abonamentową, korzystanie z rozwiązania SOCaaS jest często idealne dla firm, które chcą zwiększyć swoje bezpieczeństwo, ale nie mogą sobie pozwolić na wewnętrzny zespół ds. cyberbezpieczeństwa.

Co zawiera platforma SOCaaS?

Platformy SOCaaS są wyposażone w kilka zaawansowanych funkcji zabezpieczeń biznesowych, które są dostępne od razu. Niektóre z najbardziej powszechnych funkcji, które można znaleźć, to:

  • Monitorowanie sieci
  • Wykrywanie i reagowanie na zagrożenia 24/7
  • Zarządzanie logami
  • Badanie i raportowanie incydentów
  • Dezinformacja i piaskownica
  • Monitorowanie zgodności itp.

W ten sposób firmy nie muszą wdrażać wielu systemów cyberbezpieczeństwa, ale mogą przechowywać wszystkie swoje istotne dane w jednym miejscu.

Jednak korzystanie z takiej platformy ma jeszcze jedną zaletę, która często jest pomijana – uzyskanie pomocy od zewnętrznego zespołu ekspertów ds. bezpieczeństwa dostawcy SOCaaS. Niestety, znalezienie i zatrudnienie specjalistów ds. cyberbezpieczeństwa może być trudne (i kosztowne), dlatego niewiele firm może zbudować własne zespoły ds. cyberbezpieczeństwa.

Współpracując z dostawcą SOCaaS, organizacje mogą jednak korzystać z usług tych specjalistów, gdy tylko ich potrzebują. Na przykład firma może polegać na ich umiejętnościach i doświadczeniu podczas badania incydentu lub tworzenia nowych polityk cyberbezpieczeństwa dla swoich pracowników.

W jaki sposób SOCaaS może pomóc firmom w spełnianiu wymagań zgodności z NIS2?

System SOCaaS może być niezwykle pomocny dla firm dążących do zgodności z NIS2. Dzięki funkcjom platformy organizacje mogą szybko spełnić większość wymagań dotyczących bezpieczeństwa, nie zatrudniając ekspertów wewnętrznych ani inwestując w kilka różnych rozwiązań lokalnych.

Aplikacja będzie również monitorować całą infrastrukturę biznesową 24/7 i ostrzegać ekspertów SOC, gdy tylko zauważy coś podejrzanego, co pozwoli skrócić czas reakcji. W rezultacie firmy będą mogły szybko zauważyć wszelkie problemy, które mogłyby skończyć się na wysokich grzywnach, i rozwiązać je od razu.

Dodatkowo, dzięki automatycznym dziennikom incydentów, audytom bezpieczeństwa i narzędziom raportowania zgodności, tworzenie wymaganych raportów dla organów NIS2 może stać się znacznie łatwiejsze.

Ponieważ rozwiązanie SOCaaS generuje raporty automatycznie, firmy będą mogły szybko dostarczyć organom wymagane dokumenty.

Jak nasz CyberDefender może pomóc Twojej firmie w spełnianiu wymagań NIS2?

Firmy objęte dyrektywą NIS2 mają teraz dwa lata (do października 2024 r.) na wdrożenie niezbędnych środków bezpieczeństwa i udowodnienie, że ich sieci są tak bezpieczne, jak to tylko możliwe. Wszystkie te środki bezpieczeństwa mogą wydawać się niemożliwe do wdrożenia w ciągu zaledwie dwóch lat, jeśli musiałbyś zrobić to samodzielnie.

Dzięki platformie CyberDefender i naszemu zespołowi ekspertów ds. cyberbezpieczeństwa te wymagania można jednak spełnić w bardzo krótkim czasie, ponieważ nasze rozwiązanie zajmuje tylko kilka dni do wdrożenia.

Następnie możesz wykorzystać wszystkie te funkcje (i nasze doświadczenie w dziedzinie cyberbezpieczeństwa) do zapewnienia swojej infrastrukturze kluczowych usług bezpieczeństwa na poziomie twierdzy.

Jeśli masz dodatkowe wymagania dotyczące bezpieczeństwa (takie jak ochrona danych przed wyciekiem czy zarządzanie konfiguracją bezpieczeństwa), chętnie dostosujemy system do Twoich potrzeb.

Chcesz zobaczyć, jak nasze narzędzie CyberDefender może uczynić Twoją firmę bezpieczniejszą? Może warto umówić się na szybki telefon z naszym zespołem lub wypróbować 14-dniową wersję próbną? Po wdrożeniu możesz pozostawić zadania związane z cyberbezpieczeństwem w naszych rękach – wiemy dokładnie, jak uczynić Twój biznes bezpiecznym przed zagrożeniami cybernetycznymi.

Podsumowanie

Ze względu na zmiany w świecie cyberbezpieczeństwa, dyrektywa NIS musiała zostać zaktualizowana. Wraz z przepisami, środki cyberbezpieczeństwa biznesowego muszą być również wzmocnione. Tylko zapora sieciowa i program antywirusowy to po prostu niewystarczająca ochrona przed cyberatakami w dzisiejszych czasach.

Dobra wiadomość jest taka, że platformy SOCaaS mogą znacznie ułatwić zwiększenie poziomu bezpieczeństwa w firmie oraz spełnienie nowych wymagań. Pozostaw nam w Cyber360 ciężar pracy, a my udowodnimy, że z naszym wsparciem utrzymanie bezpieczeństwa i zgodności może być całkowicie bezproblemowe.

Kontakt

+48 733 600 411

Siedziba spółki
ul. Władysława IV 43,
81-308 Gdynia
office@cyber360.pl

Oddział Wrocław
ul. Księcia Witolda 43,
50-202 Wrocław
office@cyber360.pl

Logo