Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2 (NIS2)

UE wprowadziła przepisy mające na celu aktualizację często błędnie interpretowanej dyrektywy o bezpieczeństwie sieci i informacji (NIS) (2016) oraz poprawę cyberbezpieczeństwa wszystkich państw członkowskich. Podpisała ustawę NIS2 w styczniu 2023 r., oczekując, że wszystkie odpowiednie organizacje zastosują się do niej do 18 października 2024 r. 

NIS2 chwalono w celu aktualizacji dyrektywy NIS z 2016 roku. NIS miał na celu zapewnienie, że wszystkie „istotne” sektory we wszystkich państwach członkowskich podjęły niezbędne środki w celu ochrony przed cyberprzestępczością. Eksperci skrytykowali jednak NIS za zbyt niejasny charakter, a państwa członkowskie różnie go interpretowały; definicja „niezbędnego” sektora różniła się w zależności od stanu.

Celem NIS2 jest wyeliminowanie tych rozbieżności. W porównaniu z NIS ma znacznie bardziej szczegółowy zakres, wymagania i zamierzenia, pozostawiając niewiele miejsca na interpretację pomiędzy państwami członkowskimi. 

Jakie są cele NIS2?

NIS2 ma na celu ustanowienie standardowego poziomu cyberbezpieczeństwa we wszystkich państwach członkowskich poprzez wprowadzenie standardowych wymagań i środków. Ustanawiając dotknięte sektory, wymogi bezpieczeństwa, obowiązki sprawozdawcze, środki egzekwowania prawa i sankcje, NIS2 stara się chronić infrastrukturę krytyczną i obywateli UE.

NIS2 ma trzy główne cele:

1. Zwiększ odporność cybernetyczną kluczowych dostawców usług.
2. Usprawnij odporność cybernetyczną dzięki bardziej rygorystycznym wymogom bezpieczeństwa i karom za naruszenia. 
3. Poprawa gotowości UE do radzenia sobie z cyberatakami.

Kogo dotyczy NIS2? 

NIS2 dotyczy podmiotów zatrudniających powyżej 50 pracowników, których roczny obrót przekracza 10 mln euro oraz tych, które UE uważa za istotne dla europejskiej gospodarki i społeczeństwa.

Podmioty istotne (EE) obejmują organizacje zatrudniające około 250 osób, osiągające obroty wynoszące 50 milionów euro rocznie, posiadające bilans w wysokości około 43 milionów euro i działające w jednym z następujących sektorów:

• Energia
• Transport
• Finanse
• Publiczna administracja
• Zdrowie
• Przestrzeń
• Zaopatrzenie w wodę
• Infrastruktura cyfrowa (na przykład dostawcy usług w chmurze i zarządzanie ICT)

 Podmioty ważne (IE) to organizacje zatrudniające około 50 osób, osiągające obroty na poziomie 10 milionów euro rocznie, których bilans wynosi 10 milionów euro i które działają w jednym z następujących sektorów:

• Usługi pocztowe
• Gospodarowanie odpadami
• Chemikalia
• Badania
• Jedzenie
• Produkcja
• Dostawcy usług cyfrowych (na przykład media społecznościowe i wyszukiwarki)

Główne elementy NIS2?

NIS2 opiera się na następujących elementach dyrektywy NIS:

• Strategia NIS1 dotycząca bezpieczeństwa sieci i systemów informatycznych: NIS2 wymaga od państw członkowskich przyjęcia krajowej strategii cyberbezpieczeństwa, wyznaczenia krajowych zespołów reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT), które są odpowiedzialne za obsługę ryzyka i incydentów, powołania właściwego krajowego organu ds. cyberbezpieczeństwa oraz wyznaczyć pojedynczy punkt kontaktowy (SPOC), który będzie współpracował z innymi państwami członkowskimi.
• Ramy NIS1 ustanawiające Grupę Współpracy NIS: NIS2 stanowi kontynuację ram NIS1 w celu wspierania i ułatwiania strategicznej współpracy oraz wymiany informacji pomiędzy państwami członkowskimi i siecią CSIRT. Ramy promują szybką i skuteczną współpracę operacyjną między krajowymi zespołami CSIRT.
• Elementy NIS1 zapewniające środki cyberbezpieczeństwa w siedmiu kluczowych sektorach: Jak wspomnieliśmy wcześniej, NIS2 rozszerza zakres sektorów NIS1 i wprowadza próg wielkości w celu określenia, do których podmiotów ma zastosowanie i jakie podmioty byłyby zobowiązane do zgłaszania znaczących incydentów cyberbezpieczeństwa do właściwe organy krajowe.

Dodatkowo NIS2 zawiera dziesięć podstawowych wymagań, które muszą spełnić lub wdrożyć wszystkie firmy. W ramach NIS2 odpowiednie podmioty muszą:

• Ustanowienie ram zarządzania cyberbezpieczeństwem: odpowiednie podmioty muszą zidentyfikować i udokumentować role i obowiązki kluczowych interesariuszy oraz określić jasne granice uprawnień i komunikacji. Europejskie ramy umiejętności w zakresie cyberbezpieczeństwa (ECSF) Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) to świetne miejsce na początek.
• Organizuj regularne szkolenia w zakresie świadomości cyberbezpieczeństwa: odpowiednie podmioty muszą zapewnić, że wszyscy pracownicy są na bieżąco z najnowszymi zagrożeniami i najlepszymi praktykami w zakresie ochrony zasobów cyfrowych swojego pracodawcy. Szkolenie musi obejmować higienę haseł, oszustwa typu phishing i procesy raportowania.
• Utwórz plan reagowania na incydenty: odpowiednie podmioty muszą zdefiniować jasne wytyczne dotyczące wykrywania i zgłaszania incydentów, ustanowić metodyczny proces powstrzymywania i łagodzenia szkód oraz upewnić się, że wszyscy pracownicy mają jasność co do swoich ról i obowiązków.
• Przeprowadzaj regularne oceny ryzyka: odpowiednie podmioty muszą regularnie oceniać swoją infrastrukturę i łańcuch dostaw, aby zidentyfikować potencjalne słabe punkty i ulepszyć strategie cyberbezpieczeństwa.
• Wzmocnij bezpieczeństwo łańcucha dostaw: odpowiednie podmioty muszą wdrożyć środki bezpieczeństwa w swoim łańcuchu dostaw, przeprowadzać oceny i audyty ryzyka dostawców, wdrażać zabezpieczające narzędzia monitorujące i regularnie komunikować się z dostawcami.
• Regularnie łataj i aktualizuj infrastrukturę i aplikacje: odpowiednie podmioty muszą monitorować swoje środowiska, aby identyfikować i łatać wszelkie potencjalne luki w zabezpieczeniach.
• Wdrożenie narzędzi do wykrywania zagrożeń: Aby zidentyfikować potencjalne zagrożenia, takie jak systemy wykrywania włamań (IDS) lub narzędzia do zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM), odpowiednie podmioty muszą wdrożyć niezbędne narzędzia.
• Wdrożenie silnej kontroli uwierzytelniania: odpowiednie podmioty muszą wdrożyć niezawodne metody uwierzytelniania, takie jak uwierzytelnianie wieloskładnikowe (MFA) i zabezpieczyć wszystkie wrażliwe kanały komunikacji.
• Ustanów zasady kryptografii i szyfrowania: odpowiednie podmioty muszą korzystać z kryptografii i, w stosownych przypadkach, technologii szyfrowania w celu zabezpieczenia poufnych informacji.
• Zabezpiecz zasoby ludzkie: Odpowiednie podmioty muszą zabezpieczyć dane personelu, wdrażając zasady kontroli dostępu i zarządzania aktywami.

Kary za nieprzestrzeganie NIS2

Kary za nieprzestrzeganie wymagań NIS2 są następujące:

• W przypadku podmiotów istotnych: 10 milionów euro lub 2% światowego obrotu, w zależności od tego, która kwota jest najwyższa.
• W przypadku ważnych podmiotów 7 milionów euro lub 1,4% światowego obrotu, w zależności od tego, która kwota jest najwyższa.

Nieprzestrzeganie przepisów może skutkować wysokimi karami finansowymi, co ma zachęcić organizacje do poważnego podejścia do cyberbezpieczeństwa.

Jak nasz CyberDefender może pomóc Twojej firmie w spełnianiu wymagań NIS2?

Firmy objęte dyrektywą NIS2 mają teraz dwa lata (do października 2024 r.) na wdrożenie niezbędnych środków bezpieczeństwa i udowodnienie, że ich sieci są tak bezpieczne, jak to tylko możliwe. Wszystkie te środki bezpieczeństwa mogą wydawać się niemożliwe do wdrożenia w ciągu zaledwie dwóch lat, jeśli musiałbyś zrobić to samodzielnie.

Dzięki platformie CyberDefender i naszemu zespołowi ekspertów ds. cyberbezpieczeństwa te wymagania można jednak spełnić w bardzo krótkim czasie, ponieważ nasze rozwiązanie zajmuje tylko kilka dni do wdrożenia.

Następnie możesz wykorzystać wszystkie te funkcje (i nasze doświadczenie w dziedzinie cyberbezpieczeństwa) do zapewnienia swojej infrastrukturze kluczowych usług bezpieczeństwa na poziomie twierdzy.

Jeśli masz dodatkowe wymagania dotyczące bezpieczeństwa (takie jak ochrona danych przed wyciekiem czy zarządzanie konfiguracją bezpieczeństwa), chętnie dostosujemy system do Twoich potrzeb.

Chcesz zobaczyć, jak nasze narzędzie CyberDefender może uczynić Twoją firmę bezpieczniejszą? Może warto umówić się na szybki telefon z naszym zespołem lub wypróbować 14-dniową wersję próbną? Po wdrożeniu możesz pozostawić zadania związane z cyberbezpieczeństwem w naszych rękach – wiemy dokładnie, jak uczynić Twój biznes bezpiecznym przed zagrożeniami cybernetycznymi.

Podsumowanie

Dobra wiadomość jest taka, że platformy MDR mogą znacznie ułatwić zwiększenie poziomu bezpieczeństwa w firmie oraz spełnienie nowych wymagań. Pozostaw nam w Cyber360 ciężar pracy, a my udowodnimy, że z naszym wsparciem utrzymanie bezpieczeństwa i zgodności może być całkowicie bezproblemowe.