Na początku 2023 roku w życie weszła dyrektywa NIS2, regulująca kwestie cyberbezpieczeństwa w Unii Europejskiej. Organizacjom pozostało już niewiele czasu na dostosowanie się do zawartych w niej wytycznych, bowiem termin wdrożenia upływa 17 października bieżącego roku.
W czasach ciągle ewoluujących i rosnących cyberzagrożeń nie tylko dostawcy systemów bezpieczeństwa IT, ale również instytucje, szukają rozwiązań pozwalających powstrzymać napastników. Jednym z takich przykładów jest przyjęta przez Parlament Europejski dyrektywa NIS2. To nowy akt prawny zawierający szereg przepisów, mających na celu zwiększenie odporności cybernetycznej organizacji działających na terenie Unii Europejskiej. W NIS2 pojawiły się dwie istotne zmiany (w porównaniu do dyrektywy NIS obowiązującej od 2016 roku) – są to obowiązek zapewnienia zgodności z przepisami o cyberbezpieczeństwie oraz nakładanie kar, które w przypadku usług kluczowych mogą wynosić nawet do 10 mln EUR lub 2 procent łącznego rocznego obrotu.
Dyrektywa NIS2 odnosi się do jedenastu sektorów: energii, transportu, bankowości, infrastruktury rynku finansowego, zdrowia, wody pitnej, ścieków, infrastruktury cyfrowej, administracji publicznej, przestrzeni kosmicznej i żywności. Co istotne, do tej grupy zaliczają się zarówno podmioty kluczowe, jak i firmy należące do ich łańcucha dostaw.
Świadomość przedsiębiorców na temat NIS2 na ogół pozostawia wiele do życzenia. Część z nich nie zna obowiązkowej daty wdrożenia dyrektywy, a jeszcze inni nawet nie wiedzą, że UE wprowadziła taki akt prawny. Specjaliści z G DATA opracowali dokument pozwalający nie tylko łatwiej zrozumieć na czym polega NIS2, ale również przygotować się do jej wdrożenia. Matthias Zuchowski, ekspert ds. regulacji w G DATA CyberDefense, wyjaśnia, jakie środki firmy powinny podjąć i przedstawia harmonogram zarządzania ryzykiem.
Firmy, których dotyczy NIS2, powinny przyjrzeć się dziesięciu punktom środków zarządzania ryzykiem, a następnie je przepracować.
1. Opracowanie koncepcji w zakresie analizy ryzyka i bezpieczeństwa systemów informatycznych.
2. Zarządzanie incydentami bezpieczeństwa. Wiele firm nie posiada specjalistycznego personelu lub budżetu. W takich przypadkach rozwiązaniem może być współpraca z zewnętrznym podmiotem świadczącym usługi cyberbezpieczeństwa.
3. Zarządzanie ciągłością działania, co oznacza utrzymanie operacji związanych z cyberochroną. Przy czym dotyczy to nie tylko sytuacji awaryjnych, czy odzyskiwania danych po awarii lub ataku, ale również zarządzania kryzysowego.
4. Zachowanie bezpieczeństwa w łańcuchu dostaw. Na wstępie konieczne jest określenie zakresu łańcucha dostaw, ponieważ nie wszystkie kwestie są jasno sprecyzowane przy podejmowaniu decyzji o zakupie produktów lub usług. Na przykład do łańcucha dostaw zalicza się również oprogramowanie open source. W świetle wymagań NIS2 należy pamiętać, że ochrona musi obejmować sieci oraz systemy informatyczne i ich środowiska fizyczne.
5. Zachowanie wysokiego bezpieczeństwa w rozwoju, nabywaniu i utrzymaniu systemów informatycznych. Proces ten obejmuje również zarządzanie zarządzanie lukami w zabezpieczeniach.
6. Opracowanie koncepcji i procedur skuteczności środków zarządzania ryzykiem.
7. Ustalenie podstawowych procedur w zakresie cyberhigieny i przeprowadzenia szkoleń pracowników uświadamiających im konsekwencje jakie niosą ze sobą cyberzagrożenia.
8. Opracowanie koncepcji i procedur korzystania z kryptografii i szyfrowania oraz kontroli dostępu.
9. Zarządzanie bezpieczeństwem zakładu.
10. Wprowadzenie uwierzytelniania wieloskładnikowego.
Matthias Zuchowski dodaje, że wymienione obszary tematyczne powinny być realizowane przez firmy oraz instytucje skutecznie i proporcjonalnie. Należy też wziąć pod uwagę istniejące już normy, takie jak np. ISO 27001. Jeśli organizacja posiada certyfikat określający tę normę, to w dużej mierze spełnia wymagania NIS-2 w obszarze zarządzania ryzykiem, pod warunkiem, że osoby odpowiedzialne za ten obszar należycie wywiązują się ze swoich obowiązków i dysponują odpowiednimi rozwiązaniami, takimi jak na przykład systemy do reagowania i wykrywania zagrożeń na urządzeniach końcowych.
Jednak ogólnie rzecz biorąc założenia NIS-2 wykraczają poza ISO, bowiem wymagają dodatkowych działań. W szczególności odnosi się to do odpowiedzialności zarządu i obowiązków sprawozdawczych. NIS-2 dostarcza również informacje dotyczące kosztów: osoby odpowiedzialne za wydatki powinny kierować się ryzykiem i wielkością obiektu.
Jak stworzyć harmonogram NIS-2
We wstępnej fazie trzeba stworzyć grupę projektową zajmującą się kwestiami związanymi z NIS-2. W jej skład powinni wchodzić menedżerowie, kierownik działu IT oraz szef ds. bezpieczeństwa IT. Zdaniem specjalistów z G DATA realizacja każdego z tematów zajmie co najmniej 12 miesięcy, dlatego nie można ich odkładać na później lub realizować na tzw. boku.
Grupa projektowa musi przejść szkolenie w zakresie cyberbezpieczeństwa. Jest ono niezbędne, aby zdobyć wiedzę potrzebną do wykonania zaplanowanego zadania. Kolejnym zadaniem kierownika IT jest poinformowanie członków zarządu o ich odpowiedzialności za wdrożenie NIS-2. Co istotne, do przestrzegania dyrektywy zobowiązują ich normy prawne.
Następny krok dotyczy zapewnienia bezpieczeństwa łańcucha dostaw. Najpierw należy dokonać przeglądu, a to wymaga czasu, ponieważ proces nie ogranicza się wyłącznie do analizy faktur zakupowych, bowiem nie za wszystko się płaci, co pokazuje chociażby przykład open source. Księgowi posługujący się tego rodzaju oprogramowaniem ponoszą większe ryzyko naruszenia danych aniżeli ich koledzy korzystający z aplikacji komercyjnych.
W następnym etapie trzeba zadbać o certyfikaty bezpieczeństwa. W tym celu należy zadać pytanie – „czy ja lub moja firma wytwarzamy produkt, który musi mieć certyfikat bezpieczeństwa, czy też mam obowiązek kupować tylko produkty, które są odpowiednio certyfikowane?”
W różnych branżach istnieją specyfikacje określające, że firmy mogą nabywać jedynie
certyfikowane produkty z określonej kategorii. Niemniej obecnie brakuje odpowiednich przepisów prawnych regulujących tego rodzaju kwestie. Najbardziej znany jest tutaj przypadek budowy komórkowych sieci 5G, znany również jako Lex Huawei.
Mam wątpliwości, czy lista pozostanie tak krótka w przyszłości. Niemniej jednak działy zaopatrzenia powinny się na to przygotować, a firmy powinny z wyprzedzeniem sprawdzić, co musiałyby zrobić, aby uzyskać odpowiedni certyfikat bezpieczeństwa dla swoich produktów. Więc jeśli klienci nie mogą już kupować moich produktów z powodu braku certyfikatu, jest to poważny problem ekonomiczny
Dr. Matthias Zuchowski
Jakie certyfikaty są użyteczne z punktu widzenia NIS-2
Unia Europejska wykazuje w ostatnich latach zwiększoną aktywność w zakresie tworzenia prawa, odnoszącego się do kwestii cyberbezpieczeństwa. W 2016 roku wprowadziła dyrektywę NIS, zaś rok temu NIS-2. Ważną rolę spełnia powołana w 2004 roku Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), działająca na rzecz osiągnięcia wysokiego wspólnego poziomu bezpieczeństwa IT w Europie. ENISA oferuje system certyfikacji, obecnie najbardziej zaawansowany w zakresie Wspólnych Kryteriów (międzynarodowe normy dotyczące oceny bezpieczeństwa informacji).
W procesie certyfikacji wiele firm musi skorzystać ze wsparcia zewnętrznego oraz zaplanować dodatkowe wydatki, ponieważ taka usługa nie jest bezpłatna. Ponadto nabywcy produktów, które wkrótce będą podlegać obowiązkowi certyfikacji, powinni przygotować się na rosnące koszty, ponieważ producenci z pewnością przerzucą na nich koszty związane z tym procesem.
Certyfikacja i co dalej?
Bardzo ważnym tematem w kontekście NIS-2 jest proces raportowania w odniesieniu do sytuacji kryzysowych IT. Bardzo przydatne mogą być tutaj konsultacje z inspektorem ochrony danych. W dalszej fazie nowa dyrektywa przewiduje format wymiany danych na temat cyberzagrożeń. Przedsiębiorstwa powinny skorzystać z okazji, jaką jest wdrożenie NIS-2, aby poprawić stan ogólnego zarządzania ryzykiem.
Doradzam każdej firmie, aby zajmowała się NIS-2 szczegółowo i na wczesnym etapie, bowiem jest to procesy długotrwały, a cyberprzestępcy też nie śpią. Wykorzystają każdą okazję, aby zaatakować organizację.
Dr. Matthias Zuchowski