Zarządzanie bezpieczeństwem informacji w ramach danej organizacji stanowi aktualnie strategiczne minimum w zakresie skutecznej walki z cyberprzestępczością. Stosowanie jednolitych środków zapobiegawczych pomaga w świadomej budowie podstawowych zabezpieczeń oraz utrzymaniu kontroli nad procesami zarządzania ryzykiem.
Naprzeciw powyższym oczekiwaniom w kontekście zwiększania poziomu cyberbezpieczeństwa wychodzi Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zwana inaczej Dyrektywą NIS2.
Sprawdź, jakie zmiany wprowadza i dowiedz się, jak te zmiany mogą wpłynąć na codzienne funkcjonowanie w cyfrowym świecie.
Spis treści
1. Czym jest Dyrektywa NIS2?
2. Jakie podmioty są objęte regulacją NIS2?
3. Kiedy NIS2 wejdzie w życie?
4. Czy wprowadzenie zmian było konieczne? NIS1 vs NIS2
5. Środki zarządzania ryzykiem
6. Obowiązki przewidziane w NIS2 i korzyści z nich wynikające
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 to regulacja prawna Unii Europejskiej mająca na celu wzmocnienie cyberbezpieczeństwa na terenie państw członkowskich. Stanowi ona nowelizację pierwotnej dyrektywy NIS (Network and Information Systems Directive) z 2016 roku i jest odpowiedzią na dynamicznie zmieniający się krajobraz cyfrowy oraz rosnące zagrożenia związane z cyberatakami. Z uwagi na fakt, iż Dyrektywy UE nie są stosowane wprost w porządku prawnym krajów członkowskich, podlegają implementacji poprzez ustanawiania i wdrażanie odpowiednich ustaw krajowych. W Polsce aktualnie trwają prace legislacyjne nad stworzeniem takiej ustawy.
Kluczowe zmiany przewidziane dyrektywą NIS2 to:
- Rozszerzenie zakresu podmiotowego o nowe sektory oraz wdrożenie nowego podziału na podmioty ważne oraz kluczowe,
- Zwiększenie wymogów w zakresie zarządzania ryzykiem oraz postępowania z incydentami, w tym ich raportowania
- Wzmocnienie współpracy między państwami członkowskimi Unii Europejskiej, w tym poprzez utworzenie Grupy Współpracy oraz tzw. CSIRT, czyli zespołów ds. reagowania na incydenty
- Wdrożenie surowszych kar za nieprzestrzeganie przepisów Dyrektywy NIS2 oraz wzmocnienie roli organów nadzoru nad podmiotami zobowiązanymi do spełnienia wymogów,
- Zaznaczenie roli Zarządów podmiotów objętych Dyrektywą NIS2, jako odpowiedzialnych za zapewnienie cyberbezpieczeństwa, w tym poprzez zagwarantowanie odpowiedniej wiedzy czy kompetencji.
Nowe przepisy mają na celu zapewnienie wysokiego poziomu ochrony sieci i systemów informacyjnych, które są krytyczne dla funkcjonowania społeczeństwa i gospodarki UE.
Jakie podmioty są objęte regulacją NIS2?
Dyrektywa NIS2 obejmuje swym zasięgiem szeroki zakres podmiotów prywatnych, jak również instytucji publicznych - dzieje się tak w oparciu o następujące kryteria:
- podmioty o odpowiedniej wielkości (size cap rule), przekraczające pułapy dla średnich przedsiębiorstw, tj. >50 pracowników i roczny obrót >10 mln EUR
Dyrektywa w tym zakresie przewiduje jednak wyjątki - regulacją NIS2 mogą zostać objęte również mikroprzedsiębiorstwa, jeśli zostały zdefiniowane jako kluczowe dla wybranych sektorów (np. usługi, których zakłócenie mogłoby zagrozić bezpieczeństwu lub zdrowiu publicznemu; dostawcy usług zaufania; jednostki administracji publicznej),
- podmioty działające w konkretnych sektorach uznanych przez UE jako istotne.
W oparciu o powyższe kryteria podmioty objęte regulacją NIS2 zostały podzielone na podmioty kluczowe i podmioty ważne.
Podział podmiotów objętych regulacją NIS2 w oparciu o wielkość:
- kluczowe: >250 pracowników i roczny obrót >50 mln EUR
- ważne: >50 pracowników i roczny obrót >10 mln EUR
Podział podmiotów objętych regulacją NIS2 w oparciu o sektory:
| SEKTORY KLUCZOWE |
SEKTORY WAŻNE |
| ENERGETYKA |
USŁUGI POCZTOWE I KURIERSKIE |
| TRANSPORT |
GOSPODAROWANIE ODPADAMI |
| BANKOWOŚĆ |
PRODUKCJA, WYTWARZANIE I DYSTRYBUCJA CHEMIKALIÓW |
| INFRASTRUKTURA RYNKÓW FINANSOWYCH |
PRODUKCJA, PRZETWARZANIE I DYSTRYBUCJA ŻYWNOŚCI |
| OPIEKA ZDROWOTNA |
PRODUKCJA WYROBÓW MEDYCZNYCH |
| WODA PITNA |
PRODUKCJA WYROBÓW ELEKTRONICZNYCH |
| ŚCIEKI |
PRODUKCJA WYROBÓW OPTYCZNYCH |
| INFRASTRUKTURA CYFROWA |
PRODUKCJA POJAZDÓW SAMOCHODOWYCH |
| ZARZĄDZANIE USŁUGAMI ICT |
DOSTAWCY USŁUG CYFROWYCH |
| ADMINISTRACJA PUBLICZNA |
BADANIA NAUKOWE |
| PRZESTRZEŃ KOSMICZNA |
|
| |
|
| |
|
Powyższy podział bezpośrednio determinuje rodzaj odpowiedzialności i wysokość kar administracyjnych przewidzianych dla konkretnych podmiotów w razie stwierdzenia naruszeń obowiązków nałożonych na te podmioty przepisami Dyrektywy.
Kiedy NIS2 wejdzie w życie?
Dyrektywa NIS2 (Network and Information Systems Directive 2) weszła w życie 16 stycznia 2023 roku, dając państwom członkowskim Unii Europejskiej czas na implementację jej postanowień do dnia 17 października 2024 roku. Państwa członkowskie mają zatem określony czas na dostosowanie swoich krajowych przepisów oraz na wprowadzenie w organizacjach odpowiednich procesów i procedur, aby zapewnić pełną zgodność swojej działalności z wymaganiami przewidzianymi w NIS2.
W przypadku polskiego porządku prawnego transponowanie postanowień NIS2 najprawdopodobniej nastąpi w ramach nowelizacji ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Przedsiębiorstwa powinny zatem jak najszybciej rozpocząć prace nad wdrożeniem nowych regulacji, aby uniknąć potencjalnych sankcji i zapewnić bezpieczeństwo swoich systemów informatycznych.
Czy wprowadzenie zmian było konieczne? NIS1 vs NIS2
Kierując się potrzebą zwiększenia poziomu cyberbezpieczeństwa w Unii Europejskiej, w 2016 roku wprowadzono Dyrektywę NIS. Kontrole mające na celu weryfikację skuteczności funkcjonowania NIS wykazały, że zakres wdrożeń przepisów unijnych przez państwa członkowskie nie zawsze pozostawał spójny, a nadto od 2016 roku cyfrowa rzeczywistość przeszła tak wiele rewolucyjnych zmian, że dotychczasowe regulacje przestały być wystarczające. To z kolei bezpośrednio wpłynęło na wzrost liczby cyberzagrożeń kierowanych nie tylko w stronę obywateli bądź firm, ale również w kierunku ciągłości działania krytycznej infrastruktury państw.
Dyrektywa NIS2 wprowadza znaczące zmiany w porównaniu do swojej poprzedniczki, Dyrektywy NIS z 2016 roku. Kluczową różnicą jest istotne zwiększenie liczby podmiotów obowiązanych do stosowania jej regulacji: dokonano podziału podmiotów na kluczowe i ważne; a nadto poza kryterium wielkościowym, wprowadzono kryterium przedmiotowe.
Podczas gdy NIS dotyczyła głównie operatorów usług kluczowych w sektorach takich jak energetyka, transport, bankowość, zdrowie i finanse, NIS2 obejmuje także dodatkowe branże, m.in: w zakresie zarządzania usługami ICT, administracji publicznej, przestrzeni kosmicznej oraz dostawców usług zaufania. NIS2 (w przeciwieństwie do Dyrektywy NIS) przyjmuje zasadę samookreślenia podmiotów (self-assessment). Zgodnie z tą zasadą podmioty we własnym zakresie są zobowiązane dokonać oceny, czy spełniają przesłanki do kwalifikacji jako podmiot KLUCZOWY lub WAŻNY.
Nowa dyrektywa zawiera również szczegółowe minimalne wymagania w zakresie środków zarządzania ryzykiem podejmowanych przez podmioty obowiązane. NIS2 definiuje, że wszystkie podmioty muszą podejmować odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego sieci i systemów informatycznych. Środki te to w rzeczywistości wdrożone polityki bezpieczeństwa systemów informatycznych organizacji, aktualizowane procedury i rozwiązania technologiczne, analizy cyberryzyk, plany ciągłości działania i zarządzania kryzysowego, ale również audyty bezpieczeństwa i testy penetracyjne.
NIS2 przewiduje ściślejszy nadzór i egzekwowanie przepisów przez organy krajowe oraz kładzie większy nacisk na zarządzanie ryzykiem w łańcuchu dostaw - zagrożenia w tym zakresie dotyczą stosunków pomiędzy podmiotami a dostawcami.
W NIS2 szczególną wagę przypisano również kwestii szkoleń i cyberhigieny. Przewidziano bowiem obowiązek cyklicznych szkoleń dla pracowników i współpracowników na wszystkich szczeblach. Edukacja w tym zakresie winna być szczegółowo dostosowana do specyfiki organizacji.
W rezultacie więcej przedsiębiorstw, zarówno dużych, jak i średnich, musi przestrzegać nowych wymagań, co ma na celu wzmocnienie odporności systemów sieciowych i informacyjnych w całej Unii Europejskiej.
Środki zarządzania ryzykiem
Na mocy Dyrektywy NIS2 podmioty kluczowe oraz podmioty ważne są zobowiązane do wdrożenia środków zarządzania ryzykiem (art. 21 NIS2). Analiza ryzyka w świetle postanowień NIS2 w rzeczywistości wychodzi ponad zwykłe środki zabezpieczające, które nadal stosowane są w organizacjach w sposób intuicyjny, niekoniecznie zaś w sposób uregulowany i usystematyzowany. Aktualnie uzasadnione jest odwołanie do standardów zarządzania ryzykiem (norma ISO 27001 czy też rodzina norm ISO 31000), chociażby w aspekcie przygotowania metodyki analizy ryzyka i jego oszacowania.
Zgodnie z art. 21 NIS2 środki zarządzania ryzykiem bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami i obejmują co najmniej następujące elementy:
a) politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
b) obsługę incydentu;
c) ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
g) podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h) polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
i) bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
j) w stosownych przypadkach - stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Co w rzeczywistości oznaczają powyższe postanowienia i jakie mają znaczenie dla Autenti?
Kluczowe jest, że w ramach środków zarządzania ryzykiem wobec podmiotów objętych NIS2 (w tym również wobec Autenti) przewidziano 2 standardy mające stanowić podstawę dokumentacyjną:
- DOKUMENTACJĘ NORMATYWNĄ - w ramach wypełnienia tego obowiązku Autenti wdrożyło System Zarządzania Bezpieczeństwem Informacji (zgodnie z normą ISO/IEC 27001:2017) oraz System Zarządzania Ciągłością Działania (zgodnie z normą ISO 22301:2020). W oparciu o treść powyższych norm Autenti wprowadziło i stosuje szereg dokumentów normatywnych, jak np. polityka bezpieczeństwa informacji i ciągłości działania - na mocy której deklaruje się zgodne z przepisami prawa, a przewidziane w Dyrektywie rozwiązania, zabezpieczenia, metodyki zarządzania ryzykiem, czy też działania w celu zapewnienia ciągłości świadczonych usług.
- DOKUMENTACJĘ OPERACYJNĄ (odpowiadającą na wymagania normatywne) - w ramach wypełnienia tego obowiązku Autenti prowadzi np. rejestr incydentów, rejestr ryzyk, plan szkoleń i wykonania szkoleń czy też, inwentaryzację procesów, aktywów, urządzeń.
Obowiązki przewidziane w NIS2 i korzyści z nich wynikające
Dyrektywa NIS2 nakłada szereg obowiązków na podmioty objęte jej postanowieniami. Autenti jako podmiot zobowiązany przestrzega wszystkich rygorów, a to z kolei wzmacnia wiarygodność firmy na rynku oraz zwiększa odporność na cyberzagrożenia.
NIS2 nakłada na podmioty kluczowe i ważne obowiązek wdrożenia środków zarządzania ryzykiem oraz monitorowania i reagowania na incydenty bezpieczeństwa. Podmioty zobowiązane powinny posiadać procedury zarządzania i postępowania z incydentami; dokumentację przebiegu reakcji na incydent oraz dokumentację dotyczącą przekazywania informacji do właściwego CSIRT. Ponadto podmioty mają obowiązek monitorowania i wykrywania incydentów w zakresie poufności, dostępności, integralności oraz autentyczności.
Organizacje są zobowiązane do zgłaszania incydentów bez zbędnej zwłoki oraz informowania odbiorców usług o potencjalnych zagrożeniach i środkach zaradczych.
Audyt bezpieczeństwa to kolejny element wymagany zarówno przepisami NIS2, jak i projektem ustawy o krajowym systemie cyberbezpieczeństwa. Badane podmioty podlegają kontroli w ściśle oznaczonych obszarach, tj. organizacji i procesów zarządzania bezpieczeństwem informacji, zarządzania zmianą, utrzymania i rozwoju systemów informacyjnych, bezpieczeństwa fizycznego, jak również zarządzania bezpieczeństwem i ciągłością działania łańcucha usług.
Z powyższych, ale również z innych obowiązków przewidzianych wobec konkretnych podmiotów, w rzeczywistości wynika wiele korzyści. Organizacje zwiększają odporność na cyberzagrożenia - regularne szkolenia dla organów zarządzających oraz pracowników dostarczają wiedzy, ale przede wszystkim świadomości w zakresie zarządzania ryzykiem cybernetycznym. Dyrektywa promuje stosowanie innowacyjnych i zaawansowanych technologii, takich jak szyfrowanie danych, kryptografia, segmentacja, czy też zarządzanie dostępem, co zapewnia poufność i integralność informacji. Przeprowadzanie natomiast testów penetracyjnych pomaga organizacjom identyfikować luki w zabezpieczeniach i wdrażać środki zaradcze, a to z kolei zwiększa ogólne bezpieczeństwo cyfrowe.
Dla Autenti jako podmiotu świadczącego usługi zaufania, zagwarantowanie bezpieczeństwa cybernetycznego stanowi dzisiaj podstawowy, niewątpliwy wymóg, nie zaś jakąkolwiek możliwość bądź alternatywę. Wiedząc, że Autenti w ramach świadczenia usług zaufania spełnia wszystkie rygorystyczne warunki nałożone postanowieniami Dyrektywy NIS2, Klienci Autenti nie muszą mieć jakichkolwiek obaw w odniesieniu do bezpieczeństwa funkcjonującej w Autenti infrastruktury cyfrowej.
Dowiedz się, jak eksperci Autenti mogą pomóc Ci przyspieszyć procesy biznesowe dzięki rozwiązaniom zgodnym z NIS2
