W styczniu br, weszła w życie tzw. dyrektywa NIS2 dotycząca cyberbezpieczeństwa, będąca rozwinięciem dyrektywy NIS. Głównym celem jest poprawa bezpieczeństwa cyfrowego w krajach Unii Europejskiej oraz zdolności do reagowania na incydenty, zaś sama dyrektywa dotyczy zarówno podmiotów publicznych, jak i prywatnych z wielu sektorów. Nowe przepisy dotyczące cyberbezpieczeństwa obejmują dużo szerszą listę podmiotów oraz nakładają dodatkowe obowiązki na te podmioty. Szacuje się, że w samej Polsce ich około 10.000. Oczywiście nie należy traktować NIS2 jako wyłącznie wymóg regulatora, ale jako usystematyzowanie i ustandaryzowanie ochrony przed zagrożeniami cyfrowymi zarówno administracji jak i firm.

Kiedy?

Kraje członkowskie powinny znowelizować istniejące ustawy (w Polsce to ustawa o Krajowym Systemie Cyberbezpieczeństwa) najpóźniej do dnia 17.10.2024, natomiast czas na implementację dyrektywy określony został na 18. października przyszłego roku. W przypadku późnego uchwalenia polskiej ustawy, może okazać się, że czasu na przeprowadzanie audytu, opracowanie i wdrożenie procedur oraz zastosowania rozwiązań technologicznych nie wystarczy, gdy podmiotu zajmą się tematem dopiero po uchwaleniu polskiej ustawy. Dlatego temat NIS2 jest już w tej chwili aktualny – implementacja w organizacji to zadanie na kilka kwartałów.

Kogo obowiązuje?

Lista sektorów objętych dyrektywą została mocno rozszerzona i wprowadzono dodatkowo, oprócz sektorów kluczowych, określenie sektorów ważnych, które podlegają praktycznie tym samym regulacjom.

Sektory kluczowe: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, infrastruktura cyfrowa (dostawcy punktu wymiany ruchu internetowego, dostawcy usług DNS, z wyłączeniem operatorów głównych serwerów nazw,  rejestry nazw TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej, dostawcy publicznie dostępnych usług łączności elektronicznej), zarządzanie usługami ICT (dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa), podmioty administracji publicznej, przestrzeń kosmiczna.

Sektory ważne: Usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja (wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, komputerów, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń, gdzie indziej niesklasyfikowana, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego, dostawcy usług cyfrowych (dostawcy internetowych platform handlowych, dostawcy wyszukiwarek internetowych, dostawcy platform usług sieci społecznościowych), badania naukowe

Dyrektywa NIS2 i implementacje krajowe będą dotyczyć podmiotów średnich i dużych czyli:

– organizacje średniej wielkości, czyli zatrudniające minimum 50 pracowników, o rocznych przychodach w wysokości 10M€ albo rocznej sumie bilansowej do 43M€,

 – organizacje zatrudniające minimum 250 pracowników, o rocznych przychodach w wysokości 50M€ i/lub sumie bilansowej 43M€ lub wyższej.

Nowe obowiązki nie będą dotyczyć mikroprzedsiębiorstw ani przedsiębiorstw małych, z wyjątkami: dostawców usług łączności elektronicznej, monopoli krajowych o szczególnym znaczeniu lub prowadzących działalność transgraniczną oraz administracja publiczna będą podlegały dyrektywie NIS2 niezależnie od skali swej działalności.

Czym grozi niezgodność?

Dyrektywa NIS2 wprowadza nowe obowiązki z zakresu zarządzania cyberbezpieczeństwem, polegające na obligatoryjnym stosowaniu konkretnych rozwiązań z zakresu zarządzania ryzykiem, w tym m.in.:

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych,\
  • polityki zarządzania incydentami,
  • planów ciągłości działania
  • zapewnienia bezpieczeństwa łańcucha dostaw.

Za wprowadzenie tych mechanizmów odpowiadają bezpośrednio organy zarządcze. 

Regulator określił wysokość kar, które będą zależne od rodzaju podmiotu – w przypadku podmiotów kluczowych będą to kary w wysokości do 10M€ lub 2% łącznego światowego obrotu w poprzednim roku, natomiast dla podmiotów ważnych do 7M€ lub 1,4% łącznego światowego obrotu w poprzednim roku, przy czym w obu przypadkach, zastosowanie ma kwota wyższa. Jak widać zaczerpnięto pomysł z karami z RODO (GDPR), gdyż okazuje się, że w wielu krajach dopiero kary powodują, że temat staje się istotny dla wielu zarządzających.

Obowiązki podmiotów

Na podmioty objęte dyrektywą nałożono szereg obowiązków, które wymieniono poniżej:

  • Obowiązkowe szkolenia dla kadry kierowniczej oraz zalecane dla pracowników;
  • Stosowanie własnych lub nabytych certyfikowanych produktów, usług i procesów ICT; zalecane korzystanie z kwalifikowanych usług zaufania
  • W stosownych wypadkach powiadomienie odbiorców usług o poważnych incydentach oraz środkach zaradczych;
  • Proporcjonalne środki zarządzania ryzykiem w cyberbezpieczeństwie uwzględniające: ryzyko,  wielkość podmiotu,  prawdopodobieństwo wystąpienia incydentów i ich dotkliwość;
  • Zgłaszanie incydentów poważnych do odpowiedniego CSIRT/ właściwego organu;
  • Zawiadamianie o uczestnictwie w mechanizmach wymiany informacji:
    Środki zarządzania ryzykiem
    Regulator wymaga wdrożenia odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w dwóch celach:
    – aby zarządzać ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług (każdy podmiot stosuje narzędzia do prowadzenia działalności i świadczenia usług) 
    – w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu (każdy podmiot funkcjonuje w określonym otoczeniu i komunikuje się z nim). 

Podjęte środki te mają uwzględniać wszystkie zagrożenia i chronić przed incydentami i mają być: proporcjonalne, uwzględniające stopień narażenia podmiotu na ryzyko, uwzględniające wielkość podmiotu, uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze. Dyrektywa nie określa konkretnych obszarów, dokładnych sposobów, pozostawiając to zaleceniom poaudytowym.

W przypadku stwierdzenia niezgodności środków wdrożonych z wymaganiami dyrektywy, podmiot zobowiązany będzie do bezzwłocznego zastosowania środków naprawczych.

Jakie mają to być środki zarządzania ryzykiem?

Regulator określa jakie środki zarządzania ryzykiem powinny zostać wdrożone. 

  • polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
  • podstawowych praktyk cyberhigieny i szkoleń w zakresie cyberbezpieczeństwa; 
    obsługi incydentu;
  • bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawnienia;
  • polityk i procedur stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
  • w stosownych przypadkach – stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych;
  • ciągłości działania np. zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej i, zarządzania kryzysowego;
  • polityk i procedur służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
  • bezpieczeństwa zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami.

Cieszy nacisk na szkolenia i zwiększenie security awerness, a także ocenę cyberbezpieczeństwa w powiązaniu z otoczeniem. Pod względem technologicznym szczególny nacisk położono na wdrożenie narzędzi w obszarze backupu i disaster recovery, uwierzytelniania wielo/dwuskładnikowego oraz szyfrowania

Co mam zrobić?

Pierwsza sprawa to sprawdź, czy nowe przepisy znajdą zastosowanie do Twojej firmy.

Następnie określ (na wysokim stopniu ogólności), do jakiego stopnia Twoja firma już spełnia wymagania Dyrektywy NIS2. Na pewno warto śledzić prace ustawodawcze nad zmianami do ustawy o krajowym systemie cyberbezpieczeństwa. Natomiast już teraz rozpocznij proces analizy ryzyka i wdrożenia brakujących elementów wewnątrz organizacji w celu zapewnienia zgodności z nowymi przepisami. W momencie przyjęcia przepisów będzie za późno na rozpoczęcie prac. Pamiętaj, że robisz to nie tylko z powodu regulacji, ale dla zapewnienia ciągłości działania organizacji, bezpieczeństwa Twoich klientów, swojego i tego, że firma będzie odporna na zagrożenia z przestrzeni cybernetycznej.

Artykuł powstał na podstawie publikacji

– „NIS2 – rewolucja w obszarze cyberbezpieczeństwa. Co z niej wynika dla Twojej firmy?” Autorzy: Tomasz Zalewski, Kuba Ruiz, Michal Smiechowski (https://www.twobirds.com/pl/insights/2023/poland/230116-nis2-rewolucja-w-obszarze-cyberbezpieczenstwa)
– „Obowiązki podmiotów kluczowych i ważnych w dyrektywie NIS 2”, autor: Aleksandra Szczęsna (https://cyberpolicy.nask.pl/obowiazki-podmiotow-kluczowych-i-waznych-w-dyrektywie-nis2/)