Jakie wymagania nakłada na firmy dyrektywa NIS 2?

Pod koniec 2022 roku weszła życie dyrektywa NIS 2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii. Kogo dotyczy i jakie wymogi nakłada na przedsiębiorstwa?

Dlaczego uchwalono dyrektywę NIS?

Cyberbezpieczeństwo i ochrona sieci są istotną kwestią nie tylko dla prywatnego przedsiębiorstwa i jednego kraju. Współcześnie większość incydentów i kryzysów cybernetycznych dotyka instytucji finansowych, bankowych czy przedsiębiorstw produkcyjnych i usługowych działających na rynku międzynarodowym. Atak na centralę organizacji nie pozostaje bez wpływu na działanie jej filii w innych krajach.

Potrzebę zbudowania na szczeblu międzynarodowym określonego systemu, który miałby na celu podniesienie poziomu bezpieczeństwa systemów informatycznych na szczeblu międzynarodowym. Efektem pracy przedstawicieli państw członkowskich było przyjęcie 6 lipca 2016 r. przez parlament europejski i Radę Europy (UE) dyrektywy 2016/1148 >>, „w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii”. Dyrektywa w skrócie nazywana NIS (Network and Information Systems Directive) była pierwszym dokumentem, który na poważnie zajął się kwestią zagrożenia cybernetycznego. W Polsce przepisy reguluje ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku >>.

Nadrzędnym celem dyrektywy było wzmocnienie poziomu bezpieczeństwa cybernetycznego Unii Europejskiej i poprawa funkcjonowania rynku wewnętrznego.
Dyrektywa zobowiązywała wszystkie państwa członkowskie do stworzenia krajowych systemów i powołania określonych organów mających zająć się strategią bezpieczeństwa.
Kwestiami równie ważnymi, będącymi konsekwencją podpisania dokumentu przez wszystkie kraje członkowskie, było:

• wzmocnienie współpracy międzynarodowej,
• wymiana informacji między państwami,
• a także wytyczenie wspólnych standardów dotyczących reagowania na incydenty bezpieczeństwa komputerowego.

Dlaczego zostało wprowadzone NIS 2?

Pierwsza dyrektywa przyjęta w 2016 roku koncentrowała się na wybranych i uznanych za kluczowe, sektorach przemysłu takich jak energetyka, transport, służba zdrowia, instytucje bankowe i finansowe, a także zaopatrzenie wody czy infrastruktura cyfrowa. Rozwój technologii, a co za tym idzie, pojawienie się coraz to nowszych zagrożeń zmusiło ustawodawcę do wprowadzenia zmian do bazowego dokumentu.
Z biegiem czasu pojawiła się konieczność rozszerzenia tych wytycznych również na inne sektory, znaczne doprecyzowanie i uszczegółowienie, a także zaostrzenie pewnych przepisów związanych z polityką bezpieczeństwa czy analizą ryzyka. Już 16 grudnia 2020 roku opublikowano projekt nowej dyrektywy NIS 2, który przyjęty został przez parlament w życie 2 lata później, czyli 27 grudnia 2022 roku >>.

Jakie zmiany pojawiły się w NIS 2?

NIS 2 bardziej restrykcyjnie podchodzi do kwestii bezpieczeństwa i podnosi wymagania wobec podmiotów, których dotyczy. W porównaniu do pierwszego dokumentu rozszerzony został zakres podmiotowy o nowe sektory jak administracja publiczna, sektor żywnościowy, utylizacji ścieków, zarządzania odpadami, usługi pocztowe i kurierskie, a także przestrzeń kosmiczna. Znalazły się w niej również precyzyjniejsze wytyczne dotyczące niektórych sektorów np. związanych z infrastrukturą cyfrową.

Jedną z najważniejszych zmian jest wprowadzenie narzędzi do nadzoru i egzekwowania przepisów. Wprowadzono konkretne kary pieniężne za niedostosowanie się do wytycznych dyrektywy – dość dotkliwe dla przedsiębiorstwa.

Kary pieniężne wg dyrektywy NIS2

• dla podmiotów kluczowych: maksymalnej wysokości co najmniej 10 000 000 EUR lub co najmniej 2 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot kluczowy (zastosowanie ma kwota wyższa)
• dla podmiotów ważnych: co najmniej 7 000 000 EUR lub 1,4% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa, do którego należy podmiot ważny, przy czym zastosowanie ma kwota wyższa.

Czy NIS2 dotyczy również twojej firmy?

Wytyczne zawarte w dyrektywie unijnej obejmują przedsiębiorstwa działające w większości kluczowych sektorów gospodarki. Ustawodawca sugeruje, aby podzielić je na tzw. podmioty kluczowe i podmioty ważne. To, do jakiej grupy firma zostanie zakwalifikowana, zależy od ważności danej jednostki dla sektorów gospodarki, a także wielkości danego przedsiębiorstwa. Zakwalifikowanie do poszczególnych grup jest niezwykle istotne. Wiąże się z odmiennym zestawem wymagań.

Podmioty kluczowe (essential services)

W grupie podmiotów kluczowych znajdują się przedsiębiorstwa i organizacje sektora prywatnego i publicznego dostarczające kluczowe usługi (essential services) i których działanie jest zależne od sieci teleinformatycznej, a potencjalne zagrożenie sieci informatycznej może mieć istotny wpływ możliwość świadczenia tych usług.

Brak zmian w stosunku do Dyrektywy NIS z 2016 roku.

• Energetyka (m.in. energia elektryczna, system ciepłowniczy lub chłodniczy);
• Transport (powietrzny, kolejowy, wodny, drogowy);
• Woda pitna (dostawcy i dystrybutorzy „wody przeznaczonej do spożycia przez ludzi”);
• Bankowość;
• Infrastruktura rynków finansowych.

Rozszerzenie zakresu w stosunku do Dyrektywy NIS.

• Opieka zdrowotna (np. podmioty prowadzące działalność badawczo-rozwojową, podmiot produkujący produkty medyczne).;
• Ropa naftowa, gaz (np. operatorzy systemów dystrybucyjnych) czy wodór;
• Ścieki głównie (np. przedsiębiorstwa zbierające, odprowadzające lub oczyszczające ścieki komunalne);
• Infrastruktura cyfrowa (np. dostawcy usług DNS, usług chmurowych);
• Zarządzanie usługami ICT;
• Administracja publiczna;
• Przestrzeń kosmiczna.

Szczegółowy wykaz sektorów kluczowych znajduje się w I załączniku do ustawy >>.

W porównaniu z pierwotną ustawą do załącznika wprowadzono nowe branże i usługi. Ten wykaz nowych podmiotów znalazł się w załączniku nr II do ustawy >>. Wynika z niego, że obowiązek wdrożenia dyrektyw dotyczy również podmiotów, które świadczą następujące usługi:

Podmioty ważne (important entities) to:

• usługi pocztowe i kurierskie;
• gospodarowanie odpadami;
• produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny);
• maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy);
• produkcja i dystrybucja chemikaliów;
• produkcja, przetwarzanie i dystrybucja żywności;
• dostawcy usług cyfrowych w tym wyszukiwarek internetowych, platform social media i platform handlowych.

W jaki sposób trzeba się przygotować do dyrektywy NIS?

Po przyjęciu 27 grudnia 2022 roku przez Parlament Europejski NIS2 Polska, a w tym przedsiębiorstwa i instytucje, mają 20 miesięcy na dostosowanie się do dyrektyw unijnych. Oznacza to, że bez względu na to czy znajdujemy się w sektorze usług kluczowych czy ważnych musimy przedsięwziąć w swoich organizacjach kroki, które pozwolą nam na sprawne wypełnienie wszystkich wymogów, jakie nakłada na nas dokument. A te dotyczą m.in. następujących kwestii:

1. Analiza ryzyka i polityka bezpieczeństwa systemów informatycznych.

Analiza ryzyka w skrócie jest to proces, który ma na celu oszacowanie prawdopodobieństwa wystąpienia danego incydentu i wykonanie jego priorytetyzacji, a także wstępne oszacowanie ewentualnych strat, jakie mogą wynikać z wystąpienia tego incydentu. Innymi słowy, oceniamy przygotowanie przedsiębiorstwa na ewentualny atak, biorąc pod uwagę dostępne zasoby i wiele kryteriów. Dane do analizy dostarczają m.in. audyty infrastruktury >> i sprzętu, a także polityka bezpieczeństwa >> organizacji.

2. Obsługa incydentów (zapobieganie, wykrywanie i reagowanie na incydenty).

Przedsiębiorstwo czy organizacja musi również wdrożyć odpowiednią politykę, która umożliwi skuteczne i spójne działanie w sytuacji kryzysowej. Począwszy od narzędzi mających na celu wykrywanie zagrożenia poprzez kluczowe systemy reagowania w kryzysowych sytuacjach.

Sugerowane rozwiązania:

• SIEM >>
• SOAR (Security Orchestration, Automation and Response): platforma bezpieczeństwa oferująca centralne zarządzanie dla wszystkich zdarzeń związanych z cyberbezpieczeństwem
• XDR >>
• NTA (Network Traffic Analyzer) rozwiązanie oferujące monitorowanie dostępności i aktywności sieci w celu identyfikacji anomalii m.in związanych z bezpieczeństwem sieci i działaniem systemów.
• NDR >>
• NGFW >>

3. Zapewnienie ciągłości działania i zarządzania kryzysowego.

W przedsiębiorstwie musisz podjąć również kroki, które pozwolą na utrzymanie ciągłości działania w przypadku wystąpienia danego incydentu. Chodzi tutaj m.in. o kopie zapasowe plików pozwalające na przywrócenie systemu po awarii czy ataku i relatywnie szybkie wznowienie produkcji czy świadczenia określonych usług.

Sugerowane rozwiązania:

• Disaster Recovery – specjalny dokument opisujący szczegółowo procesy i procedury dotyczące wznowienia lub utrzymania sprzętu, infrastruktury po jej wstrzymaniu (np. z powodu awarii czy ataku hackerskiego)

4. Bezpieczeństwo łańcucha dostaw.

Zagadnienia bezpieczeństwa dotyczą nie tylko tego, co dzieje się w przedsiębiorstwie, ale również całych relacji pomiędzy podmiotem, a dostawcami i usługodawcami.

5. Edukacja pracowników z zakresu cyberbezpieczeństwa.

Podmioty powinny również zadbać o to, aby pracownicy stosowali się do podstawowych zasad cyberbezpieczeństwa. Zalecane są specjalne szkolenia w zakresie cyber higieny >> i bezpieczeństwa systemów i sieci z naciskiem na standardy wymagane w danej organizacji.

6. Szyfrowanie i kryptografia.

W przypadkach wymagających zachowania poufności danych, ustawa narzuca na podmioty obowiązek wdrożenia specjalnych procesów w tym stosowania kryptografii, a nawet szyfrowania >>.

Sugerowane rozwiązania:

• VPN >>
• ZTNA (Zero-Trust Network Access) rozwiązanie bezpieczeństwa IT oferujące kontrolowany dostęp (wg określonych zasad) do aplikacji, danych i usług organizacji
• Kontrola dostępu >>

W przedsiębiorstwach będą musiały zostać wdrożone specjalne mechanizmy, które uniemożliwiłyby dostęp do danych wrażliwych osobom do tego niepowołanym. Niezbędna jest implementacja specjalnych rozwiązań kontroli dostępu >>, w razie konieczności wieloskładnikowych sposobów autoryzacji >>.

7. Zgłaszanie incydentów.

W świetle ustawy o cyberbezpieczeństwie z 2018 roku organizacje i przedsiębiorstwa mają również obowiązek raportowania i zgłaszania incydentów poważnych. Podmiot musi wykonać zgłoszenie do właściwego CSIRT MON, CSIRT NASK niezwłocznie i nie później niż 24 godziny (albo moment jego wykrycia).

Kontrole i kary

Każde przedsiębiorstwo ma około 20 miesięcy (od momentu przyjęcia dyrektywy) na przygotowanie się do dyrektywy unijnej. Istotne jest to nie tylko ze względu na zapewnienie swojej organizacji odpowiedniej ochrony, ale również z uwagi na konsekwencje zaniechania tej kwestii.
Dotyczy to przede wszystkim podmiotów kluczowych, które w świetle przepisów mogą podlegać regularnym kontrolom a także kontrolom wyrywkowym przez odpowiednie instytucje. Takie kontrole będą przeprowadzane również w instytucjach ważnych jednak (w odróżnieniu do podmiotów ważnych) są to kontrole, które będą przeprowadzane ex post, czyli po wystąpieniu danego incydentu.
Innymi słowy, jeżeli w naszym przedsiębiorstwie (zakwalifikowanym jako podmiot ważny) wystąpił incydent bezpieczeństwa musimy liczyć się z kontrolą. Jeżeli wykaże ona, że nie byliśmy odpowiednio przygotowani, skończy się nałożeniem kary.

Zestawienie informacji zawartych w DYREKTYWIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2)

Chcesz dostosować firmę do wymogów dyrektywy NIS 2?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl. Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.