16 stycznia 2023 roku weszła w życie aktualizacja dyrektywy NIS dotyczącej systemów sieciowych i informacyjnych z 2016 roku. Aktualna wersja nosi nazwę NIS2, a ściślej mówiąc jest to dokument o nazwie „DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 ”. NIS2 jest ulepszoną wersją NIS, uwzględniającą nowe sektory gospodarki, definiującą dodatkowe obowiązki w zakresie zarządzania. Poznaj wszystkie szczegóły związane z tym tematem, zakresem dyrektywy oraz dowiedz się, jak Ekran System może pomóc zachować zgodność z Dyrektywą NIS2.
Spis treści
Dyrektywy Unii Europejskiej dotyczące bezpieczeństwa sieci i informacji
Dyrektywy te, stanowią część szerszego podejścia Unii Europejskiej do cyberbezpieczeństwa, ochrony danych osobowych i tworzenia zaufania w obszarze cyfrowym, na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa. Przepisy te mają wpływ w szczególności na zwiększenie poziomu cyberbezpieczeństwa w państwach członkowskich. Organizacje działające w UE muszą spełniać obowiązki wynikające z przepisów, przestrzegać wytycznych i dostosować swoje praktyki bezpieczeństwa do określonych wymogów, aby zapewnić odpowiedni poziom ochrony danych i infrastruktury. Naruszenie zasad może prowadzić do sankcji finansowych i innych konsekwencji prawnych.
Oto kilka kluczowych dyrektyw w tym zakresie:
Dyrektywa NIS2 (Network and Information Security Directive): Dyrektywa NIS2 jest jednym z najważniejszych aktów prawnych UE dotyczących bezpieczeństwa cybernetycznego. Jej celem jest zapewnienia bezpieczeństwa cyfrowego sieci oraz spójnego i skoordynowanego podejścia do ochrony krytycznej infrastruktury informacyjnej w UE. Dyrektywa NIS2 określa wymogi dotyczące bezpieczeństwa sieci i informacji dla dostawców usług cyfrowych oraz operatorów usług kluczowych dla funkcjonowania państwa.
Rozporządzenie GDPR (Ogólne Rozporządzenie o Ochronie Danych): GDPR to rozporządzenie UE dotyczące ochrony danych osobowych. Chociaż jego głównym celem jest ochrona prywatności danych, wprowadza również wymogi dotyczące bezpieczeństwa danych osobowych. Organizacje muszą zapewnić odpowiednie środki bezpieczeństwa, aby chronić dane osobowe przed utratą, dostępem nieautoryzowanym, zmianami czy ujawnieniem.
Dyrektywa eIDAS (Elektroniczna Identyfikacja i Usługi Zaufania): Dyrektywa eIDAS reguluje identyfikację elektroniczną i usługi zaufania w UE. Ma na celu ułatwienie transakcji elektronicznych oraz zapewnienie bezpieczeństwa i wiarygodności elektronicznych tożsamości i podpisów.
Dyrektywa PSD2 (Druga Dyrektywa o Usługach Płatniczych): Dyrektywa PSD2 dotyczy usług płatniczych i ma na celu zwiększenie bezpieczeństwa transakcji elektronicznych w sektorze finansowym. Wprowadza ona wymogi dotyczące autoryzacji klientów, w tym silnej autoryzacji, oraz przepisy dotyczące ochrony danych i udostępniania danych klientów.
Czym jest NIS2 w zakresie cyberbezpieczeństwa?
Głównym celem NIS2 jest zwiększenie bezpieczeństwa cyfrowego w Unii Europejskiej oraz umożliwienie skutecznego reagowania na incydenty zarówno w sektorze publicznym, jak i prywatnym. Dodatkowo, dyrektywa NIS2 systematyzuje i jednolicie określa obowiązki dotyczące zachowania cyberbezpieczeństwa na obszarze całej Unii Europejskiej. Państwa członkowskie UE mają maksymalnie 21 miesięcy od dnia 16 stycznia 2023roku, na wprowadzenie postanowień dyrektywy do prawa krajowego.
Kogo dotyczy dyrektywa NIS2?
Przepisy krajowe, które definiuje dyrektywa NIS2 powinny być stosowane przez średnie i duże przedsiębiorstwa, niezależnie od skali swej działalności. Ściślej mówiąc, adresatami wytycznych są:
- średnie przedsiębiorstwa zatrudniające 50 lub więcej pracowników, o rocznych przychodach w wysokości dziesięciu milionów euro
- duże przedsiębiorstwa zatrudniające 250 lub więcej pracowników
- dostawcy usług łączności elektronicznej, monopole krajowe o szczególnym znaczeniu lub
- Prowadzące działalność transgraniczną oraz administracja publiczna
Sektorami gospodarki, które w szczególności powinny zadbać o zgodność z NIS2, z uwagi na proaktywny nadzór ze strony władz, są:
- Energetyka – dostarczanie, dystrybucja i sprzedaż energii elektrycznej, gazu, oleju, ogrzewania/chłodzenia, wodoru, operatorzy punktów ładowania pojazdów elektrycznych;
- Transport lotniczy, kolejowy, drogowy i wodny (w tym firmy spedycyjne i obiekty portowe);
- Bankowość/finanse – kredyt, handel, rynek i infrastruktura;
- Zdrowie – placówki służby zdrowia, laboratoria badawcze, farmaceutyki, produkcja urządzeń medycznych;
- Woda – dostawcy wody pitnej i operatorzy ścieków
- Infrastruktura cyfrowa i usługi IT – DNS, rejestry nazw, usługi zaufania, centra danych, przetwarzanie w chmurze, usługi komunikacji elektronicznej, usługi zarządzane i usługi zarządzane w zakresie bezpieczeństwa;
- Administracja publiczna – (centralna, regiony + lokalna opcjonalnie);
- Przestrzeń Kosmiczna.
Jakie są konsekwencje nieprzestrzegania wytycznych NIS2?
Nieprzestrzeganie nowej dyrektywy NIS2 może prowadzić do różnych skutków, zarówno dla podmiotów, które go naruszają, jak i dla ogólnego bezpieczeństwa w obszarze cyfrowym:
Kary finansowe
Państwa członkowskie mają prawo do nakładania administracyjnych kar pieniężnych na podmioty naruszające dyrektywę NIS oraz niedopełnienie obowiązków w zakresie zarządzania ryzykiem. Wysokość kar może być znaczna i zależy od stopnia naruszenia oraz skutków incydentu.
Utrata zaufania klientów
Jeśli podmiot nie przestrzega NIS2 i dochodzi do naruszenia bezpieczeństwa sieci lub danych, może to prowadzić do utraty zaufania klientów. Konsumenci mogą obawiać się o swoją prywatność i bezpieczeństwo danych i mogą zdecydować się na rezygnację z usług danego podmiotu.
Utrata konkurencyjności
Firmy, które naruszają dyrektywę NIS, mogą nie spełniać standardów bezpieczeństwa cyfrowego wymaganych przez klientów lub partnerów biznesowych. To może prowadzić do utraty konkurencyjności na rynku.
Zakłócenie działalności biznesowej
Incydenty związane z bezpieczeństwem sieci i informacji mogą prowadzić do zakłóceń w działalności biznesowej. Przerwy w dostępie do systemów, utrata danych lub ataki hakerskie mogą powodować incydenty bezpieczeństwa komputerowego, straty finansowe, przerwy w działaniu usług, utratę reputacji i inne negatywne skutki.
Wpływ na infrastrukturę krytyczną
Nieprzestrzeganie NIS2 w sektorach krytycznych, takich jak energia, transport, opieka zdrowotna czy finanse, może mieć poważne konsekwencje dla infrastruktury krytycznej i bezpieczeństwa publicznego. Ataki na te sektory mogą prowadzić do przerw w dostawie energii, zakłóceń w transporcie czy zagrożeń dla zdrowia i życia ludzi.
Wytyczne NIS w Polsce
Przepisy w Polsce oparte na dyrektywie NIS, wprowadziły szereg regulacji mających na celu wzmocnienie bezpieczeństwa cybernetycznego i uzyskanie wysokiego wspólnego poziomu cyberbezpieczeństwa. Przedsiębiorstwa i instytucje są zobowiązane do zaimplementowania odpowiednich środków bezpieczeństwa, dostosowanych do ryzyka oraz umożliwiających monitoring i kontrolę.
Istotnym wymogiem jest także przygotowanie i wdrożenie dokumentacji dotyczącej cyberbezpieczeństwa dla systemów informatycznych, wykorzystywanych do świadczenia usług podmiotów kluczowych.
W przypadku wystąpienia incydentu, firmy muszą zgłosić go do odpowiednich zespołów, takich jak CSIRT NASK, CSIRT GOV i CSIRT MON. Dodatkowo, przedsiębiorstwa zobowiązane są do przeprowadzania audytów swoich zabezpieczeń co dwa lata, w celu weryfikacji ich skuteczności.
NIS2 w krajowym systemie cyberbezpieczeństwa
Dyrektywa NIS 2, która została wprowadzona 16 stycznia 2023 roku, przynosi szereg dodatkowych regulacji. Nowe przepisy skupiają się na różnych obszarach, takich jak analiza ryzyka i polityka w sprawie bezpieczeństwa sieci systemów informatycznych. Firmy będą zobowiązane do obsługi incydentów, zapewnienia ciągłości biznesowej oraz skutecznego zarządzania w sytuacjach kryzysowych.
Bezpieczeństwo łańcucha dostaw będzie miało również szczególne znaczenie, a przedsiębiorstwa będą musiały skupić się na nabywaniu, rozwijaniu i utrzymywaniu bezpiecznych sieci i systemów informatycznych. W ramach tych przepisów, obsługa i ujawnianie luk w zabezpieczeniach będą odgrywały ważną rolę w zapewnieniu ochrony przed zagrożeniami.
Wprowadzenie postanowień nowej dyrektywy nakłada również obowiązek określenia zasad i procedur oceny skuteczności środków zabezpieczających, a także promuje podstawowe praktyki związane z higieną komputerową oraz szkoleniami z zakresu cyberbezpieczeństwa. Wprowadzane przepisy jakie definiuje dyrektywa NIS2 obejmują również zasady i procedury dotyczące korzystania z kryptografii/szyfrowania, a także zapewnienie bezpieczeństwa kadrowego.
NIS 2 zachęca również do korzystania z usługi MFA (Multi-Factor Authentication), zabezpieczonej komunikacji oraz zabezpieczonej komunikacji awaryjnej. Wszystkie te zmiany mają na celu wzmocnienie ochrony przed zagrożeniami cybernetycznymi i zapewnienie bardziej skutecznego reagowania na incydenty.
W świetle wprowadzonych przez dyrektywę NIS obowiązków, przedsiębiorstwa i instytucje muszą dostosować swoje podejście do bezpieczeństwa cyfrowego, uwzględniając analizę ryzyka, ciągłość biznesową, bezpieczeństwo łańcucha dostaw oraz wiele innych aspektów. Konieczne jest inwestowanie w bezpieczne sieci i systemy, szkolenia personelu z zakresu cyberbezpieczeństwa oraz ścisłe przestrzeganie zasad i procedur związanych z ochroną danych. Tylko w ten sposób przedsiębiorstwa będą mogły skutecznie bronić się przed rosnącymi zagrożeniami w dziedzinie cybernetyki i chronić zarówno siebie, jak i swoich klientów.
NIS2 – jak Ekran System może pomóc?
Ekran System może pomóc w następujących obszarach związanych z NIS 2 oraz ISO 27001:
Obsługa i raportowanie incydentów – Ekran System dostarcza system zarządzania powiadomieniami i alertami w czasie rzeczywistym. Narzędzie wykrywa podejrzaną aktywność i na bieżąco rejestruje działania użytkowników, w celu ich późniejszej analizy. Ekran System umożliwia także generowanie przejrzystych raportów zawierających informacje o incydentach związanych z bezpieczeństwem, co spełnia obowiązek raportowania procesów cyberbezpieczeństwa na terytorium unii europejskiej.
Ciągłość działania biznesu – Przestoje w działaniu systemów bezpieczeństwa IT mogą przynieść fatalne skutki. Ekran System zapewni stały przepływ pracy oraz ciągłość działania biznesu poprzez ciągłe monitorowanie aktywności użytkowników oraz możliwość zarządzania kryzysowego. Jest to możliwe także dzięki zdolności reagowania na incydenty oraz rejestrowanie działań pracowników do celów analizy śledczej.
Bezpieczeństwo łańcucha dostaw – Ekran System może pomóc w zakresie cyberbezpieczeństwa łańcucha dostaw poprzez monitorowanie zdolności reagowania dostępu osób trzecich i dostawców usług cyfrowych do systemów. Rozwiązanie pozwala na uzyskanie kontroli nad polityką dostępu, a także umożliwia rejestrowanie i monitorowanie działań firm zewnętrznych łączących się z infrastrukturą IT przedsiębiorstwa.
Ekran System jako profesjonalne narzędzie do monitorowania
Ekran System to kompleksowy program pozwalający na śledzenie podejrzanych aktywności i prewencję nadużyć, które mają miejsce na serwerach oraz sesjach RDP. Stały nadzór nad infrastrukturą IT pozwoli zwiększyć cyberbezpieczeństwo w firmie.
Zapewnij zgodność z NIS2 dzięki Ekran System
Dyrektywa NIS2 stawia przed firmami wyzwania związane z uzyskaniem wysokiego wspólnego poziomu cyberbezpieczeństwa. Ekran System oferuje funkcjonalności, które są zgodne z obszarami objętymi Dyrektywą NIS2. Dzięki narzędziu, firmy mogą skutecznie monitorować aktywność użytkowników, w celu zarządzania ryzykami, reagować na incydenty oraz zapewnić ciągłość działania biznesu.
Zgodność z normami cyberbezpieczeństwa to nie tylko obowiązek prawny, ale także kluczowy element budowania zaufania klientów i partnerów biznesowych. Dlatego warto inwestować w odpowiednie narzędzia i rozwiązania, które pomogą w ochronie zasobów, sieci i systemów informatycznych oraz będą działały niezawodnie w sprawie bezpieczeństwa sieci.
Jeśli chcesz dowiedzieć się więcej, masz pytania lub wątpliwości dotyczące tematu zgodności z normami i dyrektywami cyberbezpieczeństwa – skontaktuj się z nami.