- W 2022 roku tygodniowa liczba cyberataków wzrosła na całym świecie o 38% (w porównaniu do 2021 roku). Odpowiedzią Unii Europejskiej ma być bardziej holistyczne i jednolite podejście do cyberochrony sektorów i łańcuchów dostaw mających wpływ na infrastrukturę krytyczną
- Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy
- Dyrektywa NIS2 nie zawiera listy kontrolnej ani minimalnego zestawu wymagań dotyczących technologii ochrony. Opisuje „odpowiednią ochronę”, którą można interpretować na wiele sposobów.
- Eksperci Check Pointa wskazują obszary, które powinny być uwzględnione w realizacji postanowień dyrektywy.
Rośnie zagrożenie atakami hakerskimi. Aby skutecznie zapobiec zagrożeniu, Unia Europejska przyjmuje dyrektywę NIS2, która jest częścią strategii bezpieczeństwa cybernetycznego Shaping Europe’s Digital Future i bezpośrednim rozszerzeniem dyrektywy NIS z 2016 r. Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy. Eksperci bezpieczeństwa cybernetycznego Check Point Software postanowili przeprowadzić analizę nowego aktu prawnego.
W 2022 roku tygodniowa liczba cyberataków wzrosła na całym świecie o 38% (w porównaniu do 2021 roku). Odpowiedzią Unii Europejskiej ma być bardziej holistyczne i jednolite podejście do cyberochrony sektorów i łańcuchów dostaw mających wpływ na infrastrukturę krytyczną. Cyberataki mogą mieć bowiem ogromny wpływ na gospodarkę każdego państwa członkowskiego, ale także na resztę Europy. Przykładowo, jeśli krajowa firma energetyczna zostanie wyłączona z eksploatacji na krótki lub dłuższy czas, ceny energii elektrycznej wzrosną. A ponieważ handel energią elektryczną odbywa się na europejskiej giełdzie, ceny poszybują w górę w całej Europie – wyjaśniają analitycy Check Pointa.
Spis treści:
Dlaczego jest to ważne dla Twojej firmy?
W przeciwieństwie do Dyrektywy RODO, która chroni dane osobowe obywateli, NIS2 ma na celu ochronę danych gospodarczych – danych, które mają wpływ na gospodarki przedsiębiorstw i krajów członkowskich.
Zgodnie z nowymi przepisami państwa członkowskie muszą wdrożyć m.in. krajową strategię bezpieczeństwa cybernetycznego oraz prawo krajowe, które obejmuje wymogi w zakresie zarządzania ryzykiem i sprawozdawczości przedsiębiorstw objętych dyrektywą NIS2. Dyrektywa zobowiązuje również stworzenie jednego krajowego punktu kontaktowego do obsługi NIS2.
Kogo dotyczy?
Oprócz branż, które zostały uwzględnione w dyrektywie NIS, nowy NIS2 obejmuje również kilka nowych sektorów publicznych i prywatnych, w tym sektor spożywczy, przedsiębiorstwa transportowe i spedycyjne, telekomunikację i dostawców danych, platformy mediów społecznościowych i dostawców centrów danych, zaangażowane przedsiębiorstwa w gospodarce odpadami i ściekami oraz przedsiębiorstw produkcyjnych, które są ważne dla gospodarki kraju. Przedsiębiorstwa objęte dyrektywą dzielą się na dwie kategorie: kluczowe podmioty (np. firmy telekomunikacyjne, przedsiębiorstwa użyteczności publicznej i banki) oraz istotne podmioty (np. firmy spożywcze i firmy przewozowe). Firmy, które zatrudniające mniej niż 250 pracowników lub ich roczne obroty nie przekraczają 50 milionów euro są zwolnione z wdrożenia zmian.
Jednak ze względu na koncepcję odpowiedzialności w łańcuchu dostaw musimy przyjąć, że mniejsze firmy będące dostawcami dla sektorów objętych Dyrektywą muszą również przestrzegać NIS2. Ponadto dyrektywa obejmuje również administrację publiczną, ale na tym etapie nie jest jasne, czy obejmie mniejsze jednostki, np. gminy.
Co oznacza dla Twojej organizacji?
NIS2 nakłada nowe wymagania na firmy i organizacje, których dotyczy. Obejmują one wymagania dotyczące wiedzy i odpowiedzialności kierownictwa, skutecznego zarządzania ryzykiem, w tym analizy ryzyka i reagowania na incydenty oraz zgłaszania i obsługi incydentów cybernetycznych.
Kierownictwo jest zatem odpowiedzialne za zgodność organizacji z dyrektywą NIS2 i może zostać pociągnięte do odpowiedzialności w przypadku odstępstw od norm. Sama firma lub organizacja musi spełniać kilka wymogów bezpieczeństwa cybernetycznego, w tym wdrażać środki bezpieczeństwa i międzynarodowe standardy, takie jak ISO27001 lub ramy NIST.
Firmy, które nie zastosują się do dyrektywy NIS2, mogą zostać ukarane grzywną w wysokości do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy. Należy zaznaczyć, że podobnie jak w przypadku dyrektywy RODO, nie będzie etykiety NIS2 ani listy kontrolnej, których firmy miałyby przestrzegać. Do samej organizacji należy wdrożenie środków, aby jej ochrona danych była zgodna. Dostawcy usług z zakresu cyberbezpieczeństwa, tacy jak Check Point Software, mogą pomóc w opracowaniu wytycznych, ale to sama firma musi prowadzić niezbędne raporty.
Kiedy Twoja organizacja powinna być zgodna z NIS2?
Pod koniec grudnia 2022 r. przyjęto i oficjalnie ogłoszono w UE dyrektywę NIS2. Następnie państwa członkowskie mają 21 miesięcy na transpozycję dyrektywy do prawa krajowego. Ale to nie znaczy, że firmy mogą czekać do tego czasu z wdrożeniem nowych środków. Już w 18 miesięcy od przyjęcia dyrektywy, organizacje, których dotyczy dyrektywa, muszą być w stanie się do niej dostosować.
Choć może się to wydawać długim czasem, eksperci Check Point Software zaznaczają, że dla wielu firm wdrożenie nowych środków, procedur itp. nie jest sprawą szybką i prostą, stąd warto rozpocząć prace już dziś.
Jak zacząć?
Wiele organizacji wdrożyło już pewne środki, ponieważ musiały spełnić początkowe wymagania w zakresie bezpieczeństwa sieci i informacji. Ale inne muszą dostosować się do zupełnie nowej rzeczywistości. Może to być duże i zniechęcające zadanie, a dla niektórych może wydawać się przytłaczające.
Check Point Software opracował jednak wskazówki, jak przygotować się na NIS2.
Jak wspomniano, dyrektywa NIS2 nie zawiera listy kontrolnej ani minimalnego zestawu wymagań dotyczących technologii ochrony. Opisuje „odpowiednią ochronę”, którą można interpretować na wiele sposobów. Możemy jednak założyć, że firmy potrzebują co najmniej nowoczesnej zapory ogniowej i technologii zapobiegania włamaniom do sieci, ale także ochrony bezpieczeństwa punktów końcowych oraz wdrożenia uwierzytelniania wieloskładnikowego, szyfrowania danych i ograniczania dostępu.
Należy jednak pamiętać, że nie wszystko da się rozwiązać za pomocą technologii. Proces jest równie ważny. Oznacza to, że organizacja powinna postawić przegląd i plan, a nie tylko szukać szybkiego rozwiązania.
W pierwszej kolejności należy sprawdzić, czy firma jest objęta nową dyrektywą. Jeśli tak, to należałoby się zastosować do poniższych punktów:
- Upewnienie się, że cyberbezpieczeństwo jest najwyższym priorytetem dla kierownictwa organizacji i że kierownictwo jest świadome swoich obowiązków w zakresie bezpieczeństwa. Należy zacząć od analizy potrzeb swojej firmy i stworzenia mapy z jasnymi celami i terminami wdrożenia.
- Zidentyfikowanie i nadanie priorytetów zasobom, w tym informacjom, procesom i systemom.
- Zaimplementowanie systemu, na którym zbudowane zostanie bezpieczeństwo. Może to być ISO2001 lub NIST. Ważne jest również, aby wdrożone zostało zarządzanie ryzykiem swoich aktywów i operacji.
- Automatyzowanie jak największej ilości procesów i procedur. W przyszłości bezpieczeństwo IT powinno być zawsze częścią nowych systemów i wdrożeń w chmurze.
- Konsolidacja funkcji i rozwiązań bezpieczeństwa. Operacje będą łatwiejsze i bezpieczniejsze, a także mogą przyczynić się do obniżki kosztów związanych z personelem
- Stworzenie procesu raportowania zgodnego z wymaganiami NIS2 i upewnienie się, że można go aktywnie wykorzystywać do łagodzenia ataków i zagrożeń.