DYREKTYWA NIS 2
Unia Europejska nałożyła na organizacje restrykcyjne obowiązki w zakresie cyberbezpieczeństwa
# 1
Czym jest Dyrektywa NIS 2?
Dyrektywa NIS 2 (Network and Information System Directive) to unijna regulacja prawa w sprawie środków na rzecz zapewnienia wysokiego wspólnego poziomu cyberbezpieczeństwa obejmującego terytorium Unii Europejskiej.
Jest nowelizacją Dyrektywy NIS - pierwszego europejskiego prawa w zakresie cyberochrony.
# 2
Co Dyrektywa NIS 2 zmienia dla sektora cyberbezpieczeństwa?
Dyrektywa NIS 2 otwiera nowy rozdział w historii europejskiej polityki bezpieczeństwa, reformując ramy porządku infrastruktury krytycznej i cyfrowej. Ma na celu zabezpieczenie przed zagrożeniami porządku publicznego, takimi jak ataki terrorystyczne, sabotaże i cyberataki. Wszystkie podmioty, które funkcjonują na terenie państw członkowskich Unii Europejskiej, mają obowiązek wdrożyć rozwiązania techniczne, operacyjne i organizacyjne w celu sprawnego zarządzania ryzykiem oraz zapewnienia wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych.
Minimalny zakres działań powinien obejmować:
Analizę ryzyka i polityki bezpieczeństwa systemów informatycznych
Obsługę incydentów (zapobieganie, wykrywanie i reagowanie na incydenty)
Ciągłość działania (zarządzanie kopiami zapasowymi, przywracanie działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe)
Bezpieczeństwo łańcucha dostaw
Bezpieczeństwo w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci po wystąpieniu sytuacji nadzwyczajnej i systemów informatycznych (w tym obsługa i ujawnianie podatności)
Procedury (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
Podstawowe praktyki z zakresu cyberhigieny i szkoleń z cyberbezpieczeństwa
Wykorzystywanie kryptografii i szyfrowania w stosownych przypadkach
Bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami
W stosownych przypadkach stosowanie uwierzytelniania wieloskładnikowego lub ciągłego
# 3
Kogo dotyczy Dyrektywa NIS 2?
Podmioty uwzględnione w Dyrektywie NIS 2 zostaną objęte szczególnymi środkami nadzoru i egzekwowania przepisów.Ich klasyfikacja będzie oparta na czterech założeniach: skuteczności, proporcjonalności, odstraszaniu i dostosowaniu do indywidualnego przypadku.
Zostały one podzielone na dwie grupy: podmioty kluczowe (m.in. przedsiębiorstwa administracji publicznej, z branży energetycznej, transportowe, banki, instytucje finansowe, zarządzający usługami ICT) oraz podmioty ważne (m.in. producenci i przetwórcy żywności, gospodarujący odpadami, dostawcy usług cyfrowych)
# 4
Jak przygotować się do Dyrektywy NIS 2?
Chcąc skutecznie zapewnić pełną zgodność funkcjonowania z wymaganiami Dyrektywy NIS 2, przedsiębiorcy powinni muszą wykonać szereg kroków odnoszących się do stosowanej polityki cyberbezpieczeństwa. Najważniejsze z nich to: wykonanie aktualnej oceny ryzyka zagrożeń, przygotowanie planów i procedur zarządzania incydentami, wdrożenie odpowiednich procedur i technologii wzmacniających cyberochronę infrastruktury, zwiększenie świadomości w zakresie cyberbezpieczeństwa, regularna weryfikacja i aktualizacja stosowanych środków obronnych.
Obowiązki wprowadzone na podstawie Dyrektywy NIS 2 są bardzo rozbudowane, a ich realizacja wymaga zaangażowania dużej ilości zasobów ludzkich, finansowych, technologicznych i czasowych. Dlatego najefektywniejszym rozwiązaniem dla organizacji okazuje się współpraca z profesjonalnymi dostawcami usług cyberbezpieczeństwa. Ich specjalistyczna wiedza i stosowane zaawansowane rozwiązania technologiczne pozwalają uzyskać przedsiębiorcom pewność, że wdrożone środki i procedury zapobiegania zagrożeniom całkowicie spełniają obowiązki narzucone nowymi regulacjami.
