NIS2 w pigułce, czyli co musisz wiedzieć o nowej dyrektywie

Czym jest NIS2?

NIS2 (Network and Information Systems Directive 2) to dyrektywa unijna, której głównym celem jest zapewnienie wysokiego poziomu cyberbezpieczeństwa państw członkowskich UE poprzez wprowadzenie nowych obowiązków dla firm z kolejnych, kluczowych sektorów gospodarki.

NIS2 dotyczy podmiotów określanych jako świadczące usługi kluczowe i ważne dla gospodarki i społeczeństwa Unii Europejskiej. W praktyce oznacza to, że firmy, które działają w tych sektorach, muszą wdrożyć bardziej rygorystyczne niż dotychczas środki bezpieczeństwa, aby chronić swoje systemy przed cyberzagrożeniami i spełniać nowe wymogi prawne. Przepisy dyrektywy NIS2 wymuszają konieczność nowelizacji polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC), która powinna zacząć być stosowana od 18 października b.r.

Grafika 1: Cele NIS2

Kogo dotyczy NIS2 i jak określa obowiązki firm?

Ustalając, czy i w jakim zakresie Twoja organizacja podlega wymogom NIS2, zwróć uwagę na kilka istotnych zmian.

1. Nowe zasady klasyfikacji podmiotów i obszary gospodarki objęte przepisami

Dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych został zastąpiony podziałem na podmioty kluczowe oraz podmioty ważne. Nowością jest wprowadzenie obszarów, takich jak m.in.

• administracja publiczna i przestrzeń kosmiczna,
• usługi pocztowe i kurierskie,
• gospodarowanie odpadami,
• produkcja, wytwarzanie i dystrybucja chemikaliów,
• produkcja, wytwarzanie i dystrybucja żywności,
• produkcja wyrobów medycznych, w tym do diagnostyki in vitro,
• produkcja komputerów,
• produkcja wyrobów elektronicznych i optycznych,
• produkcja urządzeń elektrycznych,
• produkcja pojazdów samochodowych, przyczep i naczep,
• badania naukowe.

Pierwszy obszar zakwalifikowany jest do sektorów kluczowych, pozostałe zaś do sektorów ważnych. Warto wspomnieć też o tym, że obecnie katalog podmiotów przewidzianych w projekcie uKSC jest szerszy niż ten, który wynika bezpośrednio z NIS2.

2. Kryterium wielkościowe

Co do zasady, do stosowania NIS2 zobowiązane są przedsiębiorstwa, które kwalifikują się jako średnie (tj. podmioty, które zatrudniają co najmniej 50 pracowników oraz mają obrót lub całkowity bilans roczny przekraczający 10 mln EUR) lub też te, które przekraczają pułapy właściwe dla średnich przedsiębiorstw. Istnieją jednak wyjątki, w ramach których nowymi przepisami mogą zostać objęci nawet mali i mikroprzedsiębiorcy (np. w przypadku, w którym zakłócenie świadczenia przez nich usługi mogłoby mieć znaczący wpływ na porządek, bezpieczeństwo lub zdrowie publiczne), a także podmioty z sektora publicznego.

3. Tożsamość obowiązków

Fundamentalne obowiązki dla podmiotów kluczowych i ważnych są bardzo podobne – w odróżnieniu od obecnie obowiązujących przepisów, w ramach których dostawcy usług cyfrowych zobowiązani byli do wdrożenia wymagań w obszarze cyberbezpieczeństwa w dosyć ograniczonym zakresie.

4. Zasada samooceny

Dyrektywa NIS2 zmienia sposób określania, czy dany podmiot objęty jest zakresem jej stosowania, wprowadzając ogólną zasadę samooceny (ang. self-assessment). W efekcie podmioty, które działają w wyżej wymienionych sektorach, mają obowiązek samodzielnie zweryfikować czy podlegają jej wymaganiom.

5. Efekt domina

Nawet jeśli dany podmiot nie podlega bezpośrednio pod dyrektywę, może znajdować się w łańcuchu dostaw podmiotów, które są objęte jej zakresem. Z tego względu również powinien zadbać o zgodność z wymogami. Jest to informacja kluczowa właśnie w kontekście podmiotów korzystających z usług chmurowych, o których piszemy w kolejnym rozdziale.

6. Zarządzanie ryzykiem

Analiza przepisów dyrektywy nie dostarcza szczegółowej, jednoznacznej informacji, jakie konkretnie środki bezpieczeństwa powinna wdrożyć organizacja. Wskazuje jedynie szereg elementów, które należy wziąć pod uwagę przy przestrzeganiu środków zarządzania ryzykiem w cyberbezpieczeństwie. Wymagania przewidziane w NIS2 zostały jednak częściowo doprecyzowane w projekcie nowelizacji uKSC. Nakłada on na podmioty obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji w procesach, które wpływają na świadczenie usług oraz wskazuje elementy, które taki system powinien zapewniać.

7. Sankcje

Za niewdrożenie wymagań przewidziane są wysokie sankcje finansowe. NIS2 przewiduje nie tylko nałożenie kar administracyjnych, które sięgają nawet 10 mln euro lub 2% łącznego rocznego obrotu (podmioty kluczowe) oraz 7 mln euro lub 1,4% łącznego rocznego obrotu (podmioty ważne), ale także kar na osoby fizyczne. W projekcie uKSC przewidziano możliwość nałożenia kar na kierownika podmiotu w wysokości do 600% otrzymywanego przez ukaranego wynagrodzenia.

Wdrażanie kluczowych wymagań – od czego zacząć?

Liczba procesów i zakres narzędzi, które powinna wdrożyć organizacja, zależeć będzie przede wszystkim od tego:

• czy dany podmiot był dotychczas objęty przepisami uKSC,
• czy i w jakim zakresie wdrożył system zarządzania bezpieczeństwem informacji i ciągłości działania,
• jaki reprezentuje poziom dojrzałości w obszarze cyberbezpieczeństwa.

Rozpoczęcie wdrażania wymagań warto rozpocząć od analizy luk/audytu zgodności, w ramach których należy zwrócić szczególną uwagę na procesy i aktywa niezbędne do świadczenia usług.

W przypadku podmiotów, które znajdują się w łańcuchu dostaw (na przykład firm korzystających z usług chmury obliczeniowej), kluczowe będą postanowienia zawarte w kontraktach. Podmioty objęte NIS2 będą oczekiwać od swoich dostawców nie tylko wdrożenia konkretnych zabezpieczeń, ale także odpowiednich gwarancji w zakresie możliwości realizacji uprawnień audytowych.

Istotne jest także zaangażowanie w proces wdrożenia osób decyzyjnych, a także zapewnienie odpowiednich zasobów, w tym kompetencji i finansowania. Nowe przepisy nie zawierają gotowej checklisty zabezpieczeń wymagających wdrożenia – ich wybór będzie w głównej mierze uzależniony od wyników analizy ryzyka oraz możliwości realizacji obowiązków prawnych, w szczególności w zakresie zarządzania incydentami.

NIS2 a usługi chmury obliczeniowej

W kontekście korzystania z usług chmury obliczeniowej, szczególnie istotnych jest kilka wymogów. Zwróć uwagę na:

1. Wdrożenie polityk szacowania ryzyka

Tworząc polityki szacowania ryzyka, a następnie identyfikując i oceniając ryzyka dla procesów realizowanych z wykorzystywaniem usług chmury obliczeniowej, weź pod uwagę ich charakterystykę oraz specyficzne rodzaje zagrożeń.

Grafika 2: Najczęściej występujące rodzaje zagrożeń dla procesów realizowanych z wykorzystaniem usług chmury obliczeniowej

Pamiętaj też, że proces analizy ryzyka powinien być procesem ciągłym. Zarówno jego wyniki, jak i polityki zarządzania ryzykiem powinny być odpowiednio dokumentowane, regularnie weryfikowane i aktualizowane. Przedmiotem analizy mogą być nie tylko ryzyka, które wynikają z wykorzystywania danych systemów czy technologii, ale również te, które obejmują kwestie procesowe (np. te dotyczące zapewnienia odpowiednich kompetencji, kluczowego personelu czy łańcucha dostaw).

2. Bezpieczeństwo i ciągłość łańcucha dostaw

W swojej prognozie cyberzagrożeń na 2030 rok ENISA przewiduje, że naruszenia bezpieczeństwa łańcucha dostaw będą w ciągu najbliższych lat jednym z najbardziej prawdopodobnych cyberzagrożeń. Nowe regulacje wychodzą naprzeciw tym przewidywaniom i zobowiązują podmioty do zarządzania ryzykiem związanym z dostawcami produktów, usług oraz procesów ICT, od których zależy świadczenie usługi.

Jednym ze sposobów odpowiadania na tego rodzaju wymogi jest wprowadzenie polityki bezpieczeństwa łańcucha dostaw, która obejmuje kryteria wyboru, weryfikacji i monitoringu dostawców. W przypadku oceny dostawców usług chmury obliczeniowej warto wziąć pod uwagę zarówno ich reputację, jak i elementy, takie jak gwarancje przewidziane w treści umowy (np. SLA, prawo do audytu, zasady korzystania z podwykonawców, raportowanie awarii i incydentów, możliwość rezerwacji pojemności), a także wdrożone przez dostawcę standardy bezpieczeństwa, w tym posiadane certyfikaty zgodności z międzynarodowymi normami i ich zakres.

3. Zapewnienie ciągłości działania

Obszar bezpieczeństwa łańcucha dostaw jest ściśle powiązany z wymogami NIS2, które dotyczą zapewnienia ciągłości działania.

W przypadku chmury obliczeniowej weź pod uwagę zarówno awarię pojedynczego sprzętu, jak i konkretnej strefy dostępności (zony) lub całego regionu. Plany awaryjne powinny uwzględniać możliwość utraty kontroli nad przetwarzanymi informacjami oraz możliwość przerwania ciągłości ich działania. Zgodnie z dobrymi praktykami, podmioty, które korzystają z usług chmurowych, powinny opracować także plan wyjścia tj. dokument zawierający plan organizacji na wycofanie swojego zaangażowania z usługi lub systemu, zarówno w sytuacjach planowanych, jak również w przypadku nieoczekiwanej sytuacji kryzysowej.

Jednym z podstawowych narzędzi, które wspierają zapewnienie ciągłości działania, jest oczywiście odpowiednie wykonywanie i zarządzanie kopiami zapasowymi. Plany powinny uwzględniać w tym zakresie: odpowiednie parametry RTO i RPO, zapewnienie, że kopie zapasowe są kompletne i dokładne, przechowywanie kopii w bezpiecznych i odseparowanych lokalizacjach, odpowiednie kontrole dostępu fizycznego i logicznego, procedury przywracania kopii oraz ustalenie prawidłowych okresów ich retencji. Odzyskiwanie kopii zapasowych i ich nadmiarowość powinny być także regularnie testowane i dokumentowane. Więcej informacji o tym, jak prawidłowo skonfigurować backup, znajdziesz w artykule pt. Jak skonfigurować backup, żeby uchronić się przed katastrofą?

4. Monitoring bezpieczeństwa

Jednym z podstawowych wymagań przewidzianych w NIS2 jest zapewnienie odpowiedniego procesu zarządzania incydentami, którego zadaniem jest wykrywanie incydentów oraz minimalizowanie ich skutków i wpływu na odbiorców.

W praktyce oznacza to konieczność wdrożenia mechanizmów i narzędzi, które pozwolą zapobiegać i natychmiast reagować na zaistniałe zdarzenia. Zadania te mogą być realizowane przez zespół świadczący usługi cyberbezpieczeństwa tj. Security Operations Center w ramach SOC as a Service, który w trybie 24/7 prowadzi monitoring zasobów oraz środowisk IT.

5. Zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty

Nowoczesna strategia zarządzania bezpieczeństwem cyfrowym powinna obejmować także procesy, które umożliwiają proaktywne podejście do pojawiających się w otoczeniu zewnętrznym zagrożeń. Odpowiedzią na to zalecenie jest wdrożenie procesu Cyber Threat Intelligence, który polega na gromadzeniu i przekazaniu odpowiednim interesariuszom aktualnych informacji dotyczących zagrożeń, ataków oraz potencjalnych adwersarzy. Istotne jest przy tym nie tylko samo zbieranie informacji o cyberzagrożeniach, ale również ich odpowiednia analiza, a następnie uwzględnienie ryzyk związanych z ich potencjalnym zmaterializowaniem.

Podsumowanie

Przygotowanie firmy na zmiany, które wprowadza Unia Europejska poprzez dyrektywę NIS2, jest kluczowe dla utrzymania wysokiego poziomu cyberbezpieczeństwa, a także zapewnienia ciągłości operacyjnej i ochrony danych organizacji, które należą do kluczowych sektorów gospodarki. Nowe wyzwania, które stawia NIS2, obejmują także firmy, które korzystają z usług chmury obliczeniowej. Aby im sprostać, muszą one podjąć konkretne kroki w celu wzmocnienia swoich systemów informatycznych.

Właściwa odpowiedź na wdrożenie przepisów dyrektywy NIS2 może wydawać się wyzwaniem. Jednak odpowiednie zorganizowanie koniecznych działań i proaktywne podejście mogą przynieść korzyści nie tylko w postaci zgodności z regulacjami, ale także zwiększonego zaufania klientów, wzmocnionej ochrony danych w chmurze oraz stabilności operacyjnej, co w dłuższej perspektywie może przyczynić się do wzrostu firmy.