Jak spełnić wymogi NIS2 i DORA dzięki usługom chmurowym? Przewodnik dla podmiotów objętych regulacjami
Wraz z rosnącym znaczeniem cyberbezpieczeństwa w sektorze usług cyfrowych, dostosowanie się do nowych regulacji prawnych staje się kluczowe dla organizacji działających na terenie Unii Europejskiej. Rozporządzenie DORA oraz dyrektywa NIS2, której przepisy wymuszają konieczność nowelizacji polskiej ustawy o Krajowym Systemie Cyberbezpieczeństwa (uKSC), stanowią fundament nowoczesnych ram prawnych, których celem jest zwiększenie odporności cyfrowej i bezpieczeństwa systemów informatycznych w sektorach usług ważnych i usług kluczowych z perspektywy funkcjonowania społeczeństwa i gospodarki oraz w sektorze finansowym. W praktyce oznacza to, że podmioty objęte tymi regulacjami zobligowane są do wdrożenia rygorystycznych środków bezpieczeństwa. Aby pomóc Ci odpowiednio przygotować się do zmian, przygotowaliśmy specjalny materiał, w którym zestawiamy kluczowe dla Twojej firmy obszary wymogów, z odpowiadającymi im usługami chmurowymi i profesjonalnymi OChK.
Wraz z wejściem w życie dyrektywy NIS2 i rozporządzenia DORA, organizacje podlegające nowym regulacjom muszą stawić czoła rosnącym wymaganiom, które obejmują m.in. zarządzanie ryzykiem i ochronę przed incydentami cyberbezpieczeństwa. Podmioty zdefiniowane jako kluczowe i ważne (w kontekście NIS2) oraz podmioty finansowe (w kontekście DORA) znajdują się zatem w centrum uwagi, a dostawcy usług chmurowych stają się istotnym ogniwem całego łańcucha. Prawidłowa implementacja i korzystanie z usług chmury obliczeniowej odgrywa w tej kwestii ogromną rolę – nie tylko wpływa na podniesienie poziomu bezpieczeństwa organizacji, ale stanowi jednocześnie kluczowe wsparcie w spełnianiu wymagań regulacyjnych.
Jeśli potrzebujesz szczegółowego wprowadzenia w temat dyrektywy NIS2, przejdź do naszego artykułu "Chmura obliczeniowa w obliczu dyrektywy NIS2 – jak przygotować firmę na zmiany?". Znajdziesz w nim informacje o tym:
- czym jest NIS2, kogo dotyczy nowa dyrektywa oraz jakie są jej główne cele,
- w jaki sposób określa nowe obowiązki dla firm podlegających pod nowe regulacje (zwróć uwagę na punkty dotyczące zasad klasyfikacji podmiotów i obszary gospodarki, efektu domina oraz zarządzania ryzykiem),
- na jakie kluczowe aspekty zwrócić uwagę, by dalej bezpiecznie korzystać z usług chmury obliczeniowej.
Jak usługi chmurowe i profesjonalne OChK pomagają spełniać wymogi dyrektywy NIS2 i rozporządzenia DORA?
W OChK postanowiliśmy zweryfikować, w jaki sposób usługi Google Cloud Platform, Microsoft Azure, Microsoft 365 oraz Platformy OChK mogą wspierać organizacje działające w sektorach objętych regulacjami. Połączyliśmy je ze świadczonymi przez naszych ekspertów usługami profesjonalnymi w obszarze technologii i compliance, aby pomóc w uzyskaniu zgodności z wymaganiami dyrektywy NIS2 i rozporządzenia DORA. W tym celu:
- zidentyfikowaliśmy 27 obszarów wymagań, które wynikają z NIS2 oraz DORA,
- przeprowadziliśmy analizę konkretnych przepisów NIS2 i DORA, aktów wykonawczych oraz aktów delegowanych,
- a następnie wyżej wymienione przepisy zmapowaliśmy na usługi chmurowe oraz usługi profesjonalne świadczone przez OChK.
| Kontrola dostępu | Uwierzytelnianie | Szyfrowanie i kryptografia | Bezpieczeństwo | Zarządzanie ryzykiem | Zarządzanie zasobami ICT |
| Zarządzanie pojemnością i wydajnością | Zarządzanie podatnościami i poprawkami | Bezpieczeństwo danych i systemów | Monitorowanie logów | Zarządzanie bezpieczeństwem sieci | Zabezpieczenie przesyłanych informacji |
| Pozyskiwanie, rozwój i utrzymanie systemów ICT | Zarządzanie zmianą w systemach ICT | Bezpieczeństwo fizyczne i środowiskowe | Polityka kadrowa | Zarządzanie tożsamością | Zarządzanie incydentami związanymi z ICT |
| Strategia na rzecz ciągłości działania ICT | Plany reagowania i odzyskiwania sprawności ICT | Zewnętrzni dostawcy usług ICT / łańcuchy dostaw | Kopie zapasowe | Plany działań informacyjnych na wypadek wystąpienia sytuacji kryzysowej | Testowanie |
| Zarządzanie operacjami ICT | Zarządzanie projektami ICT | Wykrywanie nietypowych działań i kryteria wykrywania incydentów związanych z ICT |
Poniżej znajdziesz jeden z przykładów z przygotowanego przez nas zestawienia. Opisuje on wymagania dotyczące obszaru Uwierzytelniania – jednej z najważniejszych funkcji cyberbezpieczeństwa w organizacji – zarówno w kontekście NIS2, jak i DORA. Kolumny po prawej stronie wskazują zaś technologie chmurowe i usługi profesjonalne OChK, które pomagają odpowiednio wdrożyć je do organizacji.
| Obszar | Wymaganie NIS2 | Wymaganie DORA | Adekwatna technologia chmurowa | Usługi profesjonalne OChK | |||
| Nr artykułu | Opis | Nr artykułu | Opis | ||||
| Uwierzytelnianie (Authentication) | art. 21 ust. 2 lit. (i) NIS2 (s. 48 - 49) art. 11.6 art. 11. 7
aneks do NIS2* (s. 23) art. 11.6 art. 11. 7 aneks do NIS2* (s. 23) | Podmioty zobowiązane NIS2 zapewniają, że siła uwierzytelniania
jest odpowiednia do klasyfikacji aktywów, do których ma być
uzyskany dostęp. Ponadto podmioty kontrolują przydział
użytkowników i zarządzanie tajnymi informacjami
uwierzytelniającymi za pomocą procesu, który: 1. Zapewnia poufność informacji, doradzanie personelowi w zakresie właściwego postępowania z informacjami uwierzytelniającymi; 2. Wymaga zmiany danych uwierzytelniających początkowo oraz w przypadku podejrzenia, że dane uwierzytelniające zostały ujawnione osobie nieupoważnionej; 3. Zresetowania danych uwierzytelniających i blokowania użytkowników po z góry określonej liczbie nieudanych prób logowania; 4. Stosują mechanizmy wieloskładnikowego uwierzytelniania. | art. 9 ust. 2 - 4 DORA (s. 32 - 33) art. 21 lit. f) RTS określający narzędzia, metody, procesy i polityki zarządzania ryzykiem związanym z ICT (s. 22) | Stosowanie metod uwierzytelniania, współmiernych z klasyfikacją ustanowioną zgodnie z art. 8 ust. 1 DORA i z ogólnym profilem ryzyka zasobów ICT, przy należytym uwzględnieniu wiodących praktyk branżowych oraz stosowania solidnych metod uwierzytelniania, zgodnie z wiodącymi praktykami i technikami branżowymi, w zakresie zdalnego dostępu do sieci podmiotu finansowego, dostępu uprzywilejowanego, a także dostępu do zasobów ICT wspierających krytyczne lub istotne funkcje bądź publicznie dostępnych zasobów ICT. | Cloud Identity / Workspace Uwierzytelnianie Google Whitepaper - security overview | WSPARCIE TECHNOLOGICZNE: Zarządzanie tożsamością i dostępem (IAM) 1. Hardening tożsamości chmurowych: Google Cloud Identity, Entra ID (Azure, M365). 2. Implementacja MFA (Multi-Factor Authentication) w chmurze (w tym FIDO2, YubiKey). 3. Zarządzanie kontami serwisowymi w chmurach. RBAC (Role-Based Access Control) dla IAM (GCP, Azure). 4. Federacja tożsamości (konfiguracja, doradztwo). 5. Tworzenie kont break the glass (dostęp awaryjny). 6. Automatyzacja onboardingu i offboardingu tożsamości. 7. Centralne zarządzanie użytkownikami (tożsamości chmurowe/hybrydowe). 8. Wdrożenie nowoczesnych narzędzi zarządzania cyklem życia tożsamości. 9. Konfiguracja Audit Log w MS, GCP. WSPARCIE REGULACYJNE: Przygotowanie wzorów polityk, procedur i dokumentacji wewnętrznej związanej z bezpieczeństwem informacji, zarządzaniem użytkownikami, dostępem oraz uprawnieniami, zarządzaniem ryzykiem, ciągłością działania oraz kopią zapasową i innymi aspektami bezpieczeństwa chmurowego. | |
| Azure | Microsoft Entra ID | ||||||
| Platforma OChK | Platforma OChK Identity & IAM | ||||||
| M365 | Microsoft Entra ID Windows Hello for Business Microsoft Intun | ||||||
Celem przygotowanego przez naszych ekspertów zestawienia jest pomoc organizacjom z sektora objętego dyrektywą NIS2 lub rozporządzeniem DORA w identyfikacji kluczowych dla nich obszarów oraz wskazanie, w jaki sposób usługi świadczone przez OChK mogą pomóc je odpowiednio przygotować. Jeśli szykujesz się do wdrożenia nowych standardów regulacyjnych i chcesz skorzystać z przygotowanej przez nas pełnej wersji materiału pomocniczego, napisz do nas, korzystając z formularza poniżej – wspólnie ustalimy, które obszary wymagają z Twojej strony szczególnej uwagi, omówimy odpowiadające im usługi profesjonalne i wyjaśnimy wszelkie kwestie, które są dla Ciebie niejasne.
Tabela pomoże Ci także znacznie zwinniej poruszać się po wymaganiach prawnych dotyczących konkretnych obszarów i odpowiadających im wytycznych, przyczyniając się do ich lepszego zrozumienia i praktycznego zastosowania. W efekcie, poza spełnieniem nowych obowiązków prawnych, wzmocnisz bezpieczeństwo i odporność cyfrową swojej organizacji, budując jeszcze większe zaufanie ze strony klientów i innych interesariuszy.
