Dyrektywa NIS2. Przewodnik o zmianach, które wprowadza.

30.08.2024

Kontrola ryzyka

Spis treści

Wprowadzenie dyrektywy NIS2 do systemów prawnych państw członkowskich jest przewidziane w październiku 2024 roku. Niemniej jednak, już teraz są dostępne wytyczne do dyrektywy na poziomie europejskim, wskazujące jak przygotować się do nadchodzących krajowych, szczegółowych wymagań w zakresie cyberbezpieczeństwa. Wdrożenie tych wytycznych z wyprzedzeniem może pomóc uniknąć wielu problemów w organizacji. W związku z tym przygotowaliśmy listę najlepszych praktyk, które pomogą wspomóc zgodność z NIS2. Przewodnik ten jest skierowany głównie do Dyrektorów ds. Bezpieczeństwa Informacji (CISO), ale może być również użyteczny dla Inspektorów Ochrony Danych (DPO) oraz działów compliance i prawnych.

Lista ta opiera się na ostatecznym tekście dyrektywy NIS2 oraz na briefingu z 16 czerwca 2022 roku. Jednakże zalecenia te mogą ulec zmianie, w miarę jak NIS2 wejdzie na poziom polskiego prawodawstwa, a przepisy będą stawać się bardziej klarowne.

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 to dokument Unii Europejskiej dotyczący cyberbezpieczeństwa. Zastępuje pierwszą dyrektywę NIS (Network and Information Security), którą została przyjęta w lipcu 2016 roku.

Dyrektywa NIS2 wzmacnia wymagania dotyczące bezpieczeństwa w UE poprzez:

rozszerzenie swojego zakresu na więcej sektorów i podmiotów;
uwzględnienie bezpieczeństwa łańcuchów dostaw;
uproszczenie obowiązków sprawozdawczych;
wprowadzenie środków monitorujących;
wprowadzenie bardziej rygorystycznych wymagań egzekucyjnych;
dodanie koncepcji odpowiedzialności „organów zarządzających” w firmach;
ujednolicenie i zaostrzenie sankcji we wszystkich państwach członkowskich.

Kiedy Dyrektywa NIS2 wejdzie w życie?

Dyrektywa NIS2 została opublikowana w Dzienniku Urzędowym UE 14 grudnia 2022 roku. Od tego dnia państwa członkowskie mają 21 miesięcy na wprowadzenie dyrektywy do prawa krajowego – czyli termin ten upływa 17 października 2024 roku.

Należy jednak zauważyć, że już teraz jest czas na wprowadzenie przepisów tego dokumentu do prawa krajowego w państwach członkowskich. Termin 17 października 2024 r. dotyczy opracowania ustawy, a nie spełnienia wymagań dyrektywy przez podmioty jej podlegające. Najprawdopodobniej będą one miały ustalony przez ustawodawcę czas na dostosowanie się do dyrektywy, gdy tylko zacznie ona obowiązywać. Jednakże biorąc pod uwagę wiele zmian związanych z bezpieczeństwem sieci i informacji, które niesie ze sobą dyrektywa NIS2, lepiej jest uniknąć pośpiechu i zacząć pracować nad strategią zarządzania ryzykiem, która ujmuje zagadnienie licznych dostawców w łańcuchu dostaw.

NIS2: wzmocnienie roli CISO

NIS2 jest szansą dla wszystkich szefów działów bezpieczeństwa (CISO) na wzmocnienie swojej pozycji w organizacji. Dyrektywa wprowadza pojęcie odpowiedzialności zarządu za zarządzanie ryzykiem związanym z cyberbezpieczeństwem, a także surowe kary dla osób łamiących wymagania dyrektywy. Dlatego od tego momentu CISO nie jest jedynie doradcą, ale przewodnikiem i liderem w podejmowaniu decyzji zarówno w kwestiach technicznych, jak i biznesowych. Dzięki NIS2, CISO staje się również edukatorem dla wyższej kadry zarządzającej, tłumacząc jej zasady wprowadzania polityk i najlepszych praktyk w zakresie cyberbezpieczeństwa.

Odpowiednio wykorzystując tę szansę, każdy CISO powinien łączyć odpowiedzialność z umiejętnym zwiększeniem swojego budżetu i zakresu działania, zawsze z myślą o tym samym celu: poprawie globalnego bezpieczeństwa organizacji.

Skuteczny CISO będzie skupiał się na trzech obszarach działań, chcąc zapewnić wysoki poziom zgodności z NIS2. Będą to:

zarządzanie środowiskiem cyfrowym;
wykrywanie i reagowanie na incydenty;
zabezpieczanie oraz testowanie środowiska i zasobów.

Wdrożenie NIS2 do organizacji i zagospodarowanie wspomnianych trzech obszarów działań powinno być poprzedzone przejściem przez 12-punktową listę kluczowych informacji, które trzeba ustalić przed rozpoczęciem wdrożenia.

1. Ustal, czy jesteś objęty dyrektywą NIS2

NIS2 rozszerza zakres dyrektywy NIS, obejmując więcej sektorów oraz rodzajów podmiotów publicznych, jak i prywatnych. Z tego powodu musisz dowiedzieć się, czy Twoja organizacja jest objęta tą regulacją.

Ustal, czy jesteś podmiotem kluczowym lub podmiotem ważnym

Pierwsza dyrektywa NIS dotyczyła DSP (Digital Services Providers – dostawców usług cyfrowych) i OES (Operators of Essential Services – operatorów usług kluczowych). Te nazwy nie występują w NIS2 – chociaż w praktyce, podmioty objęte NIS są również objęte NIS2.

W ramach dyrektywy NIS2 wyróżnia się dwa typy podmiotów:

Podmioty kluczowe (Essential Entities – EE), zostały szczegółowo opisane w Aneksie I tekstu NIS2
Podmioty ważne (Important Entities – IE), zostały szczegółowo opisane w Aneksie II tekstu NIS2

Podmioty kluczowe obejmują następujące sektory:

energii;
transportu;
bankowości;
infrastruktury rynku finansowego;
zdrowia;
wody pitnej;
ścieków;
infrastruktury cyfrowej – dostawców chmury, centrów danych, DNS, itp.;
zarządzania usługami ICT (B2B): dostawców usług zarządzanych i dostawców zarządzanych usług bezpieczeństwa;
administracji publicznej;
przestrzeni kosmicznej.

Podmioty ważne obejmują następujące sektory:

usług pocztowych i kurierskich;
gospodarki odpadami;
produkcji, przetwarzania i dystrybucji chemikaliów;
produkcji, przetwarzania i dystrybucji żywności;
produkcji:
- wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro;
- komputerów, produktów elektronicznych i optycznych;
- sprzętu elektrycznego;
- maszyn i urządzeń niesklasyfikowanych gdzie indziej;
- pojazdów silnikowych, przyczep i naczep;
- innego sprzętu transportowego;
dostawców usług cyfrowych:
- giełd internetowych;
- wyszukiwarek internetowych;
- platform usług społecznościowych;
badań, czyli organizacji badawczych w rozumieniu „podmiotu, którego głównym celem jest prowadzenie badań stosowanych lub prac rozwojowych z zamiarem wykorzystania wyników tych badań do celów komercyjnych, ale które nie obejmuje instytucji edukacyjnych.” (Artykuł 6(41)).

Określ, czy rozmiar Twojej organizacji kwalifikuje Ciebie do bycia objętym działaniem NIS2

Dyrektywa NIS2 dotyczy wyłącznie średnich i dużych przedsiębiorstw. NIS2 w artykule 2 wprowadza pojęcie rozmiaru jednostki, które nie istniało w pierwszej wersji NIS. Mikro i małe przedsiębiorstwa w rozumieniu zalecenia Komisji 2003/361/WE nie są objęte przepisami.

Lista podmiotów, które podlegają pod NIS2 niezależnie od wielkości podmiotu

Trzeba zauważyć, że istnieją wyjątki w dyrektywie zakresie tego, czy podmiot jest nią objęty. Niektóre organizacje podlegają NIS2 niezależnie od ich wielkości, jeśli spełniają jeden z poniższych warunków:

podmiot świadczy usługi:
- publicznych sieci komunikacji elektronicznej lub publicznie dostępnych usług komunikacji elektronicznej;
- będąc dostawcą usług zaufania;
- rejestrów nazw TLD i usług DNS;
podmiot jest jednostką administracji publicznej:
- jako przedstawiciel administracji centralnej zgodnie z definicją państwa członkowskiego;
- jako przedstawiciel administracji na poziomie regionalnym, który na podstawie oceny ryzyka świadczy usługi, których zakłócenie mogłoby mieć znaczący wpływ na krytyczne działania społeczne lub gospodarcze;
podmiot jest jedynym dostawcą danej usługi w państwie członkowskim;
potencjalne zakłócenie usługi świadczonej przez podmiot mogłoby mieć wpływ na bezpieczeństwo publiczne, bezpieczeństwo narodowe lub zdrowie publiczne;
potencjalne zakłócenie usługi świadczonej przez podmiot mogłoby powodować ryzyka systemowe, zwłaszcza dla sektorów, gdzie takie zakłócenie mogłoby mieć wpływ transgraniczny;
podmiot ma krytyczne znaczenie ze względu na swoją szczególną rolę na poziomie regionalnym lub krajowym dla danego sektora lub rodzaju usługi, lub dla innych współzależnych sektorów w państwie członkowskim;
podmiot jest zidentyfikowany jako krytyczny zgodnie z dyrektywą (UE) 2022/2557 – tzw. dyrektywą o odporności podmiotów krytycznych (CER). Krytyczne podmioty w ramach tej dyrektywy są wyszczególnione w artykule 6 i załączniku. Uwaga: ta grupa jest w dużej mierze zgodna z listą podmiotów krytycznych w rozumieniu NIS2.

NIS2 wymaga od każdego państwa członkowskiego ustalenia listy krajowych podmiotów objętych powyższymi punktami.

Sprawdź, czy nie podlegasz innym przepisom specyficznym dla Twojego sektora

Niektóre sektory, zwłaszcza te najbardziej krytyczne, są już objęte innymi przepisami dotyczącymi cyberbezpieczeństwa. Czasami uzupełniają one dyrektywę NIS2, a nawet ją zastępują, zgodnie z zasadą „lex specialis” – prawo szczególne ma pierwszeństwo przed prawem ogólnym. Dlatego ważne jest, aby wiedzieć, czy jesteś objęty jakimikolwiek innymi przepisami.

Pewne wskazówki można znaleźć w Raporcie z Oceny Wpływu, który towarzyszy NIS2 (Dokument 3/3, strona 46). Raport ten wskazuje, że:

Dla sektora finansowego regulacja DORA (Digital Operational Resilience Act) jest „lex specialis” w stosunku do dyrektywy NIS2, „określając skonsolidowane, uproszczone i zaktualizowane wymagania dotyczące ryzyka ICT w całym sektorze finansowym„. Jeśli Twoja organizacja działa w sektorze finansowym przeczytaj nasz przewodnik po zgodności z DORA dla sektora finansowego;
Dla sektora energetycznego jest to rozporządzenie dotyczące przygotowania na ryzyko, które jest wspomniane jako uzupełnienie NIS2. To samo dotyczy rozporządzenia (UE) 2017/1938 mającego na celu zapewnienie bezpieczeństwa gazowego;
Dla sektora transportu wspomniano kilka europejskich inicjatyw, między innymi dla transportu lotniczego i morskiego;
Dla sieci i usług komunikacji elektronicznej szeroko omówiono Europejski Kodeks Łączności Elektronicznej (EECC).

2. Sprawdź świadomość wśród najwyższego kierownictwa na temat sankcji i grzywien w związku NIS2

Dyrektywa NIS2 wprowadza znacznie bardziej poważne konsekwencje niż dotychczasowe prawodawstwo, dzięki czemu NIS2 może być znacznie skuteczniejsze od poprzednich regulacji w zapewnieniu cyberbezpieczeństwa w Unii Europejskiej. Aby zapewnić zgodność, przewiduje ona dwa rodzaje sankcji:

wysokie, określone administracyjne grzywny;
odpowiedzialność kadry zarządzającej organizacją.

To zadanie CISO – ale nie tylko – aby wyjaśnić wyższemu kierownictwu konsekwencje wynikające z dyrektywy NIS2. Ryzyko kar daje podstawę CISO do prac nad przeforsowaniem planów w zakresie cyberbezpieczeństwa i zatwierdzenia związanych z nimi zwiększonych budżetów. Wszystkie opisane dalej kary i grzywny są wymienione w Rozdziale VII dyrektywy NIS2, Nadzór i egzekwowanie (Artykuły 32, 33 i 34).

Kary w wysokości co najmniej 10 milionów euro lub 2% rocznego ogólnoświatowego obrotu organizacji

Dyrektywa NIS2 określa i wzmacnia kary przewidziane przez prawo w przypadku niezgodności z:

obowiązkiem raportowania określonymi w artykule 23;
środkami zarządzania ryzykiem cyberbezpieczeństwa określonymi w artykule 21.

Art. 34 ust. 4 dyrektywy NIS2 przewiduje kary administracyjne w przypadku niezgodności z tymi obowiązkami. Kary te są różne w zależności od tego, czy podmiot jest kluczowy czy ważny:

dla podmiotów ważnych – dyrektywa NIS2 przewiduje kary administracyjne w wysokości „co najmniej” 7 milionów euro lub „co najmniej” 1,4% całkowitego rocznego ogólnoświatowego obrotu firmy za poprzedni rok finansowy, w zależności od tego, która kwota jest wyższa.
dla podmiotów kluczowych – kary administracyjne wynoszą „co najmniej” 10 milionów euro lub „co najmniej” 2% całkowitego rocznego światowego obrotu firmy za poprzedni rok finansowy w zależności od tego, która kwota jest wyższa.

Co ciekawe – projekt tekstu dyrektywy NIS2 przewidywał kary „do” 7 milionów euro dla podmiotów ważnych i 10 milionów euro dla podmiotów kluczowych, ale ostateczny tekst tego dokumentu wprowadza kary „co najmniej” 7 i 10 milionów odpowiednio. Państwa członkowskie mogą również rozszerzać i uzupełniać te sankcje w ramach własnych przepisów krajowych.

Odpowiedzialność „organów zarządzających” w zakresie zarządzania ryzykiem związanym z cyberbezpieczeństwem

Dyrektywa NIS2 wprowadza pojęcie odpowiedzialności najwyższego kierownictwa za bezpieczeństwo – a dokładniej „organów zarządzających” zgodnie z ostatecznym tekstem dyrektywy. Celem tego zapisu jest tutaj jasne wymuszenie przejęcia odpowiedzialności za ryzyko przez zarząd, aby zapewnić wyższy poziom bezpieczeństwa. Perspektywa sankcji jest najskuteczniejsza, gdy są wyraźnie wskazane osoby obarczone odpowiedzialnością.

NIS2 – sankcje dla najwyższego kierownictwa

NIS2 umożliwia organom regulacyjnym państw członkowskich nakazanie podmiotom naruszającym dyrektywę:

upublicznienia informacji o niezgodności z dyrektywą;
wystąpienia z publicznym oświadczeniem, w którym zostaną zidentyfikowane osoby fizyczne i prawne odpowiedzialne za naruszenie oraz natura naruszenia.

W kontekście podmiotu kluczowego sankcje te mogą obejmować:

zawieszenie certyfikatów i zezwoleń na usługi lub działalność świadczoną przez organizację;
tymczasowy zakaz pełnienia funkcji kierowniczych w podmiocie dla osób sprawujących obowiązki zarządcze w organizacji.

Należy zauważyć, że te środki nie mają zastosowania do podmiotów administracji publicznej objętych niniejszą dyrektywą.

3. Zweryfikuj sposoby szkolenia kadry kierowniczej z cyberbezpieczeństwa

Dyrektywa NIS2 na szczęście nie skupia się wyłącznie na sankcjach. NIS2 zwracając uwagę na znaczenie kadry kierowniczej dla organizacji, wymaga regularnych szkoleń i rozwoju wiedzy w zakresie zarządzania ryzykiem cyfrowym. Jako CISO jesteś najlepiej przystosowany do pełnienia tej roli w organizacji – lub przynajmniej do kierowania wyborem dostawcy szkoleń.

Obowiązki regularnych szkoleń dla kadry zarządzającej

W odniesieniu do zarządzania, artykuł 20 dyrektywy przewiduje, że organy zarządzające podmiotów kluczowych i ważnych muszą:

zatwierdzać podejmowane przez te podmioty środki zarządzania ryzykiem cyberbezpieczeństwa;
nadzorować ich wdrażanie (i być odpowiedzialnymi za wszelkie niezgodności);
regularnie uczestniczyć w szkoleniach, aby zdobyć wystarczającą wiedzę i umiejętności pozwalające na zrozumienie i ocenę ryzyk związanych z cyberbezpieczeństwem oraz praktyk zarządzania i ich wpływu na działalność podmiotu. Dyrektywa również zachęca do okresowych szkoleń dla regularnych pracowników.

NIS2 – jak wybrać szkolenia dla Twojej organizacji?

Niestety dyrektywa NIS2 nie podaje jednoznacznej odpowiedzi na to pytanie. NIS2 nie precyzuje treści tych szkoleń ani warunków potwierdzających ich odbycie. Jednakże dyrektywa wskazuje wiele zagadnień, na bazie których można zweryfikować jakość branych pod uwagę szkoleń. Warto wspomnieć choćby o zasadzie zero-trust, zagrożeniach cybernetycznych, technikach phishingu i inżynierii społecznej oraz wymaganiach dotyczącym zgodności.

Ponadto istnieje już kilka sposobów edukowania pracowników na wszystkich szczeblach na temat zarządzania ryzykiem związanym z cyberbezpieczeństwem oraz podstawowych najlepszych praktyk higieny cyfrowej.

4. Zaplanuj i oszacuj wzrost budżetu

Dyrektywa NIS2 nieuchronnie spowoduje wzrost wydatków dla objętych nią organizacji. Możesz jako CISO już teraz uwzględnić to w planowaniu następnych budżetów. Da Ci to wgląd w dostępne opcje i pozwoli na zatwierdzenie Twoich decyzji przez zarząd tak szybko, jak to możliwe.

Oczywiście nie ma uniwersalnej magicznej formuły do obliczania budżetu, ponieważ będzie on zależał od poziomu dojrzałości organizacji i aktualnego poziomu zarządzania ryzykiem. Niemniej jednak briefing NIS2 daje pewne wskazówki dotyczące oczekiwanych wzrostów.

NIS2 – szacunki na temat wzrostu budżetów w zakresie ICT

Według Raportu z Oceny Wpływu (1/3, s. 77. Prognozy średnich kosztów specyficznych dla sektorów są podane na stronach 72 i 73) w ciągu 3 do 4 lat od wdrożenia NIS2 oczekuje się, że wydatki na bezpieczeństwo ICT wzrosną średnio o:

12% w sektorach już objętych NIS;
do 22% w organizacjach, które reprezentują sektory i rodzaje usług dodane do zakresu NIS2.

Jednocześnie według raportu wprowadzenie dyrektywy NIS2 zmniejszy całkowity koszt incydentów cyberbezpieczeństwa o 11,3 miliarda euro. Koszt wejścia NIS2 przewidywany jest dla budżetów przedsiębiorstw i administracji jest około 20-30% więcej w krótkim i średnim okresie niż dotychczas.

Część kosztów może zostać pokryta przez różne formy wsparcia finansowego. Istnieją dotacje dostępne w całej UE, takie jak Program Cyfrowa Europa (DIGITAL), który przewiduje 7,5 miliarda euro na lata 2021-2027. Celem tego programu jest wsparcie finansowe na rozwój i wdrażanie zaawansowanych technologii cyfrowych, w tym rozwiązań z zakresu cyberbezpieczeństwa. Dzięki dostępnym środkom, polskie firmy mogą uzyskać wsparcie na inwestycje w nowoczesne systemy ochrony danych, zabezpieczenia przed cyberatakami oraz edukację swoich pracowników w zakresie najlepszych praktyk związanych z bezpieczeństwem cyfrowym. Więcej informacji można znaleźć na stronie Centrum Projektów Polska Cyfrowa.

5. Poznaj 10 obszarów zarządzania ryzykiem w NIS2

Jeśli każdy CISO miałby zapamiętać tylko jedno zagadnienie z tego artykułu, to powinien być ten punkt. Regulator wskazał 10 obszarów zarządzania ryzykiem cyberbezpieczeństwa wymaganych przez dyrektywę NIS2, które każda organizacja musi wdrożyć. Ostateczny tekst NIS2 wyraźnie stwierdza, że podmioty kluczowe i ważne muszą wdrożyć:

“odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu” – NIS2, Artykuł 21.

Według artykułu 21 podmioty kluczowe i ważne muszą wprowadzać “środki” bazujące co najmniej na poniższych 10 obszarach:

polityki analizy ryzyka i bezpieczeństwa systemów informatycznych;
obsługi incydentów;
ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
bezpieczeństwie łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między organizacją, a jej bezpośrednimi dostawcami lub usługodawcami;
bezpieczeństwie w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
podstawowych praktyk cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa, które wymagają szacowania ryzyka;
polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
bezpieczeństwie zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami;
w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

6. Zweryfikuj proces zgłaszania incydentów

Jak można zauważyć w poprzednim rozdziale, jednym z 10 punktów było zgłaszanie incydentów. NIS2 zaostrza obowiązki dotyczące reagowania na incydenty i skraca niektóre terminy.

Przygotuj plan reagowania na incydenty

Pierwszą rzeczą, którą powinieneś zrobić, to udokumentowanie swojego planu reagowania na incydenty (lub przegląd aktualnej dokumentacji). Definiowanie procedur i polityk dotyczących reagowania na incydenty pomoże usprawnić proces, gdy będziesz musiał zareagować na incydent.

NIS2 – incydenty i cyberzagrożenia

Pierwsza dyrektywa NIS wskazywała ważny termin w zakresie incydentów i cyberzagrożeń „liczbę dotkniętych użytkowników”. Dyrektywa NIS2 nie posługuje się nim. W odniesieniu do obowiązków reagowania na incydenty dyrektywa NIS2 opiera się na dwóch odrębnych pojęciach:

incydenty oznaczające „jakiekolwiek zdarzenie naruszające dostępność, autentyczność, integralność lub poufność przechowywanych, przesyłanych lub przetwarzanych danych lub usług oferowanych przez, lub dostępnych za pośrednictwem, systemów sieciowych i informacyjnych” zgodnie z art. 6 ust. 6;
cyberzagrożenia oznaczające „jakiekolwiek potencjalne okoliczności, zdarzenia lub działania, które mogą uszkodzić, zakłócić lub w inny sposób negatywnie wpłynąć na systemy sieciowe i informacyjne, użytkowników takich systemów i inne osoby” zgodnie z art. 2 ust. 8 Aktu o Cyberbezpieczeństwie, do którego odwołuje się art. 6 ust. 10.

Artykuł 23 przewiduje, że incydent uważa się za istotny, jeśli:

spowodował lub jest zdolny spowodować poważne zakłócenie operacyjne usług lub straty finansowe dla podmiotu;
wpłynął lub może wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody materialne lub niematerialne.

Co zrobić w przypadku znaczącego incydentu lub natrafienia na cyberzagrożenie?

W przypadku cyberzagrożenia lub znaczącego incydentu podmioty kluczowe i ważne powinny niezwłocznie poinformować:

właściwe organy lub krajowy CSIRT, jednocześnie upewniając się, że zgłoszą wszelkie informacje umożliwiające określenie ewentualnego transgranicznego wpływu incydentu;
w stosownych przypadkach poinformować odbiorców swoich usług, jeśli incydent może negatywnie wpłynąć na świadczenie tej usługi;
również w stosownych przypadkach poinformować osoby bezpośrednio dotknięte zagrożeniem. W kontekście znaczącego cyberzagrożenia należy również powiadomić o działaniach lub środkach zaradczych, które można podjąć w odpowiedzi.

W odniesieniu do obowiązków reagowania wobec właściwych organów lub zespołu CSIRT podmioty powinny zgłaszać:

wstępne powiadomienie w ciągu 24 godzin od zdarzenia, wskazujące, czy podejrzewa się, że incydent został spowodowany przez czyny bezprawne lub złośliwe, lub czy może mieć transgraniczny wpływ;
w ciągu 72 godzin od momentu odkrycia znacznego incydentu, powiadomienie stosownych podmiotów o incydencie, które w stosownych przypadkach aktualizuje poprzednie informacje i wskazuje wstępną ocenę znaczącego incydentu, w tym jego powagi i wpływu, a także w stosownych przypadkach – wskaźniki zagrożenia;
sprawozdanie pośrednie dotyczące odpowiednich aktualizacji statusu na żądanie właściwego organu lub CSIRT;
sprawozdanie końcowe nie później niż jeden miesiąc po przesłaniu pierwszego sprawozdania, zawierające co najmniej:
1. szczegółowy opis incydentu, jego powagi i wpływu;
2. rodzaj zagrożenia lub przyczynę, która prawdopodobnie wywołała incydent;
3. zastosowane i dalej trwające środki łagodzące:
4. w stosownych przypadkach, opis transgranicznego wpływu incydentu.
jeśli incydent jest nadal w toku w momencie przesłania sprawozdania końcowego, podmioty powinny przedstawić sprawozdanie z postępów w tym czasie oraz sprawozdanie końcowe w ciągu jednego miesiąca od zajęcia się incydentem.

Kim są „właściwe organy” w przypadku organizacji objętych NIS2?

Państwa członkowskie mają własne organy nadzorcze, określone w NIS2 jako CSIRT (Computer Security Incident Response Teams), do których można zgłaszać wychwycone incydenty. Niektóre kraje mają również wyznaczone „właściwe organy”. Jeśli chodzi o obecną dyrektywę NIS, są to np. ANSSI we Francji, CCB w Belgii i BSI w Niemczech.

W Polsce poważne incydenty, ich status oraz raporty z nimi związane należy zgłaszać do odpowiedniego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT. Obecnie trzy zespoły odpowiedzialne są za koordynację zgłoszonych incydentów na poziomie ogólnopolskim:

CSIRT NASK;
CSIRT GOV;
CSIRT MON.

Pewne zmiany mogą nadejść z nową ustawą o krajowym systemie cyberbezpieczeństwa, która ma zostać przyjęta pod koniec 2024 roku.

Jakie uprawnienia kontrolne organy będą miały uprawnienia kontrolne organy nadzorcze?

Dyrektywa NIS2 przyznaje organom nadzorczym rozległe uprawnienia do nadzorowania i egzekwowania przepisów, w tym:

przeprowadzanie niezależnych i ukierunkowanych audytów bezpieczeństwa oraz nakazywanie wdrożenia zaleceń poaudytowych,
wnioskowanie o udostępnienie informacji, dostęp do danych i dokumentów,
wydawanie nakazów zapewnienia zgodności z dyrektywą NIS2.

Zakres uprawnień będzie zróżnicowany w zależności od tego, czy działania dotyczą podmiotów kluczowych czy ważnych. W przypadku nieprzestrzegania dyrektywy przez podmioty kluczowe, organy nadzorcze będą miały możliwość tymczasowego zawieszenia certyfikacji, zezwolenia na świadczenie usług czy prowadzenia działalności.

7. Oceń bezpieczeństwo łańcucha dostaw

Bezpieczeństwo łańcucha dostaw było niezagospodarowanym punktem w pierwszej dyrektywie NIS. NIS2 wypełnia tę lukę. Preambuła 85 tekstu wyjaśnia:

„Zaradzenie ryzyku wynikającemu z łańcucha dostaw danego podmiotu i jego powiązań z dostawcami – takimi jak dostawcy usług przechowywania i przetwarzania danych lub dostawcy usług zarządzanych w zakresie bezpieczeństwa oraz edytorzy oprogramowania – jest szczególnie istotne z uwagi na częstość incydentów, w których podmioty są ofiarami cyberataków i w których agresorzy są w stanie złamać zabezpieczenia sieci i systemów informatycznych danego podmiotu, wykorzystując podatności występujące w produktach i usługach osób trzecich.

Dlatego podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług oraz środków zarządzania ryzykiem w cyberbezpieczeństwie stanowiący ich część, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty kluczowe i ważne należy w szczególności zachęcać, aby włączały środki zarządzania ryzykiem w cyberbezpieczeństwie do ustaleń umownych z bezpośrednimi dostawcami i usługodawcami. Podmioty te mogłyby rozważyć ryzyko pochodzące od dostawców i usługodawców z innych poziomów” – NIS2, Preambuła 85.

Od organizacji świadczących niektóre usługi podmiotom objętym zakresem dyrektywy NIS2 oczekuje się wzmocnienia ich bezpieczeństwa cyfrowego, nawet jeśli nie są one wyraźnie objęte zakresem dyrektywy. Podmioty kluczowe lub ważne muszą przeprowadzić dokładną ocenę ryzyka swojego łańcucha dostaw, zaczynając od swoich bezpośrednich dostawców (poziom 1). Preambuła 86 kładzie szczególny nacisk na usługi zarządzane (Managed Security Service Provider) w obszarach:

reagowania na incydenty;
testów penetracyjnych;
audytów bezpieczeństwa oraz;
doradztwa.

NIS2 zaleca zatem organizacjom szczególną staranność przy wyborze dostawców usług zarządzanych.

8. Upewnij się, że posiadacie plan ciągłości działania i zarządzania kryzysowego

Dyrektywa NIS2 wyraźnie odnosi się do „ciągłości działania i zarządzania kryzysowego” we wskazanych środkach zarządzania ryzykiem. CISO musi być w pewnym stopniu zaangażowany w ten proces. Kroki, które możesz podjąć, obejmują szkolenie pracowników w zakresie najlepszych praktyk bezpieczeństwa, czy też testowanie zdolności odporności Twojej organizacji. Dobrym pomysłem może być również współpraca z zespołami ds. komunikacji, marketingu i prawnym w sprawie stworzenia scenariuszy na temat tego, jaką komunikację PR przyjąć w przypadku naruszenia. Warto również określić, jakie wdrożyć procesy i szablony, Również bardzo cenne może być wdrożenie systemu zarządzania bezpieczeństwem informacji.

9. Przemyśl sposób wdrożenia ISMS z uwzględnieniem NIS2

Posiadanie systemu zarządzania bezpieczeństwem informacji (ISMS) pomaga zmniejszyć ryzyka cyfrowe, poprzez uporządkowanie w organizacji zarządzania bezpieczeństwem informacji w sposób wcześniej zaplanowany. Przyjęcie takiej struktury pozwoli lepiej kontrolować i zarządzać poziomami ryzyka bezpieczeństwa.

ISO27001 – międzynarodowy standard tworzenia ISMS

Jeśli nie wiesz, od czego zacząć, zainteresowanie się wdrożeniem standardu ISO27001 jest dobrym wyborem. To międzynarodowy standard przy budowaniu ISMS, który jest powszechnie stosowany w firmach na całym świecie.

ISO27001 jest również szeroko wspominany w oficjalnych wytycznych ENISA dotyczących oceny bezpieczeństwa dostawców usług cyfrowych i zgodności operatorów usług krajowych z wymaganiami bezpieczeństwa pierwszej dyrektywy NIS. Chociaż powyższe koncepcje znikną wraz z NIS2, zalecane standardy bezpieczeństwa informacji i ramy kontrolne nie ulegną obniżeniu, czy innym dramatycznym zmianom.

Uzyskanie certyfikacji ISO27001 może zająć trochę czasu, w zależności od poziomu dojrzałości Twojej organizacji. Chociaż NIS2 nie wejdzie w życie przed październikiem 2024 roku, wdrożenie ISO27001 to ważny i przydatny w kontekście NIS2 projekt, który należy rozpocząć jak najszybciej.

NIS2 – w kierunku europejskich ram certyfikacji cyberbezpieczeństwa

Dzięki NIS2 Unia Europejska zmierza w kierunku własnych, europejskich schematów certyfikacji cyberbezpieczeństwa. Szczegóły nadal muszą zostać dopracowane, ale art. 24 ust. 3 dyrektywy stanowi, że ENISA może zostać powołana do realizacji projektu przez Komisję Europejską.

10. Dowiedz się o bezpiecznych praktykach programistycznych

NIS2 jest zgodny z unijnym Aktem o Cyberbezpieczeństwie z czerwca 2019 roku, który wskazuje znaczenie wykorzystywania dobrych praktyk programistycznych w projektowaniu systemów. Innymi słowy, “bezpieczeństwo” powinno być wbudowane w produkty i usługi od samego początku.

Oczywiście szkolenie programistów w zakresie bezpiecznych praktyk programistycznych i ram bezpieczeństwa nie jest rolą CISO. Jednak nic nie stoi na przeszkodzie, aby wyjść poza standardowe obowiązki i zwiększyć świadomość na ten temat. Może to być wspólny wysiłek z CTO, zespołami SOC lub wewnętrznymi entuzjastami bezpieczeństwa. Oprócz kursów można organizować wewnętrzne warsztaty zespołów programistycznych i posiłkować się gamifikacją w treningach personelu.

11. Dowiedz się o polityce ujawniania luk w zabezpieczeniach (VDP)

Dyrektywa NIS2 kładzie nacisk na obsługę i ujawnianie luk, zwłaszcza w odniesieniu do sieci i systemów informatycznych. Wśród środków zarządzania ryzykiem cyberbezpieczeństwa wymaganych przez NIS2 znajduje się następujący:

e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;

Preambuła 58 rozwija to zagadnienie dokładniej:

Ponieważ wykorzystywanie podatności sieci i systemów informatycznych może powodować znaczące zakłócenia i szkody, ważnym czynnikiem w ograniczaniu ryzyka jest szybkie identyfikowanie takich podatności i ich eliminowanie. Podmioty, które opracowują takie sieci i systemy informatyczne lub administrują nimi, powinny zatem ustanowić odpowiednie procedury postępowania w przypadku wykrycia takich podatności.

Ponieważ podatności często są wykrywane i ujawniane przez osoby trzecie, producent lub dostawca produktów ICT lub usług ICT również powinien wprowadzić niezbędne procedury regulujące odbieranie od osób trzecich informacji na temat podatności. W tym względzie normy międzynarodowe ISO/IEC 30111 i ISO/IEC 29147 zawierają wskazówki odnoszące się do postępowania w przypadku podatności i do ujawniania podatności. Wzmocnienie koordynacji między zgłaszającymi osobami fizycznymi i osobami prawnymi a producentami lub dostawcami produktów ICT lub usług ICT jest szczególnie ważne, aby usprawnić dobrowolne zasady ramowe dotyczące ujawniania podatności.

Skoordynowane ujawnianie podatności to ustrukturyzowany proces, w ramach którego podatności są zgłaszane producentowi lub dostawcy potencjalnie podatnych produktów ICT lub usług ICT w sposób umożliwiający im zdiagnozowanie i wyeliminowanie danej podatności, zanim dotyczące jej szczegółowe informacje zostaną ujawnione osobom trzecim lub podane do wiadomości publicznej. Skoordynowane ujawnianie podatności powinno także obejmować koordynację między zgłaszającymi osobami fizycznymi lub osobami prawnymi a producentem lub dostawcą potencjalnie podatnych produktów ICT lub usług ICT w odniesieniu do harmonogramu eliminowania podatności i podawania ich do wiadomości publicznej – NIS2, Preambuła 58.

Przesłanie dla organizacji jest jasne – zwłaszcza producentów czy też dostawców produktów lub usług ICT – ważne jest, aby byli w stanie przyjmować zgłoszenia od osób z zewnątrz na temat luk w zabezpieczeniach. Ten proces powinien zostać opisany w polityce zgłaszania luk w zabezpieczeniach (VDP). Ta polityka to strukturyzowany kanał zapewniony przez organizację, przez który każda osoba może zgłosić problem związany z cyfrowym bezpieczeństwem.

Stwórz politykę ujawniania podatności

Samodzielnie napisanie i wdrożenie polityki ujawniania podatności nie jest dużym wyzwaniem. Istnieje wiele zasobów, które mogą poprowadzić Ciebie, takich jak:

Disclose.io, który oferuje generator polityk ujawniania podatności;
securitytxt.org, który pomaga tworzyć pliki security.txt.

Dobrą praktyką jest wskazanie środków kontaktu przewidzianych przez Twoją politykę ujawniania podatności w pliku security.txt, dostępnym pod adresem np. www.adresstrony.pl/well-known/security.txt.

12. Sprawdź wyniki testów bezpieczeństwa i audytów

Może to wydawać się oczywiste, ale regularne testowanie bezpieczeństwa jest niezbędne, aby zapewnić, że środowisko jest dobrze chronione. Dyrektywa NIS2 formalnie wymaga od podmiotów kluczowych i ważnych:

polityki i procedury służących ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie.

Bug Bounty

Gdy zostanie osiągnięty wystarczająco zaawansowany poziom bezpieczeństwa, testy penetracyjne zaczynają mieć swoje ograniczenia. Bug Bounty pozwala wtedy zmierzyć się z możliwością wystąpienia luk zapraszając etycznych hakerów do przetestowania bezpieczeństwa systemu. Bug Bounty promuje filozofię płacenia za wyniki, jednocześnie pozwalając na odkrycie skomplikowanych podatności o profilu wysokiego ryzyka, które umykają audytom.

NIS2 krok po kroku

Kraje członkowskie EU mają jeszcze czas do października 2024 roku na wprowadzenie NIS2 do swoich systemów prawnych. Daje to organizacjom czas na przygotowanie się, ale warto już teraz zacząć przygotowania do tego tematu. Główna część pracy powinna być zorganizowana wzdłuż trzech głównych linii:

zarządzanie środowiskiem cyfrowym;
wykrywanie i reagowanie na incydenty;
zabezpieczanie oraz testowanie środowiska i zasobów.

Twoje działania powinny skupiać się wokół 10 środków zarządzania ryzykiem cyberbezpieczeństwa wymaganych przez dyrektywę NIS2. Przechodząc przez 12-punktową listę kluczowych informacji, które trzeba ustalić przed rozpoczęciem wdrożenia, możesz dojść do wniosku, że w Twojej organizacji jest wiele obszarów do przepracowania. Dobrze wtedy zająć się tematem wdrożenia niezwłocznie i skorzystać z prostego planu 9 kroków, który systemowo i solidnie pomoże Ci wdrożyć NIS2.

Podobne wpisy z kategorii

21.06.2024
- Automatyzacja
- Kontrola ryzyka
Tenable i RIG DORA – Cybersecurity techniczne i biznesowe

Działy cybersecurity i IT muszą współpracować, odpowiednio alokując swoje zasoby, aby osiągnąć wyznaczone cele. Muszą być gotowe na…

Przeczytaj
14.06.2024
- Kontrola ryzyka
Zakupy wybierają rozwiązanie do wdrożenia DORA

Duża część usług związanych z wdrożeniem DORA może być realizowana w formie zautomatyzowanych narzędzi. Jakie przeprowadzić efektywne zakupy?

Przeczytaj
12.06.2024
- Automatyzacja
- Kontrola ryzyka
Jak zaoszczędzić 59% budżetu i 66% czasu na szacowaniu ryzyka zgodnie z DORA?

Szacowanie ryzyka zgodnie z DORA wymaga wiele pracy związanej z mapowaniem procesów, ocenę ryzyka przy każdej większej zmianie infastruktury.

Przeczytaj