Wraz z rosnącą liczbą cyberataków i zagrożeń cyfrowych organizacje muszą podjąć zdecydowane działania w celu ochrony swoich systemów informatycznych i danych. Jedną z odpowiedzi na to wyzwanie są działania Unii Europejskiej, która dostrzegając potrzebę wzmocnienia cyberodporności we Wspólnocie, wprowadziła dwie regulacje Network and Information Security Directive 2.0 (NIS2) oraz Digital Operational Resilience Act (DORA). Oba dokumenty mają na celu zwiększenie odporności na zagrożenia cyfrowe, ale różnią się zakresem i specyfiką.
Czym jest NIS2, a czym jest DORA?
Dyrektywa NIS2 jest aktualizacją pierwotnej Dyrektywy NIS, a jej celem jest zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych w całej Unii Europejskiej choćby z racji na transgraniczny wpływ incydentów cyfrowych. NIS2 została przyjęta, aby sprostać bieżącym zagrożeniom cyfrowym, których realizacja mogłaby mieć znaczny wpływ na krytyczne sektory gospodarki i życia społecznego. Dla podmiotów na polskim terytorium dyrektywa NIS2 zostanie prowadzona poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.
Dyrektywa ta wprowadza bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i łańcuchem dostaw oraz zgłaszania incydentów, a także promuje współpracę między państwami członkowskimi UE w zakresie cyberbezpieczeństwa. Z tego powodu dyrektywa obejmuje 18 sektorów uznanych za krytyczne lub ważne. NIS2 ma na celu zapewnienie, że te sektory są dobrze przygotowane do zarządzania ryzykiem cyfrowym oraz do reagowania na incydenty cyberbezpieczeństwa w sposób skuteczny i skoordynowany.
Natomiast rozporządzenie DORA jest nowym prawodawstwem Unii Europejskiej, które koncentruje się na zwiększeniu operacyjnej odporności cyfrowej sektora finansowego na zagrożenia związane z technologiami informacyjnymi i komunikacyjnymi (ICT). DORA została stworzona, aby ujednolicić na poziomie europejskim zasady w zakresie zarządzania ryzykiem ICT i wzmocnić zdolność podmiotów finansowych do reagowania na cyberataki i inne zagrożenia cyfrowe. Ponadto DORA kładzie duży nacisk na zarządzanie ryzykiem związanym z dostawcami usług ICT, co ma na celu zwiększenie odporności całego łańcucha dostaw w sektorze finansowym. Rozporządzenie to integruje i rozszerza istniejące wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) dotyczące zarządzania ryzykiem ICT i bezpieczeństwem.
Podobieństwa między NIS2 a DORA
Zarówno NIS2, jak i DORA, mają na celu wzmocnienie ogólnego poziomu cyberbezpieczeństwa w organizacjach podlegających ich przepisom. Regulacje te zostały stworzone w odpowiedzi na rosnące cyberzagrożenia, które mogą poważnie zakłócić funkcjonowanie krytycznych sektorów gospodarki i podmiotów finansowych.
DORA jak i NIS2 oparte są o 6 filarów omówionych w kolejnych podrozdziałach. Filary są dobrymi wskazówkami do wdrożenia tych norm prawnych.
- Zarządzanie ryzykiem ICT, a przypadku NIS2 nie tylko ryzykiem ICT
- Incydenty ICT
- Dostawcy ICT w DORA i wszyscy dostawcy w łańcuchu dostaw w NIS2
- Wymiana informacji
- Testowanie odporności środowiska IT
- Dokumentacja w NIS2 i ramy zarządzania ryzykiem w DORA
Zarządzanie ryzykiem
Kluczowym elementem obu regulacji jest zagadnienie zarządzania ryzykiem. NIS2 i DORA wymagają, aby organizacje wdrażały kompleksowe zarządzanie ryzykiem ICT, które obejmuje identyfikację, ocenę, monitorowanie i ograniczanie ryzyka związanego ze środowiskiem cyfrowym.
Stały monitoring systemów informacyjnych pozwala na wczesne ostrzeganie i reagowanie na incydenty, co zwiększa bezpieczeństwo sieci i odporność organizacji na cyberataki. Dzięki temu organizacje są lepiej przygotowane do reagowania na zagrożenia oraz do utrzymania ciągłości operacyjnej w przypadku incydentów cyberbezpieczeństwa.
Organizacje podlegające dyrektywie NIS2 muszą zacząć swój proces zarządzania ryzykiem od dokładnego zmapowania swoich procesów biznesowych i technologicznych. To oznacza identyfikację wszystkich kluczowych aktywów, które mogą być zagrożone w przypadku cyberataku. Typy podmiotów podlegające pod DORA muszą szczególnie zwrócić uwagę na te procesy, które są zależne od ICT. Mapowanie procesów pomaga zrozumieć, jak dane są przetwarzane z organizacji, jakie systemy są używane na różnych etapach oraz jakie są punkty styku z dostawcami ICT. Dzięki temu organizacja może lepiej zarządzać ryzykiem i zabezpieczać swoje najważniejsze zasoby.
Kolejnym krokiem jest przeprowadzenie inwentaryzacji aktywów, co oznacza identyfikację i udokumentowanie wszystkich aktywów głównych i wspierających, takich jak sprzęt, oprogramowanie, dane i infrastruktura sieciowa. Znajomość wszystkich posiadanych aktywów jest kluczowa do oceny, jakie zasoby są najbardziej krytyczne dla działalności organizacji i które wymagają szczególnej ochrony. Inwentaryzacja aktywów pozwala na efektywne zarządzanie bezpieczeństwem i monitorowanie potencjalnych zagrożeń. Mając zmapowane procesy oraz zinwentaryzowane aktywa zarówno podmioty podlegające pod DORA jak i NIS2 muszą ocenić ryzyko związane z tymi zasobami. Polega to na identyfikacji potencjalnych zagrożeń oraz oszacowaniu prawdopodobieństwa ich realizacji i potencjalnych skutków dla organizacji.
Na podstawie oceny ryzyka organizacje te muszą opracować i wdrożyć plany postępowania z ryzykiem. Plany te obejmują opis środków technicznych oraz organizacyjnych, które mają na celu minimalizację ryzyka oraz plany reakcji na incydenty, które określają, jak organizacja powinna reagować w przypadku wystąpienia incydentu. Skuteczne zarządzanie ryzykiem wymaga regularnego przeglądu i aktualizacji tych planów, aby były one adekwatne do zmieniającego się krajobrazu zagrożeń.
Metodyka oceny ryzyka jako podstawa zarządzania ryzykiem
Chociaż DORA i NIS2 nie narzucają jednej konkretnej metodyki analizy ryzyka, wymagają, aby skupiała się ona na wartości i krytyczności posiadanych aktywów oraz wpływie ich utraty na funkcje biznesowe. DORA w artykule 6 ust. 2 wskazuje, że ramy zarządzania ryzykiem tworzone są w celu ochrony wszystkich odpowiednich zasobów informacyjnych i zasobów ICT. Z drugiej strony NIS2 w artykule 7 ust. 1 d) wskazuje, że krajowa strategia cyberbezpieczeństwa zawiera […] mechanizm służący określeniu istotnych zasobów i szacowanie ryzyka w tym państwie członkowskim.
Odpowiedzią na to wyzwanie jest podejście do analizy ryzyka – Asset Based Approach (oparte na aktywach) czyli metoda zarządzania ryzykiem, która koncentruje się na identyfikacji, ocenie i ochronie kluczowych aktywów organizacji. Aktywa te mogą obejmować zarówno zasoby materialne, jak i niematerialne, takie jak infrastruktura IT, dane, systemy informatyczne, a także zasoby ludzkie i reputację firmy. W ramach tego podejścia, organizacje najpierw określają, które z ich aktywów są najważniejsze dla ciągłości działania i osiągania celów biznesowych. Następnie analizowane są potencjalne zagrożenia i ich wpływ na te aktywa. Celem jest zrozumienie, jakie straty mogą wynikać z utraty lub naruszenia kluczowych aktywów oraz wdrożenie odpowiednich środków zaradczych i zabezpieczeń, aby zminimalizować ryzyko.
To podejście do oceny ryzyka, zgodne z zasadą zarządzania Risk Based Approach, podkreśla znaczenie identyfikacji, oceny i ochrony kluczowych aktywów organizacji. W ramach aplikacji RED INTO GREEN, stosowana jest metodyka oceny ryzyka zgodna z wymogami DORA, RODO i NIS2, która zapewnia kompleksową ochronę przed zagrożeniami.
Raportowanie incydentów – kluczowy element zarządzania ryzykiem
NIS2 oraz DORA nakładają na organizacje obowiązek raportowania incydentów bezpieczeństwa. Jest to podstawowy element zarządzania cyberbezpieczeństwem, który umożliwia szybką reakcję na poziomie sektorowym, czy też krajowym, na zagrożenie i minimalizację ich skutków. NIS2 i DORA określają szczegółowe wymagania dotyczące tego, jakie incydenty muszą być zgłaszane oraz w jakim czasie należy to zrobić. W ramach NIS2 każdy podmiot musi prowadzić raportowanie incydentów do właściwego CSIRT.
Zarządzanie dostawcami
DORA i NIS2 wykazują znaczące podobieństwa w podejściu do zarządzania ryzykiem związanym z dostawcami i łańcuchem dostaw. Obie regulacje uznają, że współczesne organizacje w dużym stopniu polegają na zewnętrznych dostawcach usług, co może stanowić istotne ryzyko. Zarówno DORA, jak i NIS2, wymagają od organizacji, aby dokładnie oceniali swoich dostawców, monitorowali ich zabezpieczenia oraz wprowadzali odpowiednie klauzule dotyczące bezpieczeństwa w umowach. Organizacje muszą przeprowadzać regularne audyty i oceny ryzyka swoich dostawców, aby upewnić się, że zapewnione zostanie bezpieczeństwo łańcucha dostaw. Celem jest zapewnienie, że ryzyko związane z dostawcami jest skutecznie zarządzane i minimalizowane.
Wymiana informacji
Digital Operational Resilience Act kładzie duży nacisk na zagadnienie wymiany informacji w sektorze finansowym. Jednym z podstawowych wymagań jest raportowanie incydentów cyfrowych właściwym organom. DORA zachęca również do dzielenia się informacjami na temat zagrożeń i najlepszych praktyk z innymi uczestnikami rynku finansowego. Celem jest stworzenie środowiska, w którym instytucje mogą szybko reagować na nowe zagrożenia, ucząc się na błędach innych i wdrażając skuteczniejsze środki ochrony. DORA wymaga również, aby instytucje finansowe prowadziły regularne ćwiczenia z zakresu zarządzania incydentami oraz testowania odporności operacyjnej, a wyniki tych działań były dzielone z odpowiednimi organami nadzoru oraz innymi zainteresowanymi stronami.
Network & Information Systems Directive 2.0 również promuje wymianę informacji, jednak jej zakres jest szerszy z racji, że obejmuje więcej sektorów. NIS2 wprowadza obowiązek dla państw członkowskich UE do tworzenia mechanizmów współpracy i wymiany informacji między sektorem publicznym, a prywatnym. Celem jest umożliwienie szybkiego i skutecznego reagowania na transgraniczne zagrożenia cyfrowe poprzez dzielenie się informacjami o zagrożeniach, podatnościach i incydentach. NIS2 ustanawia Europejską Sieć Organizacji ds. Cyberkryzysu (CyCLONe), która ma za zadanie ułatwiać współpracę i wymianę informacji między państwami członkowskimi w sytuacjach kryzysowych.
Testowanie podatności
DORA i NIS2 mają wspólne podejście do kwestii testowania odporności cyfrowej i przeprowadzania testów penetracyjnych. Obie regulacje wymagają od organizacji regularnego testowania swoich systemów i infrastruktury ICT w celu identyfikacji potencjalnych słabości i zagrożeń. Testy penetracyjne są szczególnie ważne, ponieważ pozwalają na symulowanie rzeczywistych cyberataków, co umożliwia ocenę skuteczności obecnych środków ochrony i procedur reagowania na incydenty. Organizacje muszą przeprowadzać te testy w regularnych odstępach czasu, aby zapewnić ciągłe monitorowanie i doskonalenie swoich systemów bezpieczeństwa. W ramach testowania podatności należy wykonywać:
- Testy penetracyjne
- Skanowanie podatności
- EPS
- VS&M
- SIEM
- FW
- XDR
- DLP
Dokumentacja w NIS2 i ramy zarządzania ryzykiem w DORA
Ramy zarządzania ryzykiem są kluczowym elementem DORA, który ma na celu zwiększenie odporności operacyjnej sektora finansowego na zagrożenia związane z ICT. Według DORA ramy zarządzania ryzykiem związanym z ICT obejmują wiele norm wewnętrznych organizacji, z których najważniejsze to: strategie, polityki, procedury, protokoły i narzędzia ICT niezbędne do należytej i odpowiedniej ochrony wszystkich odpowiednich zasobów informacyjnych i zasobów ICT. Dokumentacja ta obejmuje również mechanizmy zgłaszania incydentów oraz testy odporności operacyjnej. Wszystkie te elementy muszą być regularnie aktualizowane i dostosowywane do zmieniającego się krajobrazu cyberzagrożeń.
Dyrektywa NIS2 natomiast koncentruje się na szerokim zakresie wymaganej dokumentacji. NIS2 nakłada na organizacje obowiązek prowadzenia dokładnej dokumentacji dotyczącej zarządzania bezpieczeństwem informacji. Dokumentacja ta obejmuje m.in. polityki bezpieczeństwa, procedury zarządzania incydentami, plany ciągłości działania oraz raporty z ocen ryzyka i audytów bezpieczeństwa. Celem tych wymagań jest zapewnienie, że wszystkie istotne informacje dotyczące zarządzania cyberbezpieczeństwem są dostępne i mogą być wykorzystane do szybkiej reakcji na incydenty oraz do oceny i doskonalenia istniejących środków ochrony
Różnice między NIS2 i DORA
Podstawową różnicą między NIS2 i DORA jest forma prawna. NIS2 jest dyrektywą, co oznacza, że musi zostać wprowadzona do krajowych stosunków prawnych każdego państwa członkowskiego UE. Państwa członkowskie mają możliwość dostosowania przepisów do swojego kontekstu prawnego, co może wpływać w pewnych szczegółach na jednolitość stosowania NIS2 w całej Unii.
DORA za to jest rozporządzeniem, co oznacza, że obowiązuje bezpośrednio w całej Unii Europejskiej bez potrzeby wprowadzania do prawa krajowego. Dzięki temu DORA od pierwszego dnia obowiązywania zapewnia jednolite i spójne przepisy dotyczące odporności operacyjnej w sektorze finansowym we wszystkich państwach członkowskich UE.
Właściwe organy
W przypadku NIS2 każde państwo członkowskie UE wyznacza lub ustanawia co najmniej jeden właściwy organ odpowiedzialny za zarządzanie incydentami i zarządzanie kryzysowe w cyberbezpieczeństwie na dużą skalę. Te organy są odpowiedzialne za skuteczne monitorowanie przestrzegania dyrektywy NIS2 i stosowanie niezbędnych środków do jej egzekwowania. Mają one uprawnienia do wydawania ostrzeżeń dotyczących naruszeń dyrektywy, wydawania wiążących poleceń dotyczących podjęcia środków niezbędnych do zapobiegania incydentom lub usuwania ich skutków oraz nakazywania naprawy stwierdzonych uchybień.
W kontekście DORA odpowiednie, z góry określone, właściwe organy krajowe są zobowiązane do nadzorowania przestrzegania rozporządzenia i w stosownych przypadkach jego egzekwowania. Europejskie Urzędy Nadzoru, takie jak Europejski Urząd Nadzoru Bankowego (EUNB), Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (ESMA) oraz Europejski Urząd Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA), opracowują standardy techniczne, których muszą przestrzegać wszystkie podmioty świadczące usługi finansowe.
Czy należy zapewnić zgodność zarówno z NIS2 jaki i DORA?
Tak, ale to dotyczy tylko sektora finansowego.
NIS2 obejmuje szeroki zakres sektorów obejmujących podmioty kluczowe oraz podmioty ważne dla funkcjonowania społeczeństwa i gospodarki. Wśród obszarów znajdują się m.in. energetyka, transport, bankowość, infrastruktura cyfrowa, zdrowie, dostawy wody i żywności oraz usługi publiczne. Dyrektywa ta ma na celu zapewnienie wysokiego poziomu cyberbezpieczeństwa w tych sektorach poprzez wprowadzenie standardowych środków zarządzania ryzykiem i wymagań dotyczących raportowania incydentów.
DORA natomiast skupia się wyłącznie na sektorze finansowym, który obejmuje gamę podmiotów finansowych, takich jak banki, firmy inwestycyjne, firmy ubezpieczeniowe, dostawców usług płatniczych, emitentów pieniądza elektronicznego oraz dostawców usług związanych z kryptoaktywami. Celem DORA jest zapewnienie, że podmioty finansowe są odporne na zakłócenia ICT i mogą kontynuować działalność nawet w obliczu poważnych cyber incydentów.
Organizacje, które podlegają zarówno NIS2, jak i DORA, muszą priorytetowo traktować przepisy DORA jako lex specialis, co oznacza, że przepisy DORA mają pierwszeństwo w przypadku konfliktu z przepisami NIS2. Dotyczy podmiotów finansowych, które muszą spełniać specyficzne wymagania dotyczące odporności operacyjnej i zarządzania ryzykiem ICT.
Zarówno w dyrektywie NIS2, jak i w rozporządzeniu DORA, „właściwe organy” odgrywają kluczową rolę w nadzorowaniu i egzekwowaniu przepisów dotyczących cyberbezpieczeństwa. Ich szczegółowe zadania i zakres odpowiedzialności różnią się jednak w zależności od kontekstu.
Jak zarządzać organizacjąz NIS2 i DORA?
Zarządzanie ryzykiem, testowanie środowiska i reagowanie na incydenty są kluczowymi elementami zarówno NIS2, jak i DORA. Obie regulacje wymagają od organizacji opracowania i wdrożenia solidnych procesów zarządzania ryzykiem, które obejmują identyfikację, ocenę i monitorowanie zagrożeń związanych z ICT. Regularne testy penetracyjne i audyty bezpieczeństwa są niezbędne do wykrywania potencjalnych słabości i zapewnienia, że systemy są odporne na ataki cybernetyczne. Organizacje mogą skorzystać z podejścia zintegrowanego, wdrażając jednolite procedury oceny ryzyka i testowania bezpieczeństwa, co pozwoli na lepszą koordynację działań i zwiększenie skuteczności w zarządzaniu ryzykiem.
Pomocne w tym celu może być ustrukturyzowanie procesu zapewnienia zgodności z NIS2 oraz z DORA w formie dedykowanego narzędzia. RED INTO GREEN to narzędzie, które pomaga organizacjom zarządzać swoim ryzykiem wykorzystując sprawdzoną metodykę zgodną z NIS2 i z DORA. Narzędzie to automatyzuje i upraszcza ten proces dodatkowo zapewniając podsumowania w formie prostych dashboardów.
Podejście zintegrowane w zakresie zgodności z NIS2 i DORA przynosi wiele korzyści, w tym optymalizację zasobów. Wdrażanie spójnych ram zarządzania ryzykiem i procedur raportowania incydentów pozwala na efektywniejsze wykorzystanie zasobów ludzkich i technologicznych. Zamiast tworzyć oddzielne procesy dla każdej z regulacji, organizacje mogą skonsolidować swoje działania, co prowadzi do oszczędności czasu i kosztów. Dodatkowo zintegrowane podejście ułatwia monitorowanie i raportowanie zgodności, co zmniejsza ryzyko naruszeń i związanych z nimi sankcji. Warto dodać, że dzięki temu podejściu łatwiejsze jest przeprowadzenie szkoleń pracowników.
Organizacje, które skutecznie zarządzają ryzykiem ICT i reagują na incydenty, mogą lepiej chronić swoje zasoby, dane klientów oraz reputację. Ponadto zgodność z regulacjami przyczynia się do budowania zaufania wśród klientów, partnerów biznesowych i regulatorów, co jest niezbędne dla długoterminowego sukcesu i stabilności organizacji. Wzmacnia to również pozycję organizacji na rynku jako lidera w dziedzinie bezpieczeństwa i odporności cyfrowej.