Wprowadzenie nowych regulacji zawsze wiąże się z koniecznością przystosowania istniejących procesów i procedur do nowych wymogów. Dyrektywa NIS2, która ma na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej, nie jest wyjątkiem. Jednym z kluczowych elementów jej wdrożenia jest szacowanie ryzyka, które stanowi podstawę dla dalszych działań w zakresie zarządzania cyberbezpieczeństwem. Dlaczego to właśnie szacowanie ryzyka jest pierwszym krokiem w procesie implementacji dyrektywy NIS2?
Warto już teraz rozpocząć proces wdrożenia i zastanowić się czym zająć się najpierw. Wiele podmiotów zaczyna od planowania środków zaradczych, wśród których znajduje się wiele polityk i procedur, by spełnić wymogi dotyczące cyberbezpieczeństwa. Dyrektywa NIS2 ma ogromny wpływ na podniesienia poziomu zabezpieczeń w podmiotach podlegających, ale tylko wtedy gdy przeprowadzimy wdrożenie w odpowiedniej kolejności kroków. Żeby opracować odpowiednią dokumentację w postaci polityk i procedur, powinniśmy najpierw wykonać analizę i szacowanie ryzyka i sprawdzić jaki jest aktualny stan ryzyka, a następnie opracować procedury. Sprawdź sposób na wdrożenie NIS2 w 9 prostych krokach z modułem RIG NIS.
W dalszych częściach artykułu przeprowadzimy Cię przez wiedzę o specyfice zarządzania ryzykiem zgodnie z NIS2.
Znaczenie dyrektywy NIS2
Dyrektywa NIS2 zastępuje wcześniejszą dyrektywę NIS i wprowadza bardziej szczegółowe wytyczne, które mają na celu unowocześnienie i ujednolicenie zasad cyberbezpieczeństwa we wspólnocie. Nowe przepisy rozszerzają zakres regulacji na większą liczbę podmiotów oraz sektorów, wprowadzają surowsze wymogi dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także przewidują surowe kary za naruszenia. Implementacja dyrektywy musi nastąpić do 17 października 2024 roku, co daje przedsiębiorstwom i instytucjom publicznym niewiele czasu na dostosowanie się do nowych wymogów.
Kluczowe zmiany wprowadzone przez NIS2
NIS2 wprowadza znaczące zmiany w istniejącym prawodawstwie, obejmując szerszy zakres podmiotów, w tym kluczowe sektory takie jak energetyka, transport, bankowość, opieka zdrowotna oraz ważne sektory jak usługi pocztowe i kurierskie, gospodarka odpadami, produkcja chemikaliów i żywności. Nowe regulacje umożliwiają bardziej efektywne egzekwowanie prawa, w tym nakładanie administracyjnych kar pieniężnych i sankcji karnych, a także odpowiedzialność osób zarządzających. Dyrektywa NIS2 jest zgodna z rozporządzeniem DORA, które dotyczy sektora finansowego. DORA działa jako „lex specialis” w stosunku do NIS2, co oznacza, że prawo szczegółowe ma pierwszeństwo nad ogólnym, a dokument ten wyjaśnia i uzupełnia postanowienia dyrektywy NIS2.
Zarządzanie ryzykiem jako fundament wdrożenia NIS2
Zarządzanie ryzykiem jest ważnym elementem dyrektywy NIS2. Artykuł 1 ust. 2 lit. b) bezpośrednio wskazuje na zarządzanie ryzykiem jako jeden z filarów NIS2. Artykuł 1 nakazuje, żeby Państwa Członkowskie zapewniały, aby organy zarządzające podmiotów kluczowych i ważnych zatwierdzały środki zarządzania ryzykiem w cyberbezpieczeństwie przyjęte przez te podmioty. Zostało to doprecyzowane w rozdziale IV Środki zarządzania ryzykiem w cyberbezpieczeństwie i obowiązki dotyczące zgłaszania incydentów.
Rozdział IV precyzuje wymagania nałożone na podmioty kluczowe i ważne poprzez wdrożenie odpowiednich technicznych, operacyjnych i organizacyjnych środków, które zapewnią bezpieczeństwo sieci i systemów informatycznych. Celem tych działań jest zapobieżenie wpływowi incydentów na odbiorców usług. Środki te muszą być proporcjonalne do stopnia narażenia na ryzyko, wielkości podmiotu, prawdopodobieństwa wystąpienia incydentów oraz prawdopodobnej dotkliwości incydentów. Środki te powinny obejmować:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych,
- procedury obsługi incydentów,
- procedury zarządzania ciągłością działania i sytuacji kryzysowych,
- zabezpieczenia w zakresie bezpieczeństwa łańcucha dostaw,
- zabezpieczenia w zakresie bezpieczeństwa w procesie nabywania i utrzymania systemów,
- polityki oceny skuteczności środków,
- praktyki cyberhigieny i szkolenia,
- polityki stosowania kryptografii,
- zabezpieczenia w zakresie bezpieczeństwa zasobów ludzkich i kontrolę dostępu,
- procedury w zakresie stosowania uwierzytelniania wieloskładnikowego i zabezpieczonych połączeń w sytuacjach nadzwyczajnych,
Do 17 października 2024 r. Komisja Europejska przyjmie akty wykonawcze określające techniczne wymogi dla różnych dostawców usług. Komisja może też przyjmować dodatkowe akty wykonawcze dotyczące innych kluczowych podmiotów, stosując się do norm międzynarodowych i europejskich.
Metodyka szacowania ryzyka
Powtarzalna procedura szacowania ryzyka musi być oparta o sprawdzoną metodykę. Właśnie taką metodyką jest metodyka RED INTO GREEN, która ocenia ryzyko na bazie aktywów organizacji (Asset Based Approach). Pozwala ona na identyfikację zagrożeń, ocenę ich wpływu i prawdopodobieństwa, co umożliwia skuteczne zarządzanie ryzykiem zgodnie z normami DORA, NIS2 i GDPR. Kluczowy jest wzór szacowania ryzyka: R = W x P gdzie:
- R – Ryzyko
- W – Wpływ
- P – Prawdopodobieństwo
Aktywa wspierające (np. komputery, telefony, dokumentacja) są centralnym punktem w tej metodzie, pomagając w zrozumieniu i zarządzaniu ryzykiem w różnych domenach, takich jak ochrona danych osobowych, bezpieczeństwo informacji i ciągłość działania.
Etapy szacowania ryzyka
Szacowanie ryzyka zgodnie z dyrektywą NIS2 to proces systematyczny, który ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa sieci i informacji w organizacjach uznanych za podmioty kluczowe lub ważne. Implementacja tych kroków w ramach dyrektywy NIS2 wymaga zaangażowania zarówno ze strony zarządu organizacji, jak i personelu odpowiedzialnego za bezpieczeństwo informacyjne. Proces ten powinien być dokumentowany, a organizacja powinna być gotowa do wykazania zgodności z wymogami dyrektywy NIS2 w przypadku audytów lub kontroli ze strony odpowiednich organów regulacyjnych.
Identyfikacja ryzyk
Pierwszym krokiem szacowania ryzyka jest szczegółowa inwentaryzacja zasobów informacyjnych i technologicznych, w tym systemów informatycznych, danych, urządzeń sieciowych oraz procesów operacyjnych. Należy zidentyfikować potencjalne zagrożenia, takie jak cyberataki (np. phishing, ransomware), klęski żywiołowe, awarie technologiczne, błędy ludzkie, wewnętrzne nadużycia oraz inne czynniki mogące zakłócić działanie systemów informacyjnych. Ważne jest również określenie podatności w systemach, procesach i procedurach, które mogą zostać wykorzystane przez zagrożenia. Może to obejmować przegląd konfiguracji systemów, testy penetracyjne, audyty bezpieczeństwa oraz inne metody analizy podatności.
Analiza ryzyka
Następnym krokiem jest ocena prawdopodobieństwa wystąpienia zidentyfikowanych zagrożeń związanych z aktywami. Może to być oszacowane na podstawie danych historycznych, statystyk incydentów oraz trendów w zagrożeniach cybernetycznych. Ponadto należy przeanalizować potencjalne skutki tych zagrożeń dla organizacji, które mogą obejmować konsekwencje finansowe, operacyjne, prawne, reputacyjne oraz wpływ na zgodność z przepisami.
Ocena ryzyka
Po zidentyfikowaniu potencjalnych ryzyk i ocenie ich prawdopodobieństwa oraz wpływu, można przystąpić do ich oceny. Ryzyka mogą być klasyfikowane za pomocą matrycy ryzyka, co umożliwia identyfikację ryzyk wysokiego, średniego i niskiego poziomu. Następnie należy podjąć decyzję, które ryzyka są akceptowalne dla organizacji, a które wymagają działań zaradczych. Akceptacja ryzyka zależy od dostępnych zasobów, kosztów zarządzania ryzykiem oraz strategii organizacyjnej.
Zarządzanie ryzykiem
Dopiero w momencie, gdy ryzyko jest zidentyfikowane, przeanalizowane oraz ocenione, można przejść do etapu zarządzania ryzykiem. Obejmuje to wdrożenie odpowiednich środków zaradczych, mających na celu minimalizację zidentyfikowanych ryzyk. Mogą to być techniczne środki zabezpieczeń (np. firewalle, systemy wykrywania włamań), procedury operacyjne, szkolenia dla pracowników oraz polityki bezpieczeństwa.
Zarządzanie ryzykiem obejmuje również opracowanie i wdrożenie planów ciągłości działania, które zapewniają ciągłość operacji w przypadku wystąpienia incydentów. Plany te powinny uwzględniać procedury awaryjne, plany odzyskiwania danych oraz strategie komunikacji kryzysowej. Kolejnym zadaniem w zarządzaniu ryzykiem jest ustanowienie procesów zarządzania incydentami, które pozwalają na szybkie i skuteczne reagowanie na incydenty bezpieczeństwa. Proces ten obejmuje wykrywanie, raportowanie, analizę i odpowiedź na incydenty.
Monitorowanie i przegląd
Regularne monitorowanie systemów informacyjnych jest kluczowe dla wykrywania i reagowania na nowe zagrożenia oraz zmieniające się warunki ryzyka. W tym celu pomocne mogą być systemy SIEM (Security Information and Event Management), które wspierają monitorowanie bezpieczeństwa. Ważne jest również regularne aktualizowanie analizy ryzyka oraz weryfikacja skuteczności wdrożonych środków zaradczych. Przeglądy powinny być przeprowadzane cyklicznie oraz w odpowiedzi na istotne zmiany w środowisku operacyjnym lub technologicznym organizacji. Nauka na podstawie doświadczeń oraz incydentów jest niezbędna do wprowadzania odpowiednich zmian w procesach zarządzania ryzykiem. W ten sposób można dążyć do ciągłego doskonalenia strategii zarządzania ryzykiem.
Proporcjonalność środków zarządzania ryzykiem
Jednym z aspektów zarządzania ryzykiem w kontekście NIS2, tak samo jak w DORA, jest proporcjonalność wdrażanych środków. Oznacza to, że środki te muszą być dostosowane do specyfiki danego podmiotu, jego wielkości oraz stopnia narażenia na ryzyko. Należy uwzględniać zarówno ryzyka wewnętrzne, jak i te związane z zewnętrznymi dostawcami, oraz jakość ich praktyk cyberbezpieczeństwa.
Certyfikacja i normy
Dyrektywa NIS2 zachęca do stosowania certyfikowanych produktów, usług i procesów ICT zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa. Zalecane jest również stosowanie norm ISO, zwłaszcza serii ISO/IEC 27000, oraz standardów NIST, co pomaga w zapewnieniu zgodności z dyrektywą.
Proaktywne zarządzanie ryzykiem
Szacowanie ryzyka jest niezbędnym pierwszym krokiem do wdrożenia dyrektywy NIS2, ponieważ pozwala na zidentyfikowanie i ocenę zagrożeń, które mogą wpływać na bezpieczeństwo systemów informatycznych. Dzięki temu organizacje mogą wdrożyć odpowiednie środki zaradcze, które będą proporcjonalne do skali i charakteru ryzyka. Jednorazowa identyfikacja i szacowanie ryzyka nie jest wystarczająca do prowadzenia stałego procesu zarządzaniem ryzykiem.
Z tego powodu trzeba pamiętać o proaktywnej postawie w ramach zarządzania ryzykiem. Charakteryzuje się ona uwzględnianiem w zarządzaniu ryzykiem każdej zmiany w zarządzanym środowisku oraz w jego otoczeniu. Proaktywne zarządzanie ryzykiem stanowi fundament skutecznej strategii cyberbezpieczeństwa, pozwalając na minimalizację potencjalnych szkód i zapewnienie ciągłości działania organizacji w obliczu cyberzagrożeń. Wdrażanie dyrektywy NIS2 to wyzwanie, ale jednocześnie szansa na podniesienie poziomu bezpieczeństwa cybernetycznego w całej Unii Europejskiej.
