Dyrektywa NIS2 w sprawie bezpieczeństwa sieci i informacji
9 maja 2024
Inicjatywa Unii Europejskiej
Poprawa ochrony infrastruktury krytycznej i usług cyfrowych
Jedną z inicjatyw Unii Europejskiej związanych z poprawą ochrony infrastruktury krytycznej i usług cyfrowych przed zagrożeniami i incydentami cybernetycznymi jest dyrektywa NIS2.
Dyrektywa NIS2 stanowi aktualizację pierwotnej dyrektywy NIS (2016/1148/UE). Aktualizacja potrzebna jest ze względu na zmieniający się krajobraz cyberbezpieczeństwa.
Wzmocnienie bezpieczeństwa cyfrowego
Zauważa się, że założenia bezpieczeństwa NIS2 stanowią znaczący krok w kierunku wzmocnienia cyberbezpieczeństwa w całej Unii Europejskiej.
Głównym celem jest zwiększenie odporności środowiska cyfrowego na zagrożenia za pomocą rozszerzenia zakresu, nałożenia określonych wymogów dotyczących zgłaszania incydentów oraz wzmacniania środków bezpieczeństwa.
Przygotowanie się do zapewnienia zgodności z przepisami
Oznacza to zatem, że organizacje objęte zakresem NIS2 muszą przygotować się do zapewnienia zgodności z przepisami i podjąć działania mające na celu poprawę swojego cyberbezpieczeństwa w zakresie środowiska informatycznego.
Decyzja związana z NIS2 została formalnie przyjęta przez organy Parlamentu Europejskiego w listopadzie 2022 roku. Zmiany weszły w życie 16 stycznia 2024 r.
NIS2 – główne cele
Zwiększenie bezpieczeństwa i odporności infrastruktury krytycznej oraz usług cyfrowych
Jednym z najważniejszych celów dyrektywy NIS2 jest zwiększenie cyberbezpieczeństwa. NIS2 ma zatem na celu wzmocnienie ogólnej postawy Unii Europejskiej w zakresie cyberbezpieczeństwa poprzez zwiększenie bezpieczeństwa i odporności infrastruktury krytycznej oraz usług cyfrowych.
Operatorzy usług kluczowych (OES) i dostawcy usług cyfrowych (DSP)
NIS2 rozszerza zakres obejmujący operatorów usług kluczowych (OES) i dostawców usług cyfrowych (DSP), którzy oferują różne usługi online, w tym przetwarzanie w chmurze, internetowe platformy handlowe i wyszukiwarki.
Obowiązkowe wymogi dotyczące zgłaszania incydentów
Kolejnym ważnym celem NIS2 jest raportowanie incydentów. NIS2 rozszerza zakres obowiązkowych wymogów dotyczących zgłaszania incydentów zarówno dla OES, jak i DSP, umożliwiając skuteczniejszą reakcję na incydenty cyberbezpieczeństwa.
Co ważne, zasady ramowe określają konkretne środki bezpieczeństwa oraz środki organizacyjne, które OES i DSP muszą wdrożyć w celu ochrony swoich sieci komputerowych i systemów informatycznych.
Współpraca i dzielenie się informacjami
Jednym z celów, które przyświecają NIS2 jest współpraca i dzielenie się informacjami. NIS2 zachęca państwa członkowskie do współpracy i dzielenia się informacjami na temat zagrożeń oraz incydentów cybernetycznych, promując w ten sposób zbiorowe bezpieczeństwo informatyczne.
Środki zarządzania ryzykiem związanym z cyberbezpieczeństwem
Środki organizacyjne
Środki organizacyjne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: analiza ryzyka (polityki bezpieczeństwa systemów informatycznych), obsługa incydentów (zapobieganie, wykrywanie, reagowanie, odzyskiwanie), ciągłość działania (oraz zarządzanie kryzysowe).
Środki operacyjne
Środki operacyjne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: bezpieczeństwo łańcucha dostaw (relacje między podmiotami oraz między bezpośrednimi dostawcami), bezpieczeństwo w sieciach i systemach informatycznych (rozwój, utrzymanie, obsługa i ujawnianie podatności).
Środki techniczne
Środki techniczne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: zasady i procedury (testowanie i audyt w celu oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa), polityka dotycząca korzystania z kryptografii i szyfrowania, bezpieczeństwo kadrowe (kontrola dostępu, MFA, zero trust).
Kluczowe postanowienia NIS2
Wdrożenie odpowiednich środków bezpieczeństwa
Organizacje objęte zakresem NIS2 muszą wdrożyć odpowiednie środki bezpieczeństwa, w tym zarządzanie ryzykiem, reagowanie na incydenty i regularne audyty bezpieczeństwa.
Zgłaszanie znaczących incydentów
Organizacje muszą zgłaszać organom krajowym znaczące incydenty, które następnie będą udostępniane zespołom reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).
Kary za nieprzestrzeganie przepisów
NIS2 wprowadza kary za nieprzestrzeganie przepisów, zapewniając, że organizacje mają silną motywację do spełnienia wymogów bezpieczeństwa.
Transgraniczna współpraca operacyjna w UE
Zachęca się państwa członkowskie UE do ustanowienia mechanizmów transgranicznej współpracy operacyjnej i wymiany informacji w celu skutecznego reagowania na zagrożenia dla cyberbezpieczeństwa.
Spójność z RODO
Zgodność z NIS2 powinna być również spójna z ogólnym rozporządzeniem o ochronie danych (RODO), aby zapewnić, że ochrona danych i prywatność nie są zagrożone.
Zwraca się również uwagę, że skuteczne wdrożenie może wymagać ściślejszej współpracy między sektorem publicznym i prywatnym w celu złagodzenia cyberzagrożeń.
Najważniejsze wymagania wobec organizacji
Zatwierdzanie środków zarządzania ryzykiem
Zarządzanie (Artykuł 20). Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania środków zarządzania ryzykiem związanym z cyberatakami.
Podejmowanie środków w celu zarządzania ryzykiem
Środki zarządzania ryzykiem w cyberbezpieczeństwie (Artykuł 21). Kluczowe i ważne organizacje w UE zobowiązuje się do podejmowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberatakami.
Niesie to za sobą zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków należy rozumieć jako odpowiednie dopasowanie narzędzi i działań do skali ryzyka, a także wielkości organizacji i stopnia dotkliwości potencjalnych skutków incydentów.
Zgłaszanie incydentów
Obowiązki w zakresie zgłaszania incydentów (Artykuł 23). Incydenty mające istotny wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, zgodnie z dyrektywą NIS2, muszą być zgłaszane bez zbędnej zwłoki właściwemu CERT lub innemu właściwemu organowi.
Poważne zagrożenia z zakresu cyberbezpieczeństwa niosą za sobą obowiązek informowania o nich odbiorców usług organizacji mierzącej się z problemem.
Cyberzagrożenie uznaje się za poważne, gdy powoduje lub może powodować istotne zakłócenia w świadczeniu usług, straty finansowe dla danego podmiotu, czy też znaczne szkody materialne i niematerialne podmiotów trzecich.
Programy certyfikacji cyberbezpieczeństwa
Stosowanie europejskich programów certyfikacji cyberbezpieczeństwa (Artykuł 24). Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania konkretnych produktów, usług i procesów ICT, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881.