Dyrektywa NIS2 w sprawie bezpieczeństwa sieci i informacji

9 maja 2024

skyscrapers

Inicjatywa Unii Europejskiej

Poprawa ochrony infrastruktury krytycznej i usług cyfrowych

Jedną z inicjatyw Unii Europejskiej związanych z poprawą ochrony infrastruktury krytycznej i usług cyfrowych przed zagrożeniami i incydentami cybernetycznymi jest dyrektywa NIS2.

Dyrektywa NIS2 stanowi aktualizację pierwotnej dyrektywy NIS (2016/1148/UE). Aktualizacja potrzebna jest ze względu na zmieniający się krajobraz cyberbezpieczeństwa.

Wzmocnienie bezpieczeństwa cyfrowego

Zauważa się, że założenia bezpieczeństwa NIS2 stanowią znaczący krok w kierunku wzmocnienia cyberbezpieczeństwa w całej Unii Europejskiej.

Głównym celem jest zwiększenie odporności środowiska cyfrowego na zagrożenia za pomocą rozszerzenia zakresu, nałożenia określonych wymogów dotyczących zgłaszania incydentów oraz wzmacniania środków bezpieczeństwa.

Przygotowanie się do zapewnienia zgodności z przepisami

Oznacza to zatem, że organizacje objęte zakresem NIS2 muszą przygotować się do zapewnienia zgodności z przepisami i podjąć działania mające na celu poprawę swojego cyberbezpieczeństwa w zakresie środowiska informatycznego.

Decyzja związana z NIS2 została formalnie przyjęta przez organy Parlamentu Europejskiego w listopadzie 2022 roku. Zmiany weszły w życie 16 stycznia 2024 r.

Przygotowanie się do zapewnienia zgodności z przepisami

NIS2 – główne cele

Zwiększenie bezpieczeństwa i odporności infrastruktury krytycznej oraz usług cyfrowych

Jednym z najważniejszych celów dyrektywy NIS2 jest zwiększenie cyberbezpieczeństwa. NIS2 ma zatem na celu wzmocnienie ogólnej postawy Unii Europejskiej w zakresie cyberbezpieczeństwa poprzez zwiększenie bezpieczeństwa i odporności infrastruktury krytycznej oraz usług cyfrowych.

Operatorzy usług kluczowych (OES) i dostawcy usług cyfrowych (DSP)

NIS2 rozszerza zakres obejmujący operatorów usług kluczowych (OES) i dostawców usług cyfrowych (DSP), którzy oferują różne usługi online, w tym przetwarzanie w chmurze, internetowe platformy handlowe i wyszukiwarki.

Obowiązkowe wymogi dotyczące zgłaszania incydentów

Kolejnym ważnym celem NIS2 jest raportowanie incydentów. NIS2 rozszerza zakres obowiązkowych wymogów dotyczących zgłaszania incydentów zarówno dla OES, jak i DSP, umożliwiając skuteczniejszą reakcję na incydenty cyberbezpieczeństwa.

Co ważne, zasady ramowe określają konkretne środki bezpieczeństwa oraz środki organizacyjne, które OES i DSP muszą wdrożyć w celu ochrony swoich sieci komputerowych i systemów informatycznych.

Współpraca i dzielenie się informacjami

Jednym z celów, które przyświecają NIS2 jest współpraca i dzielenie się informacjami. NIS2 zachęca państwa członkowskie do współpracy i dzielenia się informacjami na temat zagrożeń oraz incydentów cybernetycznych, promując w ten sposób zbiorowe bezpieczeństwo informatyczne.

Zwiększenie bezpieczeństwa i odporności infrastruktury krytycznej oraz usług cyfrowych

Środki zarządzania ryzykiem związanym z cyberbezpieczeństwem

Środki organizacyjne

Środki organizacyjne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: analiza ryzyka (polityki bezpieczeństwa systemów informatycznych), obsługa incydentów (zapobieganie, wykrywanie, reagowanie, odzyskiwanie), ciągłość działania (oraz zarządzanie kryzysowe).

Środki operacyjne

Środki operacyjne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: bezpieczeństwo łańcucha dostaw (relacje między podmiotami oraz między bezpośrednimi dostawcami), bezpieczeństwo w sieciach i systemach informatycznych (rozwój, utrzymanie, obsługa i ujawnianie podatności).

Środki techniczne

Środki techniczne związane z zarządzaniem ryzykiem związanym z cyberbezpieczeństwem obejmują następujące elementy: zasady i procedury (testowanie i audyt w celu oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa), polityka dotycząca korzystania z kryptografii i szyfrowania, bezpieczeństwo kadrowe (kontrola dostępu, MFA, zero trust).

Środki zarządzania ryzykiem związanym z cyberbezpieczeństwem

Kluczowe postanowienia NIS2

Wdrożenie odpowiednich środków bezpieczeństwa

Organizacje objęte zakresem NIS2 muszą wdrożyć odpowiednie środki bezpieczeństwa, w tym zarządzanie ryzykiem, reagowanie na incydenty i regularne audyty bezpieczeństwa.

Zgłaszanie znaczących incydentów

Organizacje muszą zgłaszać organom krajowym znaczące incydenty, które następnie będą udostępniane zespołom reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) i Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA).

Kary za nieprzestrzeganie przepisów

NIS2 wprowadza kary za nieprzestrzeganie przepisów, zapewniając, że organizacje mają silną motywację do spełnienia wymogów bezpieczeństwa.

Transgraniczna współpraca operacyjna w UE

Zachęca się państwa członkowskie UE do ustanowienia mechanizmów transgranicznej współpracy operacyjnej i wymiany informacji w celu skutecznego reagowania na zagrożenia dla cyberbezpieczeństwa.

Wdrożenie odpowiednich środków bezpieczeństwa

Spójność z RODO

Zgodność z NIS2 powinna być również spójna z ogólnym rozporządzeniem o ochronie danych (RODO), aby zapewnić, że ochrona danych i prywatność nie są zagrożone.

Zwraca się również uwagę, że skuteczne wdrożenie może wymagać ściślejszej współpracy między sektorem publicznym i prywatnym w celu złagodzenia cyberzagrożeń.

Najważniejsze wymagania wobec organizacji

Zatwierdzanie środków zarządzania ryzykiem

Zarządzanie (Artykuł 20). Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania środków zarządzania ryzykiem związanym z cyberatakami.

Podejmowanie środków w celu zarządzania ryzykiem

Środki zarządzania ryzykiem w cyberbezpieczeństwie (Artykuł 21). Kluczowe i ważne organizacje w UE zobowiązuje się do podejmowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberatakami.

Niesie to za sobą zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków należy rozumieć jako odpowiednie dopasowanie narzędzi i działań do skali ryzyka, a także wielkości organizacji i stopnia dotkliwości potencjalnych skutków incydentów.

Zgłaszanie incydentów

Obowiązki w zakresie zgłaszania incydentów (Artykuł 23). Incydenty mające istotny wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, zgodnie z dyrektywą NIS2, muszą być zgłaszane bez zbędnej zwłoki właściwemu CERT lub innemu właściwemu organowi.

Poważne zagrożenia z zakresu cyberbezpieczeństwa niosą za sobą obowiązek informowania o nich odbiorców usług organizacji mierzącej się z problemem.

Cyberzagrożenie uznaje się za poważne, gdy powoduje lub może powodować istotne zakłócenia w świadczeniu usług, straty finansowe dla danego podmiotu, czy też znaczne szkody materialne i niematerialne podmiotów trzecich.

Programy certyfikacji cyberbezpieczeństwa

Stosowanie europejskich programów certyfikacji cyberbezpieczeństwa (Artykuł 24). Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania konkretnych produktów, usług i procesów ICT, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881.

Programy certyfikacji cyberbezpieczeństwa