Dyrektywa NIS2 – od kiedy obowiązuje?

 

17 października 2024 r. upływa termin na wdrożenie unijnej Dyrektywy NIS2 do polskiego prawa, której celem jest wzmocnienie cyberodporności Unii Europejskiej. Wprowadza ona nowe wymagania dotyczące cyberbezpieczeństwa dla podmiotów podlegających regulacjom UE.

   

Dyrektywa NIS2 dotyczy podmiotów kluczowych i ważnych, definiując jednocześnie zasady, na jakich podmioty będą kwalifikowane do każdej z grup. Oprócz samej klasyfikacji należy pamiętać o najważniejszych dla wskazanych podmiotów obszarach i wymaganiach, które Dyrektywa NIS2 definiuje. Są to:

 

• zagwarantowanie należytego poziomu cyberbezpieczeństwa sieci i systemów informacyjnych należących do podmiotu,


• raportowanie incydentów dotyczących cyberbezpieczeństwa wskazanym organizacjom, zgodnie z wymogami formalnymi i w wymaganym czasie,


• ciągłe podnoszenie świadomości pracowników w dziedzinie cyberbezpieczeństwa,


• podejmowanie działań mających na celu zapobieganie incydentom.

 

Poniżej szczegółowo opisujemy 3 pierwsze cele NIS2 i wskazujemy konkretne wymagania Dyrektywy.

 

Pierwszy cel Dyrektywy NIS2 – odpowiedni poziom cyberbezpieczeństwa

 

Zagwarantowanie odpowiedniego poziomu cyberbezpieczeństwa jest najważniejszym celem wdrażania NIS2. Jednocześnie musimy pamiętać, że dyrektywa oczekuje patrzenia na zagadnienia cyberbezpieczeństwa nie tylko z perspektywy pojedynczej organizacji, ale również z punktu widzenia jej klientów i dostawców. Podmioty, których dotyczyć będą wymagania NIS2, muszą przygotować i zaimplementować odpowiednie rozwiązania organizacyjne i techniczne, mające za zadanie chronić infrastrukturę podmiotu przed cyberzagrożeniami. Podchodząc do zagadnienia we właściwy sposób, konieczne będzie przeprowadzenie wnikliwej analizy posiadanych systemów i rozwiązań teleinformatycznych, określenia ich krytyczności i roli, jaką odgrywają w procesie biznesowym, oraz zidentyfikowanie potencjalnych słabych punktów czy zagrożeń.

 

Tak przeprowadzona analiza będzie doskonałym punktem wyjścia do podjęcia decyzji, jakie dodatkowe środki ochrony wdrożyć lub w jaki sposób poprawić obecnie stosowane rozwiązania (systemy cyberbezpieczeństwa) oraz w jaki sposób wprowadzić lub zmodyfikować procedury pozwalające na optymalne wykorzystanie tych rozwiązań.

 

Kolejnym krokiem jest zapewnienie ciągłości monitorowania sieci i systemów informatycznych. To jeden z głównych powodów wdrażania rozwiązań odpowiedzialnych za cyberbezpieczeństwo. Sama instalacja urządzeń, bez codziennej analizy ich pracy, nie podniesie znacząco poziomu cyberbezpieczeństwa. A co więcej, nie każda organizacja będzie w stanie samodzielnie podołać temu zadaniu.

 

Ciągłość monitorowania, wykrywania ewentualnych nieprawidłowości, prowadzenie audytów w celu optymalizowania skuteczności stosowanych rozwiązań cyberbezpieczeństwa, wymagają dużego zaangażowania po stronie organizacji. Dla firmy, która do tej pory nie posiadała dedykowanej komórki odpowiedzialnej za taki zakres obowiązków, to proces bardzo czasochłonny i niezwykle kosztowny. Warto więc rozważyć zlecenie monitorowania podmiotowi zewnętrznemu, który swoimi kompetencjami zapewni oczekiwany poziom realizacji zadań przy zdecydowanie niższych kosztach.

 

Efektem monitorowania staje się, prędzej czy później, wykrycie incydentów bezpieczeństwa. Życzeniem wszystkich jest, aby taka sytuacja nigdy nie miała miejsca, ale powinniśmy być przygotowani na to, że może się wydarzyć. Oznacza to, że podmioty powinny być gotowe na wystąpienie incydentu cyberbezpieczeństwa oraz mieć opracowane procedury reagowania, umożliwiające szybką i skuteczną reakcję na incydent.

 

Po wystąpieniu incydentu, podjęcie działań mających na celu przywrócenie normalnego funkcjonowania systemów poprzedza ważny proces opracowania i wdrożenia zmian, które pozwolą na uniknięcie takich sytuacji w przyszłości. Zmiany te mogą dotyczyć zarówno samej konfiguracji systemów monitorujących, jak również kształtu procedur określających korzystanie z systemów informatycznych. W tym zakresie również warto skorzystać z doświadczeń firm, które na co dzień zajmują się takimi zagadnieniami.

 

Drugi cel Dyrektywy NIS2 – dzielenie się informacjami o zagrożeniach

 

Drugim z celów wprowadzania przepisów dotyczących cyberbezpieczeństwa jest skłonienie podmiotów do dzielenia się informacjami o zagrożeniach i incydentach cybernetycznych. W związku z tym, na podmioty podlegające Dyrektywie NIS2 nałożono obowiązek zgłaszania incydentów cyberbezpieczeństwa odpowiednim organom regulacyjnym w określonych przypadkach i terminach. Sam sposób oraz czas na zgłaszanie incydentów będzie z pewnością wynikał z ustaw wprowadzających Dyrektywę NIS2 na terenie naszego kraju, ale już warto o tym pamiętać i w odpowiedni sposób się przygotować.

 

Przede wszystkim należy odpowiednio rozumieć, co kwalifikuje się do określenia mianem incydentu cyberbezpieczeństwa. W przypadku, gdy wystąpi: atak hakerski, zablokowanie (zaszyfrowanie treści), utrata danych, utrata dostępu do systemów czy nieautoryzowany dostęp do systemów, to z całą pewnością mamy do czynienia z incydentem cyberbezpieczeństwa. Ogólnie można założyć, że incydentem są wszelkie zdarzenia, które mogą negatywnie wpłynąć na działalność firmy lub narażać na ryzyko poufność, integralność lub dostępność danych.

 

Oprócz informowania o incydentach konieczne będzie przygotowywanie i przechowywanie dokumentacji na ich temat. Dokumentacja powinna zawierać dokładne i szczegółowe informacje o incydencie, opis działań, jakie zostały podjęte podczas mitygowania incydentu oraz zmiany, jakie zostały wprowadzone po to, aby zabezpieczyć się na przyszłość przed podobnymi zdarzeniami.

 

Raportowanie incydentów ma jeszcze jedno znaczenie - dzięki systematycznemu raportowaniu o atakach i ich przyczynach, podmioty na wspólnym rynku mogą lepiej chronić swoje zasoby, efektywniej korzystać z narzędzi cyber oraz pomagać i wspierać narodowe organizacje zajmujące się zwalczaniem cyberprzestępczości.

 

Zlecając monitorowanie poziomu cyberbezpieczeństwa firmom zewnętrznym, podmioty mogą oczekiwać również, iż poinformowanie o incydencie zostanie wykonane przez firmę, a raporty, w odpowiednim kształcie oraz przy zachowaniu wymaganych prawem terminów, trafią do wskazanych w przepisach instytucji.

 

Trzeci cel Dyrektywy NIS2 – świadomość pracowników

 

Trzeci obszar, na który wskazuje Dyrektywa NIS2, to obszar szkoleń i konieczność ciągłego podnoszenia świadomości pracowników w zakresie cyberbezpieczeństwa. Wprowadzenie i utrzymanie odpowiedniego poziomu cyberbezpieczeństwa wiąże się z angażowaniem w ten proces całego personelu. Bezpieczeństwo zależy nie tylko od specjalistów cyber, ale również, a może nawet przede wszystkim – od tych pracowników, którzy na co dzień są tylko użytkownikami systemów teleinformatycznych.

 

W związku z tym podmioty objęte NIS2 mają obowiązek podnosić świadomość swoich pracowników na temat zagrożeń cybernetycznych oraz zapewnić im odpowiednią wiedzę i umiejętności, aby dzięki temu skuteczniej chronić systemy informatyczne firmy. Dobrym zwyczajem powinno stać się cykliczne szkolenie informujące o najczęstszych i najbardziej „aktualnych” metodach ataków, takich jak:

 

• phishing,


• malware,


• inne socjotechniki.

 

Oprócz tego warto informować o zasadach bezpiecznego korzystania z systemów informatycznych firmy.

 

Do monitorowania efektów szkoleń warto posługiwać się regularnymi testami wśród pracowników. Idealnie do tego celu nadają się kierowane, kontrolowane ataki socjotechniczne, które pozwolą sprawdzić, czy pracownicy poprawnie rozpoznają zagrożenia, jak na nie reagują i czy we właściwy sposób informują o ich wystąpieniu. Podnoszenie świadomości pracowników może okazać się kluczowym elementem efektywnej strategii cyberbezpieczeństwa. To pracownicy często są pierwszą linią obrony przed atakami cybernetycznymi. Inwestowanie w edukację pracowników trzeba postrzegać nie tylko jako wymóg NIS2, ale przede wszystkim, jako strategiczne działanie bezpośrednio wpływające na bezpieczeństwo cybernetyczne organizacji.

   

Z perspektywy NIS2 sytuacja każdego przedsiębiorstwa może być inna, bo będzie wynikać z unikalnej specyfiki konkretnej branży przemysłu czy usług, dotychczasowych doświadczeń oraz kształtu i wyposażenia tej części organizacji, która jest bezpośrednio odpowiedzialna za zagadnienia związane z cyberbezpieczeństwem. To, co wynika pośrednio z Dyrektywy NIS2, to konieczność traktowania cyberbezpieczeństwa jako ciągłego procesu, wymagającego odpowiedniego wdrożenia, doskonalenia i uaktualniania.

 

Cyberbezpieczeństwo nie dotyczy podmiotów indywidualnie - incydent w jednej firmie może mieć krytyczny wpływ na działanie innej firmy - i właśnie na tym koncentruje się Dyrektywa NIS2 w swoich regulacjach. Pojawiające się często pojęcie łańcucha dostaw wymaga, aby o cyberbezpieczeństwie myśleć nie tylko z perspektywy pojedynczej organizacji, ale również z punktu widzenia jej klientów i dostawców. Oznacza to, że każdy, kto podlega regulacjom NIS2, może oczekiwać od swoich dostawców poprawnego podejścia do zagadnień cyber i jednocześnie musi zagwarantować swoim klientom, że sam wypełnia swoje obowiązki w tej dziedzinie.

   

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w Polsce w życie w sierpniu 2018 r. Była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, służba zdrowia i inne).

 

Do najważniejszych obowiązków OUK należało między innymi:

 

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,

 

• ich utrzymanie oraz monitorowanie,

 

• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

 

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

 

Pod koniec 2020 r. Unia Europejska przyjęła projekt dyrektywy NIS2. W efekcie już miesiąc później, tj. w styczniu 2021 r. rozpoczęto prace nad nowelizacją ustawy o Krajowym Systemie Bezpieczeństwa. Zmiany będą znaczące i obejmą dużą grupę podmiotów (szacuje się, że nawet kilka tysięcy na terenie naszego kraju).

 

Oprócz operatorów usług kluczowych specjalne wymagania dotyczące cyberbezpieczeństwa spełnić będzie musiała druga grupa – tak zwane podmioty istotne. Mają być tutaj sklasyfikowane m.in. podmioty świadczące usługi pocztowe i kurierskie, dostawcy usług cyfrowych, producenci maszyn, urządzeń i pojazdów.