Wdrażenie NIS2 krok po kroku
Bezpieczeństwo IT - metody ochrony,Cyberbezpieczeństwo Polski,Główna,Poradnik bezpieczeństwa IT

Wdrażanie NIS2 krok po kroku

Opublikowano
Czas czytania: 7 min

Technikalia dla administratorów

Czym jest dyrektywa NIS2 i jakie są cele dyrektywy?

Dyrektywa NIS 2 to następczyni Dyrektywy NIS. Jest jej rozwinięciem, ewolucją opartą o dostrzeżone błędy i potrzebę wzmocnienia cyberbezpieczeństwa. Europejska dyrektywa NIS narzuciła ramy bezpieczeństwa cybernetycznego. Bezpieczeństwo informacji zależy od systemów zarządzania ryzykiem i umiejętności zarządzania incydentami bezpieczeństwa. W związku z tym, cel dyrektywy NIS 2 jest bardzo konkretny. Dyrektywa NIS2 ujednolica w tym zakresie wymogi i zasady we wszystkich państwach członkowskich UE. Wdrożenie dyrektywy NIS2 do ustawodawstwa krajowego wszystkich krajów UE zaplanowano do października 2024 roku. W niniejszym tekście opisujemy w jaki sposób uzyskać zgodność z nowymi regulacjami w oparciu o kluczowe wymogi dyrektywy. W prostych słowach wyjaśniam, krok po kroku, jak wdrożyć dyrektywę NIS2. Oddaję w ręce czytelników swoiste kompendium wiedzy pod tytułem “Wdrażanie NIS2 krok po kroku”.

Zrozumieć dyrektywę NIS2

W celu zwiększenia bezpieczeństwa firm w sieci i zwiększenia ich odporności, zapisy dyrektywy NIS2 poszerzono. W szczególności, do spełnienia wymogów dyrektywy zobowiązano większą liczbę firm i sektorów. Zakres rozszerzono z początkowo regulowanych siedmiu sektorów do piętnastu. Nowe regulacje wprowadzają także kryterium wielkości podmiotów objętych dyrektywą oraz powiązanych z nimi zakresów zarządzania ryzykiem. Organizacje muszą wdrożyć funkcjonalne procesy dotyczące zapewnienia ciągłości działania, zarządzania incydentami, odzyskiwania danych po awarii, zarządzania kopiami zapasowymi i inne.

Podmiot kluczowy, czyli jaki?

Dzięki bardziej rygorystycznym zasadom mającym na celu przezwyciężenie wcześniejszych ograniczeń, NIS2 będzie miała wpływ na szerszy zakres branż. Podmioty objęte dyrektywą NIS2 są klasyfikowane jako kluczowe lub ważne. Tym samym zastąpiono dotychczasowy podział na operatorów usług kluczowych, dostawców usług cyfrowych i podmioty publiczne. Dyrektywa ustanawia wymogi bezpieczeństwa oraz proces zgłaszania incydentów. Podmioty kluczowe obejmują sektory o kluczowym znaczeniu dla gospodarki i społeczeństwa, takie jak energetyka, transport, bankowość, ochrona zdrowia itp. Same kryteria kwalifikacji opierają się na wielkości podmiotu, liczbie użytkowników, znaczeniu gospodarczym oraz potencjalnym wpływie na społeczeństwo. Podmioty istotne (kluczowe) definiuje się jako duże organizacje działające w sektorach wymienionych w załączniku I. Tę listę uzupełniają inne podmioty zidentyfikowane jako krytyczne bezpośrednio w treści dyrektywy NIS2, lub przez określone państwo UE.

Przestrzeganie dyrektywy NIS2 i kary za niezgodność

Kwalifikowanie się jako podmiot kluczowy wiąże się w oczywisty sposób z obowiązkami i wymaganiami, które są bardziej rygorystyczne w porównaniu do podmiotów ważnych. Implementacja dyrektywy NIS2 narzuca na takie podmioty kluczowe np. wymóg przedstawiania bardziej szczegółowych audytów i wdrażania bardziej zaawansowanych i kompleksowych środków technicznych oraz organizacyjnych. Ponadto podmioty kluczowe muszą wyznaczyć konkretne osoby lub zespoły odpowiedzialne za kontakt z krajowymi organami nadzoru, a także za koordynację działań w zakresie cyberbezpieczeństwa. Muszą także informować o planowanych zmianach w infrastrukturze IT. Narażone są także na większe restrykcje. Kary za niezgodność mogą być bardzo bolesne i idą w miliony Euro.

Co jeszcze zmienia Dyrektywa NIS2?

Wdrożenie dyrektywy NIS2 i aktualizacja regulacji wynika z faktu, że wspólny poziom bezpieczeństwa nie jest optymalny. Systemy informatyczne i infrastruktura IT ewoluują w ogromnym tempie. Niestety, cyberprzestępcy także nie zasypują gruszek w popiele. W związku z tym uznano, że inwestycje w cyberbezpieczeństwo w UE są niewystarczające. Świadczy o tym gwałtowanie rosnąca liczba cyberataków. Dodatkowo, w ramach ciekawostki warto wspomnieć, że sektor produkcyjny nie został wyraźnie włączony do sektorów objętych pierwszą dyrektywą NIS. Dyrektywa NIS2 włączyła producentów niektórych produktów krytycznych, takich jak farmaceutyki, wyroby medyczne i chemikalia.

Incydenty i środki bezpieczeństwa a poziom świadomości

Być może to najważniejsza zmiana. Wymaga się obowiązkowego edukowania członków organu zarządzającego w zakresie cyberbezpieczeństwa. Członkowie wysokiego szczebla muszą rozumieć i posiadać kompetencje do oceny zagrożenia cybernetycznego. Do tej pory tego rodzaju zagrożenia często były spychane na margines i tylko cierpliwość oraz pro-aktywność działów IT chroniła przedsiębiorstwa przed niemal nieuniknioną katastrofą. Wydaje się, że nowelizacja oraz nowe wytyczne przyczynią się do znacznej poprawy bezpieczeństwa w sieci.

Przejdźmy do konkretnych wskazań dotyczących tego, jak wdrożyć dyrektywę NIS2.

Poradnik “Wdrażanie NIS2 krok po kroku” podzielono na 7 osobno opisanych etapów

Analiza wymogów prawnych

Analiza wymogów prawnych
Cel: Wdrożenie dyrektywy NIS2 (Network and Information Security) w przedsiębiorstwie wymaga strategicznego i kompleksowego podejścia. Wszystko zaczyna się od analizy wymogów od strony prawnej, tj:
  • Dokładnego zapoznania się z treścią dyrektywy, pozwalającego zrozumieć jej wymagania i konsekwencje dla organizacji.
  • Identyfikacji obszarów ryzyka – czyli wskazania, które obszary działalności przedsiębiorstwa obejmują nowe regulacje NIS2.
 Porada:

  • Upewnij się, że wszystkie wymagania prawne są dobrze udokumentowane i dostępne dla zespołu.
  • Rozważ konsultacje z prawnikiem specjalizującym się w cyberbezpieczeństwie, aby upewnić się, że wszystkie aspekty prawne są odpowiednio uwzględnione.
Kto: Dział prawny lub zewnętrzny dostawca usług prawnych.

Ocena ryzyka

Ocena ryzyka
Cel: Identyfikacja i analiza ryzyka związanego z cyberbezpieczeństwem w kontekście działalności organizacji. Należy zastanowić się, w jaki sposób potencjalne zagrożenia mogą wpłynąć na kluczowe usługi.
  • Konsekwencją analizy ryzyka jest identyfikacja krytycznych systemów i zasobów: ważne jest ustalenie, które systemy i zasoby są kluczowe dla utrzymania ciągłości działania przedsiębiorstwa. Te należy zabezpieczyć w pierwszej kolejności.
  • Identyfikacja krytycznych systemów i zasobów: określenie, które systemy i zasoby są kluczowe dla utrzymania ciągłości działania przedsiębiorstwa i które muszą być chronione w pierwszej kolejności.
 Porada:

  • W celu zapewnienia spójności i jakości oceny wybierz uznaną metodykę oceny ryzyka, np. ISO 27005.
  • Oceny ryzyka przeprowadzaj regularnie, a nie tylko jednorazowo. Dzięki temu uwzględnione zostaną nowe zagrożenia i zmiany w środowisku IT.
Kto: Zadanie można powierzyć zespołowi ds. zarządzania ryzykiem, analitykom bezpieczeństwa IT lub zewnętrznym doradcom ds. bezpieczeństwa.

Powołanie zespołu (ds.) cyberbezpieczeństwa

Powołanie zespołu (ds.) cyberbezpieczeństwa
Cel: ustalenie i przypisanie do zadań konkretnych osób i poziomu ich odpowiedzialności.
  • Konieczne jest stworzenie dedykowanego zespół odpowiedzialnego za wdrożenie dyrektywy NIS2, w tym za zarządzanie bezpieczeństwem informacji i monitorowanie zgodności z przepisami.
  • Przypisanie konkretnych zadań związanych z wdrożeniem dyrektywy porządkuje role i odpowiedzialność za określone zadania.
 Porada:

  • Zapewnij, że członkowie zespołu mają odpowiednie szkolenia i certyfikaty, takie jak CISSP, CISM lub CEH.
  • Ustal jasne kanały komunikacji wewnątrz zespołu oraz z innymi działami firmy.
Kto: Dyrektor ds. IT, menedżerowie bezpieczeństwa IT, przedstawiciele kluczowych działów (np. operacyjnego, finansowego).
Mając ustalony zespół, można przystąpić do kolejnego kroku.

Przygotowanie polityki i procedury bezpieczeństwa

Przygotowanie polityki i procedury bezpieczeństwa
Cel: ochrona infrastruktury krytycznej i usług kluczowych oraz zarządzanie ryzykiem operacyjnym.
  • Wymaga się opracowania polityk bezpieczeństwa, które będą zgodne z wymogami NIS2. Polityki powinny obejmować obszary: zarządzanie ryzykiem, monitorowanie systemów, reagowanie na incydenty oraz szkolenia pracowników.
 Porada:

  • Regularnie przeglądaj i aktualizuj polityki bezpieczeństwa, aby pozostawały zgodne z najnowszymi standardami i praktykami.
  • W miarę możliwości, automatyzuj procedury operacyjne, aby zminimalizować ryzyko błędów i pomyłek ludzkich.
  • W tym miejscu można przejść do wdrożenie procedur, które pozwolą na skuteczne zarządzanie ryzykiem i zapewnią zgodność z wymogami dyrektywy.
Kto: Dział IT, zespół ds. compliance, zewnętrzni konsultanci ds. bezpieczeństwa.

Audyt, monitoring i kontrola zgodności

Audyt, monitoring i kontrola zgodności
Cel: wstępny audyt: służy do oceny obecnego stanu zabezpieczeń i zgodności z wymogami NIS2, identyfikacji luk i obszarów do poprawy.
 

  • Wypracuj mechanizmy monitorowania: zapewnij narzędzia i procesy do ciągłego monitorowania stanu bezpieczeństwa oraz zgodności z przepisami.

 

 Porada:

  • Na potrzeby skutecznego śledzenia i analizowania zdarzeń bezpieczeństwa wykorzystaj zaawansowane narzędzia do monitorowania, takie jak SIEM (Security Information and Event Management).
  • Ustal regularne raportowanie wyników audytów i monitorowania do Zarządu, aby uzyskać wsparcie na najwyższym szczeblu.
Kto: Dział audytu wewnętrznego, zespół ds. compliance, zewnętrzni audytorzy.

Regularne szkolenia i kampanie

Regularne szkolenia i kampanie
Cel: szkolenia mają na celu utrzymywać świadomość zagrożeń i przygotować ich na nowe wymogi.
  • Szkolenie pracowników: organizacja szkoleń dla pracowników na temat cyberbezpieczeństwa, ryzyka i procedur.
 Porada:

  • Organizuj interaktywne szkolenia i warsztaty, aby pracownicy mogli aktywnie uczestniczyć i lepiej przyswajać wiedzę.
  • Regularnie przeprowadzaj testy phishingowe i inne symulacje, aby sprawdzić gotowość pracowników na realne zagrożenia.

 
  • Kampanie informacyjne: regularne kampanie przypominające o istotnych zagadnieniach związanych z bezpieczeństwem informacji.
Kto: Dział HR, zespół ds. cyberbezpieczeństwa, zewnętrzni trenerzy i specjaliści ds. edukacji.

Doskonalenie i testy

Doskonalenie i testy
Cel: regularna poprawa i weryfikacja wdrożonych rozwiązań.
  • Regularne przeglądy i aktualizacja polityk, procedur oraz oceny ryzyka umożliwia uwzględnienie zmieniających się zagrożeń i technologii.

 

 Porada

  • Feedback: Zbieraj regularnie informacje od pracowników i zespołu ds. cyberbezpieczeństwa, aby identyfikować obszary do poprawy.
  • Porównuj swoje praktyki z najlepszymi praktykami w branży, aby stale podnosić poziom bezpieczeństwa.
  • Regularne testowanie planów reagowania na incydenty oraz przeprowadzanie ćwiczeń symulacyjnych powala sprawdzić przygotowanie przedsiębiorstwa na potencjalne zagrożenia.
Kto: Zespół ds. cyberbezpieczeństwa, zespół ds. zarządzania ryzykiem, kierownictwo działu IT.

Zapewnienie pełnej zgodności wymaga współpracy

To, co jest czynnikiem naprawdę istotnym przy wdrażaniu tak kluczowych przepisów, jest współpraca, koordynacja i wzajemne wsparcie. O ile Zarząd powinien ograniczyć się do kluczowych decyzji i zapewniania zasobów oraz określeniu priorytetów, wdrożenie regulacji musi koordynować kompetentny project manager. Sama dyrektywa narzuca jedynie ogólne ramy, w które wpasować muszą się rozwiązania przyjęte przez organizacje. Końcowy wynik prac zależy więc w dużej mierze od kompetencji odpowiedzialnych osób i zewnętrznych partnerów. Procesy audytowe można w dużej mierze automatyzować, np. w oparciu o rozwiązania oferowane przez Vanta. Dzięki automatyzacji procesów zgodności, Vanta pomaga firmom w przygotowaniu się do audytów zgodności z NIS2. Narzędzia te pozwalają na zbieranie dowodów zgodności w czasie rzeczywistym, co upraszcza procesy raportowania i audytowania. Niezależnie od tego, czy proces uzyskiwania zgodności zostanie przeprowadzony ze wsparciem partnerów zewnętrznych czy bez nich, cel jest jeden. Bezpieczeństwo nas wszystkich, i tego celu nie warto tracić z oczu.

Poprzedni artykuł
Następny artykuł

Podobne posty

Dodaj komentarz