Czas czytania: 5 min

Czas na implementacje przepisów dyrektywy NIS2 powoli mija. Termin wdrożenia to 17 października 2024 r. Kadry kierownicze nadal zadają sobie pytanie czy nowe regulacje prawne także obejmą ich firmy. Co więcej, niektórzy nie są świadomi, że dyrektywa też ich obowiązuje. Przypomnimy sobie podstawowe przepisy nowych regulacji prawnych, kogo dotyczy oraz jakie pociąga za sobą obowiązki prawne.

Technikalia dla administratorów

Podstawowe przepisy dyrektywy NIS2

Network Information Security Directive 2 (NIS2) jest aktem prawnym, który ma na celu zwiększenie odporności europejskich państw członkowskich na zagrożenia cybernetyczne w związku z postępującą digitalizacją. Dyrektywa stanowi też odpowiedź na dynamicznie rozwijającą się przestępczość internetową i coraz bardziej zaawansowane ataki hakerskie, które mogą zakłócić działanie kluczowych sektorów gospodarki oraz wpłynąć na stabilność państwa.

Implementacja dyrektywy wiąże się z ustanowieniem wspólnych standardów i procedur w zakresie zapobiegania incydentom cybernetycznym, reagowania na nie, utworzenia planu ciągłości działania oraz budowania współpracy pomiędzy państwami członkowskimi. Dyrektywa kładzie nacisk na zdefiniowanie podmiotów kluczowych i ważnych w sektorach publicznym i prywatnym, które zostaną zobowiązane do zapewnienia wysokiego poziomu bezpieczeństwa.

Najważniejsze postanowienia dyrektywy

Zgodnie z art. 20 kadry zarządzające kluczowymi i ważnymi podmiotami muszą przyjąć środki zarządzania ryzykiem cybernetycznym i nadzorować ich wdrożenie. Organizacje mogą zostać ukarane za uchylanie się przed tym obowiązkiem.

Zarządy przedsiębiorstw są zobowiązane do przeprowadzenia regularnych szkoleń oraz zachęcania pracowników do wzięcia w nich udziału, aby nabyli wystarczającą wiedzę i umiejętności zapewniające im zdolność do identyfikacji zagrożeń. Pracownicy pozyskają też zdolność do oceny metod zarządzania ryzykiem cybernetycznym oraz ich wpływu na usługi świadczone przez firmę.

Organizacje sklasyfikowane jak podmioty kluczowe i ważne muszą podjąć odpowiednie środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informatycznych wykorzystywanych w swojej działalności lub do świadczenia swoich usług.

Wdrożenie metod ochrony ma także zapobiec lub zminimalizować wpływ incydentów na klientów tych usług.

Zmiany wprowadzone przez dyrektywę NIS2

W 2016 r. wprowadzono dyrektywę NIS, która obejmowała takie sektory jak:

  • Energetyka
  • Transport
  • Opieka zdrowotna
  • Sektor wody pitnej
  • Infrastruktura rynków finansowych
  • Bankowość
  • Infrastruktura cyfrowa

Jednak, po latach praktykowania wcześniejszego aktu prawnego, okazało się, że nie doszacowano liczby podmiotów, które powinny zostać objęte pierwszą wersją dyrektywy. Pierwotne zapisy NIS pokazały, że nie obejmuje wielu strategicznych sektorów gospodarki oraz nie wszystkie podmioty wywiązywały się ze swoich obowiązków.

W rezultacie nowy akt prawny obejmuje także:

  • Przetwarzanie i dystrybucję żywności
  • Gospodarowanie odpadami
  • Oczyszczanie ścieków
  • Usługi cyfrowe
  • Administrację publiczną
  • Produkcję
  • Przetwarzanie i dystrybucję chemikaliów
  • Zarządzanie usługami ICT
  • Przestrzeń kosmiczną
  • Usługi pocztowe

Zmianie ulegną także kary za nieprzestrzeganie zasad dyrektywy NIS2. Podmioty kluczowe, które będą uchylały się od obowiązków wynikających z postanowień dyrektywy są narażone na stratę 10 mln euro lub 2% łącznego rocznego obrotu.

W przypadku podmiotów ważnych kary wynoszą 7 mln euro lub 1,4% łącznego rocznego obrotu.

Akt prawny NIS2 przewiduje także możliwość nałożenia okresowych kar finansowych w celu wymuszenia przestrzegania przepisów. Wprowadza także sankcje karne za naruszenia postanowień dyrektywy.

Kogo dotyczy nowa dyrektywa NIS2?

Przypomnimy teraz podział na podmioty kluczowe i ważne oraz zastanowimy się, dlaczego te sektory powinny zostać objęte przepisami NIS2:

Podmioty kluczowe

  • Energetyka, czyli elektrownie, sieci przesyłowe i dystrybucyjne oraz systemy zasilania. Jest kluczowa dla infrastruktury państwowej, ponieważ zakłócenia oraz przerwy w dostawie energii mogą, np. uniemożliwić wykonywanie codziennych czynności i pracy oraz wyłączyć systemy monitorowania i podtrzymywania życia;
  • Transport w tym system transportowy, sieci dróg, lotniska, porty i systemy transportu publicznego. Dość mocnymi argumentami są dojazd oraz powrót z pracy przy pomocy komunikacji publicznej, delegacje, dostarczanie żywności, surowców, materiałów budowlanych oraz opałowych;
  • Sektor wody pitnej obejmujący systemy dostarczania oraz uzdatniania wody. Niezanieczyszczona, zdatna do spożycia woda ma kluczowe znaczenie dla zdrowia publicznego;
  • Banki i infrastruktury rynków finansowych w tym systemy płatności i giełdy. Wielu z nas korzysta z kart bankomatowych, kont internetowych i e-płatności. Znajdą się też tacy, którzy pomnażają swój majątek dzięki inwestycjom. Zapewne mało kto chce przechowywać pieniądze w skarpecie;
  • Opieka zdrowotna obejmująca szpitale, kliniki, medyczne systemy informatyczne. Ataki na instytucje zajmujące się opieką zdrowotną uderzają w prywatność i poufność informacji oraz bezpieczeństwo pacjentów. Skradzione dane mogą zostać wykorzystane do popełniania przestępstw takich jak kradzież tożsamości, oszustwa ubezpieczeniowe czy nielegalne zakupy leków na receptę;
  • Usługi cyfrowe i ICT, czyli platformy internetowe, usługi online. Sprawa wygląda podobnie do wykradzenia danych z placówek opieki medycznej. Wyciek poufnych informacji może sprawić też, że staniemy się celami ataków phishingowych oraz będziemy narażeni na straty finansowe;
  • Gospodarowanie odpadami i oczyszczanie ścieków, obejmujące zakłady utylizacji, recykling oraz stacje oczyszczania ścieków. Są kluczowe dla ochrony środowiska, wprowadzają procedury bezpiecznego postępowania z odpadami, chronią środowisko wodne i zdrowie publiczne;
  • Administracja publiczna w tym organizacje rządowe, agencje i instytucje publiczne, m. in. ministerstwa, służby bezpieczeństwa, ABW, KNF zapewniające ochronę danych publicznych, działanie instytucji rządowych i kontynuację usług publicznych.

Podmioty ważne

  • Przetwarzanie i dystrybucja żywności, czyli przemysł spożywczy, sieć dystrybucji. Sektor odpowiada za bezpieczeństwo żywności i jej dostępność dla społeczeństwa;
  • Produkcja w tym elektroniki, maszyn i pojazdów samochodowych. Ochrona tego sektora zapewni bezpieczeństwo systemów produkcyjnych i ciągłość produkcji;
  • Przetwarzanie i dystrybucja chemikaliów obejmujące przemysłowe zakłady chemiczne. Odpowiednie procedury zapewnią bezpieczeństwo produkcji i dystrybucji substancji chemicznych;
  • Przestrzeń kosmiczna w tym usługi komunikacyjne, nawigacyjne, a także platforma do monitorowania środowiska czy bezpieczeństwa granic. Ataki cybernetyczne mogą zakłócić łączność, zniszczyć satelity oraz mieć wpływ na systemy naziemne;
  • Usługi pocztowe, czyli firmy i systemy pocztowe. Ochrona zapewni bezpieczeństwo przesyłek oraz danych klientów w usługach pocztowych.

Obowiązki podmiotów kluczowych oraz ważnych

Tak jak wspomnieliśmy wcześniej, akt prawny NIS2 nakłada na organizacje konieczność wprowadzenia wspólnych standardów i procedur mających na celu zapobieganie incydentom, atakom oraz zachowanie ciągłości działania.

Metody ochrony sieci informatycznej powinny co najmniej obejmować takie elementy jak:

  • Polityki na temat analizy ryzyka i bezpieczeństwa systemów informatycznych;
  • Procedurę obsługi incydentów;
  • Ciągłość działania w tym zarządzenia kopiami zapasowymi, odzyskiwanie danych po awarii oraz zarządzania kryzysowe;
  • Bezpieczeństwo łańcucha dostaw, czyli wszystkich podmiotów, które wzajemnie zaopatrują się w produkty lub usługi, aby stworzyć finalny produkt lub usługę;
  • Bezpieczeństwo nabywania, wdrażania, rozwijania i utrzymywania sieci oraz systemów informatycznych w tym opracowanie procedury naprawiania luk w zabezpieczeniach i ich ujawniania;
  • Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa;
  • Podstawowe praktyki higieny cybernetycznej w tym, np. regularne aktualizowanie oprogramowania, silne hasła unikanie klikania w podejrzane linki. Zawiera się w tym też szkolenie pracowników w zakresie cyberbezpieczeństwa;
  • Polityki i procedury odnośnie stosowania kryptografii w tym szyfrowania;
  • Bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie zasobami;
  • Korzystanie z uwierzytelniania MFA, metod autoryzacji ciągłej (monitorowanie działania użytkownika przez cały czas zalogowania), zabezpieczona, np. szyfrowaniem komunikacja głosowa, wideo i tekstowa oraz ochrona systemów komunikacji awaryjnej wykorzystywanych w przypadku katastrof naturalnych, incydentów bezpieczeństwa lub sytuacji wymagających natychmiastowych reakcji

Dlaczego NIS2 jest tak ważne?

Nie da się ukryć, że współczesna gospodarka i społeczeństwo są zależne od środowiska cyfrowego. W takich okolicznościach zwiększenie odporności infrastruktur informatycznych staje się elementem strategicznym, aby utrzymać stały dostęp do usług społecznych, ochronę danych poufnych, ogrzewanie czy bezpieczny transport i komunikację. Wdrożenie przepisów NIS2 powinno odpowiedzieć na te potrzeby.





Dodaj komentarz