NIS2 – w oczekiwaniu na październik 2024…
Dyrektywa NIS to dla dziedziny cyberbezpieczeństwa – a co za tym idzie dla naszych danych i
usług, z których korzystamy – krok w dobrym kierunku. Bo najważniejsze to zacząć. I doskonalić,
ponieważ dyrektywa NIS pozostawiała sporo do życzenia. Dlatego zdecydowano się wprowadzić NIS2 –
obejmującą szerszy zakres podmiotów i wprowadzając bardziej rygorystyczne wymogi bezpieczeństwa.
Szczegóły NIS2 są już dostępne a: „Celem dyrektywy powinno być zapewnienie wysokiego poziomu
odpowiedzialności za środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie
zgłaszania incydentów na poziomie podmiotów kluczowych i ważnych.”
Kluczowym terminem jest październik 2024 r., kiedy to krajowe organy ustawodawcze w UE będą
musiały wprowadzić egzekwowalne przepisy.
Główne rozszerzenia względem NIS1 obejmują:
a. Więcej podmiotów objętych dyrektywą: NIS2 ma zastosowanie do szerszego zakresu
podmiotów niż NIS1, w tym podmiotów istotnych i ważnych. Podmioty kluczowe to te, które
świadczą usługi o znaczeniu krytycznym dla społeczeństwa, takie jak energia, transport i opieka
zdrowotna. Ważne podmioty to te, które odgrywają znaczącą rolę w gospodarce lub
społeczeństwie, takie jak instytucje finansowe, firmy telekomunikacyjne czy usługi pocztowe.
b. Bardziej rygorystyczne wymogi bezpieczeństwa: głównie w obszarach zarządzania ryzykiem,
wykrywania i reagowania na incydenty oraz działania mające na celu podnoszenie świadomości i
szkolenia w zakresie bezpieczeństwa informacji.
c. Zgłaszanie incydentów: NIS2 wymaga od organizacji zgłaszania władzom incydentów
związanych z cyberbezpieczeństwem. Nacisk postawiony jest na raportowanie Indicator’s of
Compromise i wszelkich danych pozwalających ustandaryzować i mitygować dany scenariusz
ataku.
d. Kary: w wysokości do 10 milionów euro lub 2% całkowitego obrotu podmiotu, w zależności od
tego, która z tych kwot jest wyższa, dla “Istotnych Podmiotów” (7 milionów euro lub 1,4%
globalnego obrotu dla “Ważnych Podmiotów”). Widać, że ustawodawcy biorą przykład z
dyrektywy RODO, która w znaczny sposób podniosła jakość mechanizmów poufności danych.
Poniżej prezentujemy zbiór co ciekawszych, z naszego punkt widzenia, punktów Dyrektwy NIS2:
- Postanowienia ogólne:
a. Pkt 89. Podmioty kluczowe i ważne powinny przyjąć szeroki wachlarz podstawowych
praktyk dotyczących cyberhigieny, takich jak:
I. zasady zerowego zaufania (zero trust)
II. aktualizacje oprogramowania
III. odpowiednia konfiguracja urządzeń
IV. segmentacja sieci
V. zarządzanie tożsamością i dostępem
VI. świadomość użytkowników (szkolenia dla pracowników dot. cyberzagrożeń,
phishingu lub technik inżynierii społecznej)
Celem poprawy swojej postury cyberbezpieczeństwa, podmioty te powinny:
- ocenić własne zdolności w zakresie cyberbezpieczeństwa
- dążyć do integracji technologii poprawiających cyberbezpieczeństwo, takich jak systemy oparte na sztucznej inteligencji lub uczeniu maszynowym
NIS2 wprost wymienia czym są podstawowe środki cyberhigieny oraz jakie niezbędne analizy
(ocena zdolności) i elementy strategii (integracja technologii) należy wdrożyć.
- Pkt 101. „(…) Wskaźniki takie jak zakres skutków dla funkcjonowania usługi, czas trwania incydentu lub liczba dotkniętych nim odbiorców usług mogą odegrać ważną rolę wustaleniu, czy zakłócenie operacyjne usługi jest dotkliwe.”
NIS2 wymienia jakie paramtery będą istotne przy ocenie rozmiarów zakłócenia.
2. Artykuł 6 – Definicje
a. „potencjalne zdarzenie dla cyberbezpieczeństwa” oznacza zdarzenie, które mogło
naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych,
przekazywanych lub przetwarzanych danych lub usług oferowanych przez sieci i systemy
informatyczne lub dostępnych za ich pośrednictwem, któremu udało się jednak zapobiec
lub które jednak nie wystąpiło;
b. „incydent” oznacza zdarzenie naruszające dostępność, autentyczność, integralność lub
poufność przechowywanych, przekazywanych lub przetwarzanych danych lub usług
oferowanych przez sieci i systemy informatyczne lub dostępnych za ich pośrednictwem;
c. „incydent w cyberbezpieczeństwie na dużą skalę” oznacza incydent, który powoduje
zakłócenia na poziomie przekraczającym zdolność państwa członkowskiego do
reagowania na ten incydent lub który wywiera znaczące skutki w co najmniej dwóch
państwach członkowskich;
d. „obsługa incydentu” oznacza działania i procedury mające na celu zapobieżenie
incydentowi, wykrywanie i analizowanie go, ograniczanie jego zasięgu lub reagowanie
na niego i przywrócenie normalnego działania;
e. „ryzyko” oznacza możliwość wystąpienia strat lub zakłóceń spowodowanych
incydentem, wyrażoną jako wypadkową wielkości takiej straty lub takich zakłóceń oraz
prawdopodobieństwo wystąpienia takiego incydentu;
Kilka ciekawszych definicji dotyczących artefaktów i zdarzeń w procesie zarządzania
cyberbezpieczeństwem.
3. Artykuł 21 Punkt 2 – Środki zarządzania ryzykiem – „bazują na podejściu uwzględniającym wszystkie zagrożenia i mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami, i obejmują co najmniej następujące elementy”:
a. Politykę analizy ryzyka i bezpieczeństwa systemów informatycznych
b. Procedurę obsługi incydentu
c. Procedury ciągłości działania (np. zarządzanie kopiami zapasowymi i przywracanie
normalnego działania po wystąpieniu sytuacji nadzwyczajnej) i zarządzania
kryzysowego;
d. Politykę bezpieczeństwa łańcucha dostaw (włączając aspekty związane z
bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego
bezpośrednimi dostawcami lub usługodawcami)
e. Polityki bezpieczeństwa w procesie nabywania, rozwoju i utrzymania sieci i systemów
informatycznych (w tym postępowanie w przypadku podatności i ich ujawnianie)
f. Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w
cyberbezpieczeństwie;
g. Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h. Polityki i procedury stosowania kryptografii i szyfrowania
i. Polityki bezpieczeństwa zasobów ludzkich, kontroli dostępu i zarządzania aktywami
j. Procedury stosowania uwierzytelniania wieloskładnikowego lub ciągłego,
zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych
systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Znów NIS2 wymienia z nazwy wszystkie dokumenty niezbędne do osiągnięcia wymaganego
przez dyrektywę poziomu zarządzania ryzykiem (oczywiście zakładając ich wykorzystanie
oparte na zrozumieniu ).
4. Artykuł 32 punkt 7 – Czynniki uwzględniane przy ocenie doktkliwości incydentów i czynności
prowadzonych w ramach naruszeń dyrektywy NIS2:
„(…) właściwe organy przestrzegają prawa do obrony oraz biorą pod uwagę okoliczności każdego
indywidualnego przypadku i należycie uwzględniają co najmniej:
a. wagę naruszenia i znaczenie naruszonych przepisów, przy czym za poważne należy
uznać w każdym przypadku m.in. następujące naruszenia:
I. powtarzające się naruszenia;
II. niezgłoszenie lub nieusunięcie poważnych incydentów;
III. nieusunięcie uchybień zgodnie z wiążącymi nakazami właściwych organów;
IV. utrudnianie prowadzenia audytów lub działań monitorujących nakazanych przez
właściwy organ po stwierdzeniu naruszenia;
V. dostarczanie nieprawdziwych lub rażąco niedokładnych informacji w odniesieniu
do środków zarządzania ryzykiem w cyberbezpieczeństwie lub obowiązków
zgłaszania incydentów ustanowionych w art. 21 i 23;
b. czas trwania naruszenia;
c. istotne wcześniejsze naruszenia ze strony danego podmiotu;
d. spowodowane szkody majątkowe i niemajątkowe, w tym straty finansowe lub
gospodarcze, wpływ na inne usługi i liczbę użytkowników, których dotyka incydent;
e. umyślny lub nieumyślny charakter czynu ze strony sprawcy naruszenia;
f. środki zastosowane przez podmiot, aby zapobiec szkodom majątkowym i
niemajątkowym lub je ograniczyć;
g. stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów
certyfikacji;
h. stopień współpracy odpowiedzialnych osób fizycznych lub prawnych z właściwymi
organami.
Jeżeli „stało się” – NIS2 zawiera jasne wytyczne jakie czynniki pozwolą Ci zminimalizować
potencjalne kary od organów zajmująych się egzekucją zgodności z regulacjami.
5. Art. 35 Punkt 1. Naruszenia pociągające za sobą naruszenie ochrony danych osobowych
„Jeżeli w czasie nadzoru lub egzekwowania przepisów właściwe organy powzięły wiedzę, że
naruszenie przez podmiot kluczowy lub ważny obowiązków określonych w art. 21 i 23 niniejszej
dyrektywy może pociągać za sobą naruszenie ochrony danych osobowych zdefiniowane w art. 4
pkt 12 rozporządzenia (UE) 2016/679, które podlega zgłoszeniu na podstawie art. 33 tego
rozporządzenia, bez zbędnej zwłoki informują o tym organy nadzorcze, o których mowa w art.
55 i 56 tego rozporządzenia.”
Jeżeli nie dopełniłeś wymogów NIS2 i w związku z nienależytym poziomem bezpieczeństwa IT,
doszło do incydentu obejmującego dane osobowe –> oddzielne śledztwo (i potencjalnie kara)
od organów zajmujących się GDPR.
6. Załącznik 1 i 2 – czy jesteś objęty NIS2?
a. Załącznik 1: Sektory Kluczowe
b. Załącznik 2: Sektory Ważne
CZY BOISZ SIĘ CIEMNOŚCI?
Uważamy, że całość Dyrektywy NIS2 jest fascynującą lekturą i z pewnością polecamy ją na długie
wieczory. W naszym artykule pozwoliliśmy sobie wyszczególnić te postanowienia ustawy…
Które konkretnie wymieniają konkretne procesy/czynności/technologie.
W których wdrożeniu możemy Ci pomóc.
2024 to rok spod znaku wdrożenia NIS2 w organizacjach by 2025 powitać z pełną zgodnością. Zacznij już
teraz a październik 2024 będzie dla Ciebie datą jak każda inna.
