Blog

Dyrektywa NIS2 – oprogramowanie, które pomoże Ci spełnić jej wymogi | OXARI

OXARI TEAM

24 maj 2024

NIS 2 na IP (1)

Czym jest dyrektywa NIS 2?

Dyrektywa NIS 2, będąca rozwinięciem pierwotnej dyrektywy NIS, stanowi kluczowy element zwiększania cyberbezpieczeństwa w całej Unii Europejskiej. Wchodząc w życie, dyrektywa NIS 2 zobowiązuje państwa członkowskie do wdrożenia przepisów mających na celu ochronę krytycznej infrastruktury cyfrowej, a także określa, kogo dotyczą te nowe wymogi.

Jako istotny element wprowadza zaktualizowane wymogi dotyczące zarządzania ryzykiem cybernetycznym, rozszerza zakres podmiotów objętych regulacją i zaostrza obowiązki w zakresie raportowania incydentów.

Dyrektywa NIS 2 a zarządzanie ryzykiem
w zakresie cyberbezpieczeństwa

Implementacja dyrektywy NIS 2 znacząco przekształca podejście do zarządzania ryzykiem przez wprowadzenie bardziej rygorystycznych wymogów.

Ważnym aspektem jest wymóg, aby dostawcy usług cyfrowych oraz operatorzy usług kluczowych dokładnie analizowali potencjalne zagrożenia i stosowali odpowiednie środki zarządzania ryzykiem w cyberbezpieczeństwie, co obejmuje zarówno aspekty techniczne, jak i organizacyjne.

WYKORZYSTANIE
DO ZARZĄDZANIA ASSETAMI

System OXARI pozwala zarządzać zasobami firmowymi. Z punktu widzenia dyrektywy NIS2 system pozwoli prowadzić proces inwentaryzacji m.in.: komputerów, telefonów, serwerów, urządzeń sieciowych, itd.

Co również istotne osoby koordynujące ten proces mogą generować systemowe protokoły przekazania sprzętu na poszczególnych pracowników, co oprócz posiadania bieżącej wiedzy, kto i czym dysponuje, pozwala sprawnie prowadzić offboarding pracownika opuszczającego organizację.

Na mocy dyrektywy parlamentu europejskiego, zwiększa się również presja na państwa członkowskie, aby te wprowadziły zmiany w funkcjonowaniu organizacji.
Dyrektywę uchwalono 14 grudnia 2022 r., weszła w życie 17 stycznia 2023 r., natomiast jej wymagania będzie trzeba spełnić do połowy października 2024 r.

Kogo będzie dotyczyć dyrektywa NIS2?

    Podmioty duże

    Co najmniej 250 osób

    Roczne obroty lub roczna
    suma bilansowa min. € 50mln

    Sektory:

    • Energetyczny
    • Transportowy
    • Bankowość
    • Rynki finansowe
    • Opieka zdrowotna
    • Woda pitna
    • Ścieki
    • Infrastruktura cyfrowa
    • Usługi ICT
    • Dostawcy publicznej sieci łączności elektronicznej
    • Przestrzeń kosmiczna

    Podmioty średnie

    Co najmniej 50 osób

    Roczne obroty lub roczna
    suma bilansowa min. € 10mln

    Sektory:

    • Usługi pocztowe i kurierskie
    • Gospodarowanie odpadami
    • Produkcja, wytwarzanie i dystrybucja chemikaliów
    • Produkcja, przetwarzania i dystrybucji żywności
    • Produkcja:
      • Wyrobów medycznych i wyrobów medycznych
        do diagnostyki in vitro
      • Komputerów, wyrobów elektronicznych i optycznych
      • Urządzeń elektrycznych
      • Maszyn i urządzeń
      • Pojazdów samochodowych, przyczep i naczep
      • Sprzętu transportowego
    • Dostawcy usług cyfrowych
    • Organizacje badawcze
    • Podmioty średnie z sektorów wskazanych
      dla podmiotów kluczowych

Zmiany w zakresie cyberbezpieczeństwa:
Jakie środki bezpieczeństwa wprowadza NIS 2?

Wymogi dyrektywy NIS 2 dotyczą nie tylko technicznych aspektów bezpieczeństwa,
ale również wymagają od organizacji zwiększenia świadomości i szkolenia personelu
w zakresie potencjalnych zagrożeń cybernetycznych.

Środki bezpieczeństwa wymagane przez NIS 2: 

  • Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe.
  • Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnienie.
  • Szkolenia w zakresie cyberbezpieczeństwa.
  • Procedury stosowania kryptografii i w stosownych przypadkach szyfrowania.
  • Bezpieczeństwo zasobów ludzkich i zarządzanie aktywami.
  • Stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmioty w sytuacjach nadzwyczajnych.

ZARZĄDZANIE

RYZYKIEM

Proces Asset Management wspiera zgodność z dyrektywą NIS 2 poprzez umożliwienie ciągłego monitorowania stanu zasobów oraz identyfikację wszelkich nieprawidłowości lub zagrożeń. Efektywne zarządzanie zasobami pozwala na szybkie reagowanie na incydenty oraz minimalizowanie potencjalnych skutków ataków cybernetycznych.

Przy użyciu modułu MDM (Mobile Device Management) możemy zdalnie zarządzać urządzeniami mobilnymi, jak i usunąć z nich dane firmowe w przypadku zgubienia lub kradzieży.

Jakie polityki bezpieczeństwa będą konieczne?

Polityka zarządzania ryzykiem

Odnosząca się do identyfikacji, analizy, oceny
i minimalizacji ryzyka związanego z cyberbezpieczeństwem

Polityka obsługi incydentu

Służyć będzie prawidłowej obsłudze incydentu i obejmować będzie fazy wykrycia, reakcji, raportu, wniosków i działań następczych.
Jej elementem będzie część dot. Zgłaszana incydentów do odpowiednich organów.

Polityka bezpieczeństwa łańcucha dostaw

Odnosić się będzie do wymogów stawianych podmiotom zewnętrznym przy współpracy

Polityka cyberhigieny

Służyć będzie wdrożeniu
i przestrzegani ogólnych zasad dotyczących cyberbezpieczeństwa – powinna być przewodnikiem dla pracowników.

Polityka kontroli dostępu

Regulować będzie kwestie związane z dostępem fizycznym
i logicznym

OXARI ASSET MANAGEMENT POMOŻE CI ZEBRAĆ WSZYSTKO W JEDNYM MIEJSCU

Z pomocą tego modułu nie tylko będziesz wiedział kto jaki sprzęt posiada, ale również pozwoli Ci to zebrać wszystkie najważniejsze informacje o firmie w jednym, bezpiecznym miejscu. Tworzenie i zarządzanie wymaganymi przez NIS2 politykami nigdy nie sprawi Ci problemu.

Wdrożenie wymogów dyrektywy NIS 2:
praktyczne kroki dla podmiotów objętych regulacją.

Na początku niezbędne jest przeprowadzenie szczegółowej analizy, która pozwoli zidentyfikować obszary wymagające poprawy w kontekście zgodności z dyrektywą.

Podmioty kluczowe oraz dostawcy usług kluczowych, zarówno w sektorze publicznym, jak i prywatnym, muszą dokładnie przeanalizować swoje obecne środki bezpieczeństwa i procedury reagowania na incydenty, aby określić, gdzie konieczne są zmiany lub ulepszenia. Następnie, opracowanie lub aktualizacja planu zarządzania ryzykiem cybernetycznym staje się kluczowym krokiem, który powinien uwzględniać zarówno aspekty techniczne, jak i organizacyjne bezpieczeństwa informacji.

Implementacja wymogów dyrektywy wymaga także stałego monitorowania i przeglądu wdrożonych środków bezpieczeństwa, co zapewnia, że organizacje mogą szybko reagować na nowe zagrożenia i zmieniające się warunki. Współpraca z krajowym systemem cyberbezpieczeństwa i innymi podmiotami objętymi dyrektywą NIS2 jest niezbędna do wymiany informacji o zagrożeniach i najlepszych praktykach.

Ostatnim krokiem są szkolenia dla personelu, regularne testy penetracyjne i audyty bezpieczeństwa, które pomagają utrzymać wysoki poziom gotowości i odporności na cyberataki.

Zarządzanie incydentami w świetle dyrektywy NIS2: obowiązki i wyzwania dla podmiotów.

Implementacja Dyrektywy NIS2 stawia przed podmiotami kluczowymi nowe obowiązki
w zakresie zarządzania incydentami. Zgodnie z dyrektywą Parlamentu Europejskiego, każdy podmiot kluczowy musi być przygotowany na szybkie identyfikowanie, raportowanie i reagowanie na incydenty cybernetyczne. To zobowiązanie wymaga od organizacji nie tylko wdrożenia skutecznych procedur i systemów zarządzania incydentami, ale również zapewnienia, że ich personel jest odpowiednio przeszkolony do działania w sytuacjach kryzysowych.

Zgłaszanie incydentów

Jednym z najważniejszych obowiązków na tle regulacji NIS2 jest obowiązek zgłaszania bez zbędnej zwłoki poważnych incydentów w zakresie cyberbezpieczeństwa do CERT.

Jakie kryteria musi spełnić incydent, aby był uznany
za poważne, a tym samym, aby powstał obowiązek jego zgłoszenia do CERT?

Spowodował lub może spowodować dotkliwe zakłócenia usług lub straty finansowe dla danego podmiotu 

Wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.

Proces zgłaszania incydentów:

01

Zgłosić wstępne ostrzeżenie, w którym wskazuje się, czy poważny incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie.

02

Ostateczne zgłoszeni incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie.

03

Inny termin obowiązuje jedynie dostawców usług zaufania, ponieważ ostatecznego zgłoszenia incydentu muszą oni dokonać bez zbędnej zwłoki, a w każdy razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie.

OXARI SERVICE DESK

ServiceDesk, jako jeden z głównych modułów systemu OXARI, pozwala na kategoryzację typów obsługiwanych zgłoszeń. Jednym z nich jest incydent bezpieczeństwa. Istotą sprawy przekładającą się na realną korzyść jest możliwość opisania procesu, który narzuci systemowy sposób obsługi zgłoszenia tego typu.

Zgłaszaj incydenty w prawidłowy sposób i przechowuj dane, na wypadek kontroli lub poważnego zdarzenia.

Weryfikacja, obowiązki i kary w dyrektywie NIS2

Podmioty będą musiały samodzielnie weryfikować, czy spełniają warunki, decydujące o tym czy jest są podmiotem kluczowym lub ważnym czy nie bądź czy działają w sektorze kluczowym lub ważnym czy nie.

Podmioty objęte dyrektywą mają w obowiązku ocenić ryzyko w swojej organizacji, a następnie zastosować środki adekwatne i wprost proporcjonalne do tego zidentyfikowanego ryzyka wystąpienia incydentu cyberbezpieczeństwa.

Kary za uchylanie się od spełnienia nowych obowiązków to:

Podmioty kluczowe
– do 10 mln euro lub 2% łącznego światowego obrotu.

Podmioty ważne 
– do 7 mln euro lub 1.4% łącznego światowego obrotu w poprzednim roku.

Find out more about OXARI

TRY FREE DEMO

Polecane

OXARI to uniwersalna platforma pozwalająca na wdrożenie profesjonalnego systemu klasy ITSM zgodnie ze standardem ITIL.

TRY FREE DEMO
  • Bezpłatny dostęp do wersji demo

    Poznaj OXARI
    za darmo

  • Możliwość testu we własnym środowisku

  • Wsparcie techniczne

  • 30 dni

Dzięki OXARI zautomatyzowaliśmy pracę działu IT. Intuicyjny interfejs oraz swoboda w dostosowaniu aplikacji pod indywidualne potrzeby całej organizacji jest kluczowym atutem oprogramowania wspierającego usługi Asset Management.

Filip Kielban
Kierownik Projektów IT

1

Wybierz produkty

2

Formularz

3

Gotowe

Wybierz produkty

OXARI AI
Sztuczna inteligencja
OXARI ServiceDesk
Incydenty, problemy, analiza SLA
Workflow
(opcjonalnie)
Knowledge Base
(opcjonalnie)
OXARI CMDB
Centralna baza konfiguracji
OXARI Asset Management
Inwentaryzacja zasobów
OXARI MDM
Zarządzanie urządzeniami mobilnymi
Centralny Rejestr Umów
Baza wiedzy, zarządzanie dokumentacją
Sygnalista
Obsługa wniosków oraz akceptacji

Wybierz produkty

2

Formularz

3

Gotowe

Wypełnij formularz

Wybierz środowisko, na którym chcesz testować OXARI
On-premise
Instalacja na Twoim serwerze
Chmura OXARI
Dostęp do demo w chmurze producenta

    Po zapoznaniu się z Klauzulą informacyjną

    Wybierz produkty

    Formularz

    3

    Gotowe

    Dziękujemy za wybranie OXARI.
    Skontaktujemy się z Tobą w ciągu kilku godzin.

    Chcesz poznać indywidualną wycenę,
    skrojoną na miarę Twoich potrzeb?