Dyrektywa NIS2 – oprogramowanie, które pomoże Ci spełnić jej wymogi | OXARI
OXARI TEAM
24 maj 2024
Czym jest dyrektywa NIS 2?
Dyrektywa NIS 2, będąca rozwinięciem pierwotnej dyrektywy NIS, stanowi kluczowy element zwiększania cyberbezpieczeństwa w całej Unii Europejskiej. Wchodząc w życie, dyrektywa NIS 2 zobowiązuje państwa członkowskie do wdrożenia przepisów mających na celu ochronę krytycznej infrastruktury cyfrowej, a także określa, kogo dotyczą te nowe wymogi.
Jako istotny element wprowadza zaktualizowane wymogi dotyczące zarządzania ryzykiem cybernetycznym, rozszerza zakres podmiotów objętych regulacją i zaostrza obowiązki w zakresie raportowania incydentów.
Dyrektywa NIS 2 a zarządzanie ryzykiem
w zakresie cyberbezpieczeństwa
Implementacja dyrektywy NIS 2 znacząco przekształca podejście do zarządzania ryzykiem przez wprowadzenie bardziej rygorystycznych wymogów.
Ważnym aspektem jest wymóg, aby dostawcy usług cyfrowych oraz operatorzy usług kluczowych dokładnie analizowali potencjalne zagrożenia i stosowali odpowiednie środki zarządzania ryzykiem w cyberbezpieczeństwie, co obejmuje zarówno aspekty techniczne, jak i organizacyjne.
Na mocy dyrektywy parlamentu europejskiego, zwiększa się również presja na państwa członkowskie, aby te wprowadziły zmiany w funkcjonowaniu organizacji.
Dyrektywę uchwalono 14 grudnia 2022 r., weszła w życie 17 stycznia 2023 r., natomiast jej wymagania będzie trzeba spełnić do połowy października 2024 r.
Kogo będzie dotyczyć dyrektywa NIS2?
Podmioty duże
Co najmniej 250 osób
Roczne obroty lub roczna
suma bilansowa min. € 50mln
Sektory:
Energetyczny
Transportowy
Bankowość
Rynki finansowe
Opieka zdrowotna
Woda pitna
Ścieki
Infrastruktura cyfrowa
Usługi ICT
Dostawcy publicznej sieci łączności elektronicznej
Przestrzeń kosmiczna
Podmioty średnie
Co najmniej 50 osób
Roczne obroty lub roczna
suma bilansowa min. € 10mln
Sektory:
Usługi pocztowe i kurierskie
Gospodarowanie odpadami
Produkcja, wytwarzanie i dystrybucja chemikaliów
Produkcja, przetwarzania i dystrybucji żywności
Produkcja:
Wyrobów medycznych i wyrobów medycznych
do diagnostyki in vitro
Komputerów, wyrobów elektronicznych i optycznych
Urządzeń elektrycznych
Maszyn i urządzeń
Pojazdów samochodowych, przyczep i naczep
Sprzętu transportowego
Dostawcy usług cyfrowych
Organizacje badawcze
Podmioty średnie z sektorów wskazanych
dla podmiotów kluczowych
Zmiany w zakresie cyberbezpieczeństwa: Jakie środki bezpieczeństwa wprowadza NIS 2?
Wymogi dyrektywy NIS 2 dotyczą nie tylko technicznych aspektów bezpieczeństwa,
ale również wymagają od organizacji zwiększenia świadomości i szkolenia personelu
w zakresie potencjalnych zagrożeń cybernetycznych.
Środki bezpieczeństwa wymagane przez NIS 2:
Ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe.
Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnienie.
Szkolenia w zakresie cyberbezpieczeństwa.
Procedury stosowania kryptografii i w stosownych przypadkach szyfrowania.
Bezpieczeństwo zasobów ludzkich i zarządzanie aktywami.
Stosowanie uwierzytelnienia wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmioty w sytuacjach nadzwyczajnych.
Odnosząca się do identyfikacji, analizy, oceny
i minimalizacji ryzyka związanego z cyberbezpieczeństwem
Polityka obsługi incydentu
Służyć będzie prawidłowej obsłudze incydentu i obejmować będzie fazy wykrycia, reakcji, raportu, wniosków i działań następczych.
Jej elementem będzie część dot. Zgłaszana incydentów do odpowiednich organów.
Polityka bezpieczeństwa łańcucha dostaw
Odnosić się będzie do wymogów stawianych podmiotom zewnętrznym przy współpracy
Polityka cyberhigieny
Służyć będzie wdrożeniu
i przestrzegani ogólnych zasad dotyczących cyberbezpieczeństwa – powinna być przewodnikiem dla pracowników.
Polityka kontroli dostępu
Regulować będzie kwestie związane z dostępem fizycznym
i logicznym
Na początku niezbędne jest przeprowadzenie szczegółowej analizy, która pozwoli zidentyfikować obszary wymagające poprawy w kontekście zgodności z dyrektywą.
Podmioty kluczowe oraz dostawcy usług kluczowych, zarówno w sektorze publicznym, jak i prywatnym, muszą dokładnie przeanalizować swoje obecne środki bezpieczeństwa i procedury reagowania na incydenty, aby określić, gdzie konieczne są zmiany lub ulepszenia. Następnie, opracowanie lub aktualizacja planu zarządzania ryzykiem cybernetycznym staje się kluczowym krokiem, który powinien uwzględniać zarówno aspekty techniczne, jak i organizacyjne bezpieczeństwa informacji.
Implementacja wymogów dyrektywy wymaga także stałego monitorowania i przeglądu wdrożonych środków bezpieczeństwa, co zapewnia, że organizacje mogą szybko reagować na nowe zagrożenia i zmieniające się warunki. Współpraca z krajowym systemem cyberbezpieczeństwa i innymi podmiotami objętymi dyrektywą NIS2 jest niezbędna do wymiany informacji o zagrożeniach i najlepszych praktykach.
Ostatnim krokiem są szkolenia dla personelu, regularne testy penetracyjne i audyty bezpieczeństwa, które pomagają utrzymać wysoki poziom gotowości i odporności na cyberataki.
Zarządzanie incydentami w świetle dyrektywy NIS2: obowiązki i wyzwania dla podmiotów.
Implementacja Dyrektywy NIS2 stawia przed podmiotami kluczowymi nowe obowiązki
w zakresie zarządzania incydentami. Zgodnie z dyrektywą Parlamentu Europejskiego, każdy podmiot kluczowy musi być przygotowany na szybkie identyfikowanie, raportowanie i reagowanie na incydenty cybernetyczne. To zobowiązanie wymaga od organizacji nie tylko wdrożenia skutecznych procedur i systemów zarządzania incydentami, ale również zapewnienia, że ich personel jest odpowiednio przeszkolony do działania w sytuacjach kryzysowych.
Zgłaszanie incydentów
Jednym z najważniejszych obowiązków na tle regulacji NIS2 jest obowiązek zgłaszania bez zbędnej zwłoki poważnych incydentów w zakresie cyberbezpieczeństwa do CERT.
Jakie kryteria musi spełnić incydent, aby był uznany za poważne, a tym samym, aby powstał obowiązek jego zgłoszenia do CERT?
Spowodował lub może spowodować dotkliwe zakłócenia usług lub straty finansowe dla danego podmiotu
Wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Proces zgłaszania incydentów:
01
Zgłosić wstępne ostrzeżenie, w którym wskazuje się, czy poważny incydent został wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny bez zbędnej zwłoki, a w każdym razie w ciągu 24 godzin od powzięcia wiedzy o poważnym incydencie.
02
Ostateczne zgłoszeni incydentu bez zbędnej zwłoki, a w każdym razie w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie.
03
Inny termin obowiązuje jedynie dostawców usług zaufania, ponieważ ostatecznego zgłoszenia incydentu muszą oni dokonać bez zbędnej zwłoki, a w każdy razie w ciągu 24 godzin od powzięcia informacji o takim poważnym incydencie.
OXARI SERVICE DESK
ServiceDesk, jako jeden z głównych modułów systemu OXARI, pozwala na kategoryzację typów obsługiwanych zgłoszeń. Jednym z nich jest incydent bezpieczeństwa. Istotą sprawy przekładającą się na realną korzyść jest możliwość opisania procesu, który narzuci systemowy sposób obsługi zgłoszenia tego typu.
Zgłaszaj incydenty w prawidłowy sposób i przechowuj dane, na wypadek kontroli lub poważnego zdarzenia.
Podmioty będą musiały samodzielnie weryfikować, czy spełniają warunki, decydujące o tym czy jest są podmiotem kluczowym lub ważnym czy nie bądź czy działają w sektorze kluczowym lub ważnym czy nie.
Podmioty objęte dyrektywą mają w obowiązku ocenić ryzyko w swojej organizacji, a następnie zastosować środki adekwatne i wprost proporcjonalne do tego zidentyfikowanego ryzyka wystąpienia incydentu cyberbezpieczeństwa.
Kary za uchylanie się od spełnienia nowych obowiązków to:
Podmioty kluczowe
– do 10 mln euro lub 2% łącznego światowego obrotu.
Podmioty ważne
– do 7 mln euro lub 1.4% łącznego światowego obrotu w poprzednim roku.
Dzięki OXARI zautomatyzowaliśmy pracę działu IT. Intuicyjny interfejs oraz swoboda w dostosowaniu aplikacji pod indywidualne potrzeby całej organizacji jest kluczowym atutem oprogramowania wspierającego usługi Asset Management.
Filip Kielban Kierownik Projektów IT
1
Wybierz produkty
2
Formularz
3
Gotowe
Wybierz produkty
OXARI AI
Sztuczna inteligencja
OXARI ServiceDesk
Incydenty, problemy, analiza SLA
Workflow
(opcjonalnie)
Knowledge Base
(opcjonalnie)
OXARI CMDB
Centralna baza konfiguracji
OXARI Asset Management
Inwentaryzacja zasobów
OXARI MDM
Zarządzanie urządzeniami mobilnymi
Centralny Rejestr Umów
Baza wiedzy, zarządzanie dokumentacją
Sygnalista
Obsługa wniosków oraz akceptacji
Wybierz produkty
2
Formularz
3
Gotowe
Wypełnij formularz
Wybierz środowisko, na którym chcesz testować OXARI
Chmura OXARI
Ogólne środowisko demo.
Chmura OXARI
Dedykowane środowisko demo.
On-premise
Instalacja w Twojej infrastrukturze realizowana przez nasz zespół konsultantów.
Wybierz produkty
Formularz
3
Gotowe
Dziękujemy za wybranie OXARI. Skontaktujemy się z Tobą w ciągu kilku godzin.
Chcesz poznać indywidualną wycenę, skrojoną na miarę Twoich potrzeb?
Wykorzystujemy pliki cookie do spersonalizowania treści i reklam, aby oferować funkcje społecznościowe i analizować ruch w naszej witrynie. Informacje o tym, jak korzystasz z naszej witryny, udostępniamy partnerom społecznościowym, reklamowym i analitycznym. Partnerzy mogą połączyć te informacje z innymi danymi otrzymanymi od Ciebie lub uzyskanymi podczas korzystania z ich usług.