NIS2. Najważniejsze obowiązki dla podmiotów kluczowych.

Dyrektywa NIS2 (Network and Information Systems Directive) to unijne rozporządzenie mające na celu wzmocnienie cyberbezpieczeństwa w państwach członkowskich Unii Europejskiej. Od daty wejścia w życie Dyrektywy, czyli 16 stycznia 2023 r., Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego. Nowe przepisy powinny być stosowane we wszystkich krajach Unii Europejskiej od 18 października 2024 r.

Dyrektywa NIS2 wprowadza szereg nowych wymagań dla firm i instytucji w zakresie zarządzania bezpieczeństwem sieci i systemów informacyjnych. Celem jest ochrona infrastruktury krytycznej przed cyberzagrożeniami, które mogą mieć poważne konsekwencje dla społeczeństwa i gospodarki.

Rozszerzenie zakresu podmiotów objętych regulacjami – NIS2 obejmuje nie tylko sektory tradycyjnie związane z infrastrukturą krytyczną, takie jak energetyka czy transport, ale także usługi cyfrowe, sektor finansowy oraz firmy z sektora zdrowia, które muszą przestrzegać wyższych standardów bezpieczeństwa.

Na początku należy określić kogo obejmują zapisy tego rozporządzenia:

• dostawców usług DNS,
• rejestrów nazw TLD (z ang. Top Level Domain),
• dostawców usług przetwarzania w chmurze,
• dostawców usług centrów danych,
• dostawców sieci dostarczania treści,
• dostawców usług zarządzanych,
• dostawców zarządzanych usług bezpieczeństwa,
• dostawców internetowych platform handlowych, wyszukiwarek internetowych,
• platform usług sieci społecznościowych,
• dostawców usług zaufania.

Nawet jeśli systemy jakich jesteśmy użytkownikiem lub oferentem nie należą do wyżej wymienionych grup to i tak powinniśmy stosować zalecenia wymienione w tym projekcie.

Obowiązki w zakresie zarządzania ryzykiem i incydentami – Podmioty objęte dyrektywą muszą wprowadzić procedury zarządzania ryzykiem oraz być gotowe do reagowania na incydenty związane z cyberbezpieczeństwem, w tym obowiązek zgłaszania poważniejszych incydentów w ciągu 24 godzin. Przyjrzyjmy się więc najpierw, co mieści się w pojęciu „incydent istotny” do ktorego odnoszą się nałożone obowiązki dla podmiotów.

Projekt dosyć obszernie określa jakie zdarzenie uznaje się za incydent istotny. Co za tym idzie, czy należy taki przypadek zgłosić do odpowiednich organów. Przy jego ocenie należy brać pod uwagę m.in.

• ilość użytkowników, na który ma wpływ dany incydent,
• czas niedostępności usługi oferowanej przed dany podmiot,
• szacowanie strat finansowych spowodowanych przez incydent,

Dokładne określenie czy incydent jest uznany jest uznany za istotny określa wystąpienie co najmniej jednego z poniższych kryteriów.

• stratę finansową przekraczającą 100 000 Euro lub 5% obrotu,
• znaczną szkodę dla reputacji danego podmiotu,
• wykradzenie tajemnicy handlowej,
• śmierć osoby fizycznej,
• uszczerbek na zdrowiu,

Ponadto incydent jest uznawany za istotny jeśli:

• nastąpił udany dostęp do sieci i systemów informatycznych,
• wystąpił co najmniej dwa razy w ciągu 6 miesięcy oraz miał tę samą przyczynę.

Uszczegółowiono czym są incydenty istotne m.in. dla dostawców usług przetwarzania w chmurze oraz dla dostawców zarządzanych usług bezpieczeństwa.

Incydent uznaje się za istotny jeśli zostanie spełniony jeden z poniższych kryteriów:

• • co najmniej jedna ze świadczonych usług przetwarzania danych w chmurze jest całkowicie niedostępna przez ponad 10minut,
  • usługa jest niedostępna dla ponad 5% użytkowników na terenie Unii Europejskiej lub ponad 1 milion użytkowników, w zależności, która z tych liczb będzie mniejsza,
  • Integralność, poufność i autentyczność przechowywanych, przesyłanych lub przetwarzanych danych jest zagrożona w wyniku złośliwego działania,

Podmioty objęte dyrektywą muszą wprowadzić procedury zarządzania ryzykiem oraz być gotowe do reagowania na incydenty związane z cyberbezpieczeństwem, w tym obowiązek zgłaszania poważniejszych incydentów w ciągu 24 godzin.

Załącznik do projektu traktuje o szczegółowych zasadach stosowania dyrektywy NIS2 w odniesieniu do zarządzania ryzykiem. Precyzuje wymogi techniczne i metodologiczne, o których mowa w artykule 21 Ust. 2 dyrektywy NIS2. Skupia się na 13 kluczowych obszarach zarządzania bezpieczeństwem cybernetycznym:

1. Polityka bezpieczeństwa sieci i systemów informatycznych:

Określa podejście do zarządzania bezpieczeństwem, cele, poziom tolerancji ryzyka i obowiązki. Polityka ta musi być regularnie aktualizowana i zatwierdzana przez organy zarządzające. Dokument wskazuje również na konieczność jasnego określenia ról, obowiązków i uprawnień w zakresie bezpieczeństwa, a także ich regularnego przeglądu.

2. Polityka zarządzania ryzykiem:

Nakazuje ustanowienie ram zarządzania ryzykiem, w tym przeprowadzanie oceny ryzyka i wdrożenie planu postępowania z nim. Szczegółowo opisuje proces zarządzania ryzykiem, w tym identyfikację zagrożeń, analizę ryzyka, wybór środków zaradczych i monitorowanie zgodności. Podkreśla również znaczenie niezależnego przeglądu bezpieczeństwa informacji i sieci.

3. Obsługa incydentów:

W tym obszarze rozporządzenie nakazuje stworzenie polityki obsługi incydentów, obejmującej procedury wykrywania, analizy, powstrzymywania i reagowania na incydenty. Dokument precyzuje też, jakie informacje powinny być rejestrowane w dziennikach zdarzeń.

4. Ciągłość działania i zarządzanie kryzysowe:

Dokument nakazuje stworzenie planu ciągłości działania i planu przywrócenia gotowości do pracy po wystąpieniu sytuacji nadzwyczajnej. Wskazuje na potrzebę regularnego testowania planów oraz zarządzania kopiami zapasowymi. Dodatkowo, rozporządzenie nakłada obowiązek wdrożenia procesów zarządzania kryzysowego, w tym jasne określenie ról i obowiązków w sytuacjach kryzysowych.

5.  Bezpieczeństwo łańcucha dostaw:

Dokument wskazuje na potrzebę stworzenia polityki bezpieczeństwa łańcucha dostaw, która określać będzie kryteria wyboru dostawców i usługodawców. Umowy z dostawcami powinny uwzględniać kwestie bezpieczeństwa cybernetycznego. Dokument precyzuje też, jakie informacje powinny być zawarte w katalogu dostawców i usługodawców.

6. Bezpieczeństwo nabywania, rozwijania i utrzymywania sieci i systemów informatycznych:

W tym kontekście, dokument wskazuje na potrzebę zarządzania ryzykiem w procesie nabywania usług ICT lub produktów ICT. Nakazuje również stosowanie zasad bezpiecznego rozwoju oprogramowania i systemów informatycznych. Dokument precyzuje też wymogi w zakresie zarządzania konfiguracją, zmianami, naprawami, konserwacją i testowaniem bezpieczeństwa. Wskazuje na obowiązek stosowania poprawek bezpieczeństwa oraz zarządzania lukami w zabezpieczeniach. Dokument szczegółowo opisuje również wymogi dotyczące bezpieczeństwa sieci, w tym segmentacji sieci i ochrony przed złośliwym oprogramowaniem.

7. Polityki i procedury oceny skuteczności środków zarządzania ryzykiem w cyberprzestrzeni:

Nakazuje stworzenie polityki i procedur oceny skuteczności wdrożonych środków bezpieczeństwa.

8. Podstawowe praktyki higieny cybernetycznej i szkolenia w zakresie bezpieczeństwa:

Wskazuje na potrzebę zapewnienia szkoleń i programów podnoszenia świadomości w zakresie cyberbezpieczeństwa dla wszystkich pracowników.

9. Kryptografia:

Nakazuje stworzenie polityki i procedur związanych z kryptografią, w tym zarządzaniem kluczami, w celu zapewnienia poufności, autentyczności i integralności informacji.

10. Bezpieczeństwo zasobów ludzkich:

Dokument precyzuje wymogi dotyczące bezpieczeństwa zasobów ludzkich, w tym weryfikacji przeszłości pracowników, procedur rozwiązania lub zmiany zatrudnienia oraz procesu dyscyplinarnego w przypadku naruszenia zasad bezpieczeństwa.

11. Kontrola dostępu:

Nakazuje stworzenie polityki kontroli dostępu, zarówno logicznej, jak i fizycznej. Wskazuje na potrzebę zarządzania prawami dostępu, w tym do kont uprzywilejowanych i kont administracji systemu. Precyzuje również wymogi dotyczące identyfikacji i uwierzytelniania użytkowników, w tym stosowania uwierzytelniania wieloskładnikowego.

12. Zarządzanie aktywami:

Dokument nakazuje stworzenie systemu klasyfikacji aktywów, w oparciu o ich wartość i poziom ryzyka. Wskazuje na potrzebę stworzenia polityki postępowania z informacjami i zasobami, w tym z wymiennymi nośnikami danych. Nakazuje również stworzenie i utrzymanie aktualnego spisu aktywów.

13. Bezpieczeństwo środowiskowe i fizyczne:

Wskazuje na potrzebę ochrony sieci i systemów informatycznych przed zagrożeniami fizycznymi i środowiskowymi, takimi jak klęski żywiołowe. Nakazuje również stosowanie kontroli dostępu fizycznego do obiektów, w których znajdują się sieci i systemy informatyczne.