18 sektorów gospodarki musi usprawnić narzędzia informatyczne chroniące przed cyberatakami
Dyrektywa Unii Europejskiej w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (NIS2) ma duże znaczenie dla poprawy cyberbezpieczeństwa UE. Jej wejście w życie nastąpiło w styczniu 2023 r. - z terminem na dostosowanie niezbędnych do wykonania niniejszej dyrektywy przepisów krajowych do 18 października 2024 r. Dyrektywa ma na celu wzmocnienie cyberbezpieczeństwa w kluczowych sektorach. Od energetyki po opiekę zdrowotną, od bankowości po infrastrukturę cyfrową. Spełnienie wymogów dyrektywy NIS2 jest nie tylko wskazane, ale wręcz konieczne, ponieważ grzywny sięgają nawet 10 milionów euro lub 2% łącznego rocznego obrotu w poprzednim roku przedsiębiorstwa, do którego należy podmiot kluczowy, a dyrektorzy najwyższego szczebla są pociągani do osobistej odpowiedzialności. Więcej informacji na temat motywów wprowadzenia dyrektywy można znaleźć. Kto powinien przygotować się do działania w zgodzie z NIS2- analizuje Michał Borowiecki, dyrektor Netskope na Polskę i Europę Wschodnią.
Dyrektywa NIS2, która ma szerszy zakres niż jej poprzedniczka (NIS), obejmuje obecnie 18 sektorów, w tym przedsiębiorstwa i organizacje świadczące usługi, które są niezbędne dla sprawnego funkcjonowania UE na poziomie społecznym i gospodarczym. Dotyczy to sektorów energetyki, opieki zdrowotnej, finansów i kilku podobnych . Lista sektorów została podzielona na dwie kategorie: sektory kluczowe i sektory ważne. Oczekuje się, że zarówno kluczowe, jak i ważne podmioty będą spełniać te same standardy bezpieczeństwa, ale sposób ich karania i nadzorowania jest różny i zwykle zależy od wielkości organizacji. Jeśli firma zostanie sklasyfikowana jako kluczowa, będzie podlegać proaktywnemu nadzorowi, który ma na celu upewnienie się, że spełnia wszystkie wymogi dyrektywy.
Jeśli zaś przedsiębiorstwo zostanie sklasyfikowane jako ważny, będzie objęte jedynie nadzorem reaktywnym, który zostanie uruchomiony tylko wtedy, gdy władze otrzymają dowody braku przestrzegania przepisów. Jakie obszary powinny być monitowane w ramach dyrektwy NIS2: Zapobieganie, wykrywanie i reagowanie na incydenty, utrzymanie ciągłości działania i zarządzanie kryzysowe, bezpieczeństwo łańcucha dostaw, cyberhigiena oraz szkolenia, bezpieczeństwo sieci i systemów informacyjnych, polityka zarządzania i zgłaszania podatności, bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami, uwierzytelnianie wieloskładnikowe oraz ciągłe stosowanie kryptografii i szyfrowania.
Jak widzieliśmy w przypadku RODO, inne kraje mogą również pójść za przykładem unijnych rozwiązań i wymagać od organizacji wdrożenia podobnej podstawowej ochrony cybernetycznej i kontroli zarządzania ryzykiem. Nie zapominajmy też o efekcie domina w łańcuchu dostaw. Ponieważ NIS2 obejmuje szerokie spektrum podmiotów, wiele organizacji będzie potrzebować swoich partnerów, aby podnieść poziom bezpieczeństwa. Może się więc okazać, że firma z innego sektora zostanie zmuszona do przestrzegania przepisów, ponieważ jej klienci to robią.
Co zrobić aby wdrożyć dyrektywę i ochronić firmę przed cyberatakami. Żadna pojedyncza platforma informatyczna nie pokryje w pełni wszystkich 10 minimalnych środków bezpieczeństwa wymaganych przez NIS2. Ale tego należy się spodziewać w przypadku każdej regulacji. Na pewno w tym wypadku mogą pomóc rozwiązania klasy SASE. Pomagają one wdrożyć podstawowe praktyki ochrony cybernetycznej, takie jak zasady zerowego zaufania,
aktualizacje oprogramowania, konfiguracja urządzeń, segmentacja sieci, zarządzanie
tożsamością i dostępem oraz świadomość użytkowników. Platformy typu SASE pomogą
rozwiązać takie:
- Kompleksowa implementacja zasad: Platforma SASE oferuje narzędzia do
mapowania, inwentaryzacji i zabezpieczania krytycznych systemów informatycznych
(CIS) w środowiskach internetowych, chmurowych i lokalnych, w tym oceny
bezpieczeństwa, audyty i opcje automatycznej naprawy usług w chmurze. - Zaawansowana obsługa incydentów: Rozwiązanie wspiera zarządzanie incydentami z
kontrolami łagodzącymi w celu powstrzymania zagrożeń i wykorzystuje zarówno
wykrywanie oparte na podpisach, jak i bez nich, aby zapobiegać złośliwym działaniom
w sieciach i systemach CIS. - Ciągłość działania: Platforma potrafi zapewnić niezawodność operacyjną z
dostępnością na poziomie 99,999%, zgodnie z wymaganiami NIS2 dotyczącymi
zarządzania ciągłością działania podczas incydentów bezpieczeństwa. - Bezpieczeństwo łańcucha dostaw: Rozwiązanie pomaga w identyfikacji zagrożeń
bezpieczeństwa w łańcuchu dostaw, zwłaszcza w przypadku usług wdrażanych za
pośrednictwem chmury, i ocenia stan bezpieczeństwa ponad 80 000 dostawców
usług w chmurze (w przypadku platformy Netskope) za pomocą wskaźnika Cloud
Confidence Index. - Solidne środki bezpieczeństwa: Dzięki możliwościom SASE zapewnione są bezpieczne
połączenia i dostęp do sieci i systemów informatycznych, stosując zasady zerowego
zaufania i zapewniając zarówno kontrolę zagrożeń, jak i ochronę danych w celu
zabezpieczenia przed cyberatakami.
NIS2 ustawia wysoko poprzeczkę dla standardów cyberbezpieczeństwa, a termin dla
organizacji na dostosowanie swoich systemów zabezpieczeń zbliża się wielkimi krokami.
Kiedy jednak zacznie się analizować inwestycje w bezpieczeństwo w okresie poprzedzającym
termin 18 października 2024 r., warto skorzystać z okazji, aby wyeliminować niepotrzebne
wydatki i stworzyć ekosystem cyberbezpieczeństwa, w którym każdy komponent nie tylko
działa dobrze, ale także uzupełnia się i integruje ze sobą.