Wdrożenie Postanowień Dyrektywy NIS2 – Jak Skutecznie Ograniczać Ryzyko Ataków Cyberprzestępców

Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA.

Jakie Korzyści Niosą ze Sobą te Zmiany i co Oznaczają One dla Bezpieczeństwa Naszych Klientów?

Dyrektywa NIS2 ma wg. Komisji Europejskiej za zadanie wskazanie minimalnego poziomu przepisów i wymagań wśród krajów członkowskich, aby skutecznie ograniczać ryzyko wystąpienia incydentu w zakresie cyberbezpieczeństwa. Jednocześnie została przyjęta DORA, która zaostrza wymagania dotyczące bezpieczeństwa cybernetycznego, również w sektorze finansowym. Można więc powiedzieć, że rozporządzenie DORA to przepisy szczegółowe (nadrzędne) w odniesieniu do NIS2.

NIS2 jako dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej skupia się na trzech obszarach: na zabezpieczeniu systemów informacyjnych, postępowaniu z incydentami bezpieczeństwa oraz na monitorowaniu łańcucha dostaw w kontekście krajów pochodzenia.

Idąc dalej, w kontekście wymagań należy przygotować się na konieczność zdefiniowania, co będzie incydentem cyberbezpieczeństwa, a co będzie poważnym incydentem, który trzeba będzie zgłaszać do właściwego organu (CSIRT). Te zgłoszenia będą przebiegały zgodnie z trzyetapową procedurą (zawiadomienie wstępne – raport śródokresowy – sprawozdanie końcowe). Ponadto, na końcu obsługi incydentu może pojawić się konieczność usunięcia podatności, która doprowadziła do incydentu poważnego.

Zapowiadane zmiany to jedynie ewolucja. W 2016 roku wprowadzono w życie dyrektywę NIS, jednak jak okazało się podczas wielu audytów i kontroli, egzekucja tych wymagań w poszczególnych krajach członkowskich pozostawiała wiele do życzenia.

Unijny ustawodawca dostrzegł więc potrzebę bardziej jednolitego i zdecydowanego podejścia, zwłaszcza iż od tego czasu częściej korzystamy z różnych usług internetowych, także serwisów rządowych. Rozwinęły się nowe rozwiązania chmurowe, czy SaaS, chętniej korzystamy z rozwiązań IoT, i co za tym idzie, zwiększyła się też liczba ataków w tym ransomware.

Kluczowe Korzyści z Wdrożenia Dyrektywy NIS2 w Zakresie Cyberbezpieczeństwa

Wdrożenie postanowień NIS2 niesie za sobą szereg korzyści dla państw członkowskich i podmiotów na terenie całej Unii. Oto najważniejsze z nich:

• lepsza ochrona i zabezpieczenie sieci i systemów przed cyberatakami,

• minimalizacja skutków cyberzagrożeń,

• wzrost zaufania do cyfrowego rynku UE,

• lepsza konkurencyjność krajów UE na rynku dzięki wzrostowi zabezpieczeń.

Mając świadomość, że NIS2 znacząco wpłynie na rozwój cyberbezpieczeństwa, w wielu firmach (według PwC obejmie ona ponad 6 tysięcy podmiotów działających w 18 różnych sektorach gospodarki) warto zastanowić się nad powodami wprowadzenia tak szeroko zakrojonych zmian.

Jednym z nich jest ciągle zwiększający się trend ataków ransomware, które dotykają różne organizacje niemal codziennie. Przykładowo, wg. raportu M-Trends stworzonego przez Madiant w 2023r. liczba dochodzeń związanych z atakami ransomware zwiększyła się o 5% (z 18% na 23%).  Co więcej, już w samym 2024 roku odnotowano ponad 3 tysiące ofiar tego złośliwego oprogramowania, w tym 15 firm z Polski.

Głównymi wektorami takich incydentów było wykorzystywanie exploitów na różne publiczne usługi bądź phishing. Sam Mandiant w swoim raporcie M-Trends zaznaczył że śledzi poczynania ponad 4 tysięcy grup, gdzie prawie 1/4 to grupy rozpoznane w 2023r. Te informacje wskazują na ciągły rozwój cyberprzestępczości i pokazują, że warto zawczasu odpowiednio się zabezpieczyć.

Sprawdźmy więc, jak NIS2 pomoże zneutralizować wiele dzisiejszych ataków.

Do najważniejszych punktów można tu zaliczyć:

• cyberhigiena oraz szkolenia pracowników – niezależnie czy to pracownik BOK czy administrator – wszyscy pracownicy powinni regularnie przechodzić szkolenia z cyberbezpieczeństwa jak i codziennej cyberhigieny czy reagowania na incydenty. Bardzo często to właśnie phishing bądź uruchomienie złośliwego oprogramowania pozwala cyberprzestępcy na pierwszy dostęp do atakowanej sieci.
• bezpieczeństwo łańcucha dostaw – każdy nowoczesny system korzysta z wielu oprogramowań firm trzecich, integracji itp. Co jeśli jeden z takich elementów zostanie zhakowany, w następstwie czego pobierzemy złośliwą aktualizacje? Jest to powód, dlaczego NIS2 wymaga odpowiedniego bezpieczeństwa całego łańcucha dostaw.
• procedury – niezależnie czy jest to procedura BCP, DRP czy procedura obsługi incydentów warto zawczasu przygotować oraz posiadać odpowiednie procesy cyberbezpieczeństwa. Oprócz tego że są one przydatne przy wielu audytach, to pozwolą Ci na szybką reakcję w przypadku incydentu bezpieczeństwa (w przypadku ćwiczeń reakcji na takie incydenty warto zastanowić się nad sesjami table top).
• systemy bezpieczeństwa – jest to jeden z ważniejszych punktów zwłaszcza, że w dzisiejszych czasach bez odpowiednio dobranych systemów bezpieczeństwa, nie możemy mówić o dojrzałości firmy właśnie w tych kwestiach.Więcej informacji na temat systemów bezpieczeństwa znajdziesz w naszym artykule: CyberLabs #9: Cyberbezpieczeństwo w Firmie – Jak Zabezpieczyć Sieć przed Atakiem?

Nieprzestrzeganie wytycznych NIS2 może powodować duże kary pieniężne, dlatego warto zawczasu zweryfikować, czy podlegamy pod tę dyrektywę oraz czy nie jesteśmy w łańcuchu dostaw podlegających pod NIS2. Jeśli okaże się, że ta dyrektywa nas nie dotyczy to i tak warto podjąć działania mające na celu zwiększenie cyberbezpieczeństwa.

Kiedy Wejdą w Życie Przepisy NIS2 w Polsce?

Okres na wdrożenie NIS2 do krajowych porządków prawnych mija 17 października 2024 r. To bardzo mało czasu, ale też nie są to przełomowe zmiany. Mamy do czynienia z regulacjami, które stanowią ewolucję istniejącego systemu. Nasz zespół prawny już od dłuższego czasu pracuje nad tym, aby jak najlepiej przygotować nas do nadchodzących zmian. Jako organizacja certyfikowana w zakresie ISO 27001 i 27018 chcemy być wzorem doskonalenia procesów w zakresie bezpieczeństwa informacji w naszej branży.

Znamy dyrektywę NIS2, znana jest nam ustawa o Krajowym Systemie Cyberbezpieczeństwa (w KSC** znajdują się regulacje dot. operatorów usług kluczowych, poprzedników „podmiotów kluczowych”), znamy pierwszy projekt ustawy wdrażającej NIS-2 (czyli projekt nowelizacji KSC) jak i różnorodne wytyczne ENISA na temat zarządzania ryzykiem. Z projektu nowelizacji KSC można wnioskować, że w porównaniu z obowiązującą KSC obowiązki spoczywające dotychczas na operatorach usług kluczowych zostaną rozszerzone na wszystkie podmioty kluczowe i ważne, jak również poszerzone o kwestie ujęte z dyrektywy NIS2.

W związku z powyższym możemy przyjąć, że w obowiązkach, które obciążą podmioty kluczowe i ważne, nie powinno być większych niespodzianek. Można zaryzykować twierdzenie, że największą zmianą jest objęcie KSC całych nowych sektorów obowiązkami w zakresie zarządzania ryzykiem i zgłaszania incydentów.

Niemniej jednak proces legislacyjny w Polsce dopiero nabiera tempa. Zakończyliśmy etap konsultacji publicznych projektu, a nasi prawnicy aktywnie uczestniczą w pracach izb. Choć projekt nowelizacji KSC może zmienić się w porównaniu z aktualnym, raczej nie dojdzie do zaostrzenia obowiązków w porównaniu z obecnym projektem nowelizacji, a co najwyżej liberalizacji tych obowiązków – do czego dążą przedsiębiorcy.

**KSC, czyli Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym.

Etapy Wdrożenia NIS2

NIS2 jako inicjatywa na rzecz wspólnego poziomu cyberbezpieczeństwa w całej Unii istotnie zwiększa zakres obowiązywania wymagań na kolejne sektory i podmioty. Dotyczy wszystkich podmiotów, które mają więcej niż 50 pracowników i przekraczają roczny obrót 10 mln Euro. Zostały one podzielone na dwie kategorie: podmioty kluczowe i ważne. Każda kategoria ma swoje wytyczne. Przypominamy, że sektora finansowego NIS2 nie dotyczy – tutaj będzie miało zastosowanie rozporządzenie DORA.

Nasz proces wdrożenia NIS2 i DORA w Vercom podzieliliśmy na etapy: 

• po pierwsze klasyfikacja podmiotem z jakiej kategorii jesteśmy,
• po drugie określenie zakresu usług Vercom podlegających pod usługi wskazane w NIS2,
• po trzecie określenie zakresu działań wdrożeniowych w organizacji, zmiany procedur i instrukcji.

O zmianach będziemy Państwa informować. 

Certyfikacja na Nową, Zaktualizowaną  Normę ISO 27001:20222

W sierpniu 2024 czeka nas audyt ISO 27001, gdzie certyfikujemy się już na nową normę ISO/IEC 27001:2022 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności.

Aktualizacja normy, która miała miejsce w październiku 2022, obejmuje:

• Zabezpieczenie osób – dotyczące pojedynczych osób (np. praca zdalna).
• Zabezpieczenia organizacyjne – dotyczące organizacji, polityki informacyjnej, korzystania z chmury przechowującej dane.
• Zabezpieczenia fizyczne – dotyczące obiektów fizycznych, nośników danych, zabezpieczenie obiektów i biur, sprzętu elektronicznego.
• Zabezpieczenia technologiczne – dotyczące technologii wykorzystywanej w organizacji, usuwania informacji czy zapobieganie wyciekom, uwierzytelnianie.

Do struktury ISO 27001:2022 dodano także sporo nowych elementów, m.in. analizę zagrożeń, gotowość teleinformatyczną do zapewnienia ciągłości działania, maskowanie danych, filtrowanie sieci, zapobieganie wyciekom danych czy zasady bezpiecznego kodowania.