Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA.
Dyrektywa NIS2 ma wg. Komisji Europejskiej za zadanie wskazanie minimalnego poziomu przepisów i wymagań wśród krajów członkowskich, aby skutecznie ograniczać ryzyko wystąpienia incydentu w zakresie cyberbezpieczeństwa. Jednocześnie została przyjęta DORA, która zaostrza wymagania dotyczące bezpieczeństwa cybernetycznego, również w sektorze finansowym. Można więc powiedzieć, że rozporządzenie DORA to przepisy szczegółowe (nadrzędne) w odniesieniu do NIS2.
NIS2 jako dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej skupia się na trzech obszarach: na zabezpieczeniu systemów informacyjnych, postępowaniu z incydentami bezpieczeństwa oraz na monitorowaniu łańcucha dostaw w kontekście krajów pochodzenia.
Idąc dalej, w kontekście wymagań należy przygotować się na konieczność zdefiniowania, co będzie incydentem cyberbezpieczeństwa, a co będzie poważnym incydentem, który trzeba będzie zgłaszać do właściwego organu (CSIRT). Te zgłoszenia będą przebiegały zgodnie z trzyetapową procedurą (zawiadomienie wstępne – raport śródokresowy – sprawozdanie końcowe). Ponadto, na końcu obsługi incydentu może pojawić się konieczność usunięcia podatności, która doprowadziła do incydentu poważnego.
Zapowiadane zmiany to jedynie ewolucja. W 2016 roku wprowadzono w życie dyrektywę NIS, jednak jak okazało się podczas wielu audytów i kontroli, egzekucja tych wymagań w poszczególnych krajach członkowskich pozostawiała wiele do życzenia.
Unijny ustawodawca dostrzegł więc potrzebę bardziej jednolitego i zdecydowanego podejścia, zwłaszcza iż od tego czasu częściej korzystamy z różnych usług internetowych, także serwisów rządowych. Rozwinęły się nowe rozwiązania chmurowe, czy SaaS, chętniej korzystamy z rozwiązań IoT, i co za tym idzie, zwiększyła się też liczba ataków w tym ransomware.
Wdrożenie postanowień NIS2 niesie za sobą szereg korzyści dla państw członkowskich i podmiotów na terenie całej Unii. Oto najważniejsze z nich:
Mając świadomość, że NIS2 znacząco wpłynie na rozwój cyberbezpieczeństwa, w wielu firmach (według PwC obejmie ona ponad 6 tysięcy podmiotów działających w 18 różnych sektorach gospodarki) warto zastanowić się nad powodami wprowadzenia tak szeroko zakrojonych zmian.
Jednym z nich jest ciągle zwiększający się trend ataków ransomware, które dotykają różne organizacje niemal codziennie. Przykładowo, wg. raportu M-Trends stworzonego przez Madiant w 2023r. liczba dochodzeń związanych z atakami ransomware zwiększyła się o 5% (z 18% na 23%). Co więcej, już w samym 2024 roku odnotowano ponad 3 tysiące ofiar tego złośliwego oprogramowania, w tym 15 firm z Polski.
Głównymi wektorami takich incydentów było wykorzystywanie exploitów na różne publiczne usługi bądź phishing. Sam Mandiant w swoim raporcie M-Trends zaznaczył że śledzi poczynania ponad 4 tysięcy grup, gdzie prawie 1/4 to grupy rozpoznane w 2023r. Te informacje wskazują na ciągły rozwój cyberprzestępczości i pokazują, że warto zawczasu odpowiednio się zabezpieczyć.
Sprawdźmy więc, jak NIS2 pomoże zneutralizować wiele dzisiejszych ataków.
Do najważniejszych punktów można tu zaliczyć:
Nieprzestrzeganie wytycznych NIS2 może powodować duże kary pieniężne, dlatego warto zawczasu zweryfikować, czy podlegamy pod tę dyrektywę oraz czy nie jesteśmy w łańcuchu dostaw podlegających pod NIS2. Jeśli okaże się, że ta dyrektywa nas nie dotyczy to i tak warto podjąć działania mające na celu zwiększenie cyberbezpieczeństwa.
Okres na wdrożenie NIS2 do krajowych porządków prawnych mija 17 października 2024 r. To bardzo mało czasu, ale też nie są to przełomowe zmiany. Mamy do czynienia z regulacjami, które stanowią ewolucję istniejącego systemu. Nasz zespół prawny już od dłuższego czasu pracuje nad tym, aby jak najlepiej przygotować nas do nadchodzących zmian. Jako organizacja certyfikowana w zakresie ISO 27001 i 27018 chcemy być wzorem doskonalenia procesów w zakresie bezpieczeństwa informacji w naszej branży.
Znamy dyrektywę NIS2, znana jest nam ustawa o Krajowym Systemie Cyberbezpieczeństwa (w KSC** znajdują się regulacje dot. operatorów usług kluczowych, poprzedników „podmiotów kluczowych”), znamy pierwszy projekt ustawy wdrażającej NIS-2 (czyli projekt nowelizacji KSC) jak i różnorodne wytyczne ENISA na temat zarządzania ryzykiem. Z projektu nowelizacji KSC można wnioskować, że w porównaniu z obowiązującą KSC obowiązki spoczywające dotychczas na operatorach usług kluczowych zostaną rozszerzone na wszystkie podmioty kluczowe i ważne, jak również poszerzone o kwestie ujęte z dyrektywy NIS2.
W związku z powyższym możemy przyjąć, że w obowiązkach, które obciążą podmioty kluczowe i ważne, nie powinno być większych niespodzianek. Można zaryzykować twierdzenie, że największą zmianą jest objęcie KSC całych nowych sektorów obowiązkami w zakresie zarządzania ryzykiem i zgłaszania incydentów.
Niemniej jednak proces legislacyjny w Polsce dopiero nabiera tempa. Zakończyliśmy etap konsultacji publicznych projektu, a nasi prawnicy aktywnie uczestniczą w pracach izb. Choć projekt nowelizacji KSC może zmienić się w porównaniu z aktualnym, raczej nie dojdzie do zaostrzenia obowiązków w porównaniu z obecnym projektem nowelizacji, a co najwyżej liberalizacji tych obowiązków – do czego dążą przedsiębiorcy.
**KSC, czyli Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym.
NIS2 jako inicjatywa na rzecz wspólnego poziomu cyberbezpieczeństwa w całej Unii istotnie zwiększa zakres obowiązywania wymagań na kolejne sektory i podmioty. Dotyczy wszystkich podmiotów, które mają więcej niż 50 pracowników i przekraczają roczny obrót 10 mln Euro. Zostały one podzielone na dwie kategorie: podmioty kluczowe i ważne. Każda kategoria ma swoje wytyczne. Przypominamy, że sektora finansowego NIS2 nie dotyczy – tutaj będzie miało zastosowanie rozporządzenie DORA.
Nasz proces wdrożenia NIS2 i DORA w Vercom podzieliliśmy na etapy:
O zmianach będziemy Państwa informować.
W sierpniu 2024 czeka nas audyt ISO 27001, gdzie certyfikujemy się już na nową normę ISO/IEC 27001:2022 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności.
Aktualizacja normy, która miała miejsce w październiku 2022, obejmuje:
Do struktury ISO 27001:2022 dodano także sporo nowych elementów, m.in. analizę zagrożeń, gotowość teleinformatyczną do zapewnienia ciągłości działania, maskowanie danych, filtrowanie sieci, zapobieganie wyciekom danych czy zasady bezpiecznego kodowania.
Dobre praktyki, Gmail, Yahoogle
Gmail zapowiada, że od 1 lutego 2024 wysyłający wiadomości email do swoich klientów będą musieli liczyć się ze sporymi zmianami w zakresie wymagań, jakie należy spełniać, aby cieszyć się...
GDPR, Zgodność i bezpieczeństwo
Spółka Vercom S.A., która prowadzi projekt EmailLabs, z sukcesem przeszła kolejną certyfikację na normę ISO/IEC 27001 oraz ISO 27018. Wdrożony w Vercom S.A. System Zarządzania Bezpieczeństwa Informacji 0bejmuje tworzenie,...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...
Jeśli śledzisz nasze publikacje na bieżąco, na pewno wiesz o zmianach w wymaganiach dotyczących nadawców wiadomości mailowych wprowadzanych przez globalnych providerów Gmail i Yahoo. Od pierwszego lutego 2024 roku...
Czym jest darknet? Otoczony przez wiele lat tajemnicą i nierzadko okrzyknięty mrocznymi mianami, darknet jest obszarem internetu, który u niejednej osoby wzbudza ciekawość, fascynacje a także strach. Ta “niewidoczna” część...
Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA. Jakie Korzyści Niosą ze...
Jeśli śledzisz nasze publikacje na bieżąco, na pewno wiesz o zmianach w wymaganiach dotyczących nadawców wiadomości mailowych wprowadzanych przez globalnych providerów Gmail i Yahoo. Od pierwszego lutego 2024 roku...
Czy zdarzyło Ci się kiedykolwiek wysłać e-mail w pośpiechu i zaraz tego pożałować? Zdarza się to częściej, niż byśmy chcieli przyznać. Jeśli kiedykolwiek ponownie znajdziesz się w takiej...
Jednym z bezpiecznych i łatwych sposobów na śledzenie cyfrowych interakcji jest zapisywanie wiadomości e-mail w formacie PDF. Czy wiesz jednak, jakie są najlepsze sposoby na łatwe przekształcanie e-maili w...
Wysyłanie dużych plików online może czasami przypominać manewrowanie przez labirynt z nieoczekiwanymi zwrotami akcji. Frustracja związana z przekroczeniem limitów rozmiaru załącznika lub powolnym przesyłaniem może być aż nazbyt realna....
Czy protokoły e-mail, takie jak IMAP, POP3 i SMTP, są dla Ciebie zagadką? Nie martw się – ten artykuł wyjaśni wszystko. Jeśli kiedykolwiek zastanawiałeś się, jak wysyłane i odbierane...
W 2024 roku oczy wielu nadawców zwrócone zostały w stronę globalnych providerów. Gmail oraz Yahoo od lutego zapoczątkowali ciąg zmian, które dotyczą głównie, ale nie tylko nadawców masowych. Pierwsze...
Dobre praktyki, Email Marketing
Email marketing B2B – to termin, który już prawdopodobnie słyszałeś, ale co tak naprawdę oznacza? Na czym polega i jak skutecznie realizować komunikację biznesową, by osiągać wysoką konwersję? W...