Kilka tygodni temu w Vercom rozpoczęliśmy proces wdrażania postanowień dyrektywy NIS2 i przygotowanie do wdrożenia wymagań wynikających z Rozporządzenia w sprawie operacyjnej odporności cyfrowej DORA.
Dyrektywa NIS2 ma wg. Komisji Europejskiej za zadanie wskazanie minimalnego poziomu przepisów i wymagań wśród krajów członkowskich, aby skutecznie ograniczać ryzyko wystąpienia incydentu w zakresie cyberbezpieczeństwa. Jednocześnie została przyjęta DORA, która zaostrza wymagania dotyczące bezpieczeństwa cybernetycznego, również w sektorze finansowym. Można więc powiedzieć, że rozporządzenie DORA to przepisy szczegółowe (nadrzędne) w odniesieniu do NIS2.
NIS2 jako dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej skupia się na trzech obszarach: na zabezpieczeniu systemów informacyjnych, postępowaniu z incydentami bezpieczeństwa oraz na monitorowaniu łańcucha dostaw w kontekście krajów pochodzenia.
Idąc dalej, w kontekście wymagań należy przygotować się na konieczność zdefiniowania, co będzie incydentem cyberbezpieczeństwa, a co będzie poważnym incydentem, który trzeba będzie zgłaszać do właściwego organu (CSIRT). Te zgłoszenia będą przebiegały zgodnie z trzyetapową procedurą (zawiadomienie wstępne – raport śródokresowy – sprawozdanie końcowe). Ponadto, na końcu obsługi incydentu może pojawić się konieczność usunięcia podatności, która doprowadziła do incydentu poważnego.
Zapowiadane zmiany to jedynie ewolucja. W 2016 roku wprowadzono w życie dyrektywę NIS, jednak jak okazało się podczas wielu audytów i kontroli, egzekucja tych wymagań w poszczególnych krajach członkowskich pozostawiała wiele do życzenia.
Unijny ustawodawca dostrzegł więc potrzebę bardziej jednolitego i zdecydowanego podejścia, zwłaszcza iż od tego czasu częściej korzystamy z różnych usług internetowych, także serwisów rządowych. Rozwinęły się nowe rozwiązania chmurowe, czy SaaS, chętniej korzystamy z rozwiązań IoT, i co za tym idzie, zwiększyła się też liczba ataków w tym ransomware.
Wdrożenie postanowień NIS2 niesie za sobą szereg korzyści dla państw członkowskich i podmiotów na terenie całej Unii. Oto najważniejsze z nich:
Mając świadomość, że NIS2 znacząco wpłynie na rozwój cyberbezpieczeństwa, w wielu firmach (według PwC obejmie ona ponad 6 tysięcy podmiotów działających w 18 różnych sektorach gospodarki) warto zastanowić się nad powodami wprowadzenia tak szeroko zakrojonych zmian.
Jednym z nich jest ciągle zwiększający się trend ataków ransomware, które dotykają różne organizacje niemal codziennie. Przykładowo, wg. raportu M-Trends stworzonego przez Madiant w 2023r. liczba dochodzeń związanych z atakami ransomware zwiększyła się o 5% (z 18% na 23%). Co więcej, już w samym 2024 roku odnotowano ponad 3 tysiące ofiar tego złośliwego oprogramowania, w tym 15 firm z Polski.
Głównymi wektorami takich incydentów było wykorzystywanie exploitów na różne publiczne usługi bądź phishing. Sam Mandiant w swoim raporcie M-Trends zaznaczył że śledzi poczynania ponad 4 tysięcy grup, gdzie prawie 1/4 to grupy rozpoznane w 2023r. Te informacje wskazują na ciągły rozwój cyberprzestępczości i pokazują, że warto zawczasu odpowiednio się zabezpieczyć.
Sprawdźmy więc, jak NIS2 pomoże zneutralizować wiele dzisiejszych ataków.
Do najważniejszych punktów można tu zaliczyć:
Nieprzestrzeganie wytycznych NIS2 może powodować duże kary pieniężne, dlatego warto zawczasu zweryfikować, czy podlegamy pod tę dyrektywę oraz czy nie jesteśmy w łańcuchu dostaw podlegających pod NIS2. Jeśli okaże się, że ta dyrektywa nas nie dotyczy to i tak warto podjąć działania mające na celu zwiększenie cyberbezpieczeństwa.
Okres na wdrożenie NIS2 do krajowych porządków prawnych mija 17 października 2024 r. To bardzo mało czasu, ale też nie są to przełomowe zmiany. Mamy do czynienia z regulacjami, które stanowią ewolucję istniejącego systemu. Nasz zespół prawny już od dłuższego czasu pracuje nad tym, aby jak najlepiej przygotować nas do nadchodzących zmian. Jako organizacja certyfikowana w zakresie ISO 27001 i 27018 chcemy być wzorem doskonalenia procesów w zakresie bezpieczeństwa informacji w naszej branży.
Znamy dyrektywę NIS2, znana jest nam ustawa o Krajowym Systemie Cyberbezpieczeństwa (w KSC** znajdują się regulacje dot. operatorów usług kluczowych, poprzedników „podmiotów kluczowych”), znamy pierwszy projekt ustawy wdrażającej NIS-2 (czyli projekt nowelizacji KSC) jak i różnorodne wytyczne ENISA na temat zarządzania ryzykiem. Z projektu nowelizacji KSC można wnioskować, że w porównaniu z obowiązującą KSC obowiązki spoczywające dotychczas na operatorach usług kluczowych zostaną rozszerzone na wszystkie podmioty kluczowe i ważne, jak również poszerzone o kwestie ujęte z dyrektywy NIS2.
W związku z powyższym możemy przyjąć, że w obowiązkach, które obciążą podmioty kluczowe i ważne, nie powinno być większych niespodzianek. Można zaryzykować twierdzenie, że największą zmianą jest objęcie KSC całych nowych sektorów obowiązkami w zakresie zarządzania ryzykiem i zgłaszania incydentów.
Niemniej jednak proces legislacyjny w Polsce dopiero nabiera tempa. Zakończyliśmy etap konsultacji publicznych projektu, a nasi prawnicy aktywnie uczestniczą w pracach izb. Choć projekt nowelizacji KSC może zmienić się w porównaniu z aktualnym, raczej nie dojdzie do zaostrzenia obowiązków w porównaniu z obecnym projektem nowelizacji, a co najwyżej liberalizacji tych obowiązków – do czego dążą przedsiębiorcy.
**KSC, czyli Krajowy System Cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym.
NIS2 jako inicjatywa na rzecz wspólnego poziomu cyberbezpieczeństwa w całej Unii istotnie zwiększa zakres obowiązywania wymagań na kolejne sektory i podmioty. Dotyczy wszystkich podmiotów, które mają więcej niż 50 pracowników i przekraczają roczny obrót 10 mln Euro. Zostały one podzielone na dwie kategorie: podmioty kluczowe i ważne. Każda kategoria ma swoje wytyczne. Przypominamy, że sektora finansowego NIS2 nie dotyczy – tutaj będzie miało zastosowanie rozporządzenie DORA.
Nasz proces wdrożenia NIS2 i DORA w Vercom podzieliliśmy na etapy:
O zmianach będziemy Państwa informować.
W sierpniu 2024 czeka nas audyt ISO 27001, gdzie certyfikujemy się już na nową normę ISO/IEC 27001:2022 – Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności.
Aktualizacja normy, która miała miejsce w październiku 2022, obejmuje:
Do struktury ISO 27001:2022 dodano także sporo nowych elementów, m.in. analizę zagrożeń, gotowość teleinformatyczną do zapewnienia ciągłości działania, maskowanie danych, filtrowanie sieci, zapobieganie wyciekom danych czy zasady bezpiecznego kodowania.
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
GDPR, Zgodność i bezpieczeństwo
Z dumą informujemy, że firma Vercom S.A., prowadząca projekt EmailLabs, pomyślnie przeszła audyt zgodności z najnowszymi standardami ISO/IEC 27001:2022 oraz ISO/IEC 27018:2019. Potwierdzono, że nasz System Zarządzania spełnia wszelkie...
To, że z roku na rok kampanii phishingowych jest coraz więcej i że ten trend będzie tylko rósł, raczej nikogo nie zdziwi. Wkrótce, może stać się to najpoważniejszym problemem...
Spośród wszystkich rzeczy, które mogą pójść źle podczas wysyłania e-maili marketingowych i transakcyjnych, trafienie do SPAMu jest prawdopodobnie najbardziej kłopotliwe – i łatwo zrozumieć, dlaczego. W końcu zależy nam...
DMARC, czyli Domain-based Message Authentication, Reporting, and Conformance jest protokołem uwierzytelniania, zasad i raportowania poczty elektronicznej. Jego zadaniem jest ochrona przed atakami phishingowymi i pomoc w zwalczaniu innych prób...
Wraz z pojawieniem się pandemii Covid-19, wiele marek zostało postawionych przed sporym wyzwaniem aby w krótkim czasie przystosować się do zmienionej rzeczywistości oraz nowego podejścia konsumentów i zreorganizować...
Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
16 września 2024 roku Apple, wraz z premierą iOS 18, wprowadził do aplikacji Mail długo wyczekiwaną funkcję – zakładki i kategoryzację wiadomości w skrzynce odbiorczej. Choć rozwiązanie nie jest...
Dobre praktyki, Email Marketing
E-mail marketing to potężne narzędzie, które pozwala firmom nawiązać kontakt z grupą docelową, promować produkty i zwiększać konwersje. Jednak samo wysłanie kampanii e-mail nie gwarantuje sukcesu. Kluczową rolę w...
Z przyjemnością informujemy, że MessageFlow, produkt z grupy Vercom S.A., uzyskał prestiżowy Certyfikat CSA (Certified Senders Alliance). To wyróżnienie nie tylko podkreśla najwyższą jakość oferowanych przez nas usług, ale...
16 września 2024 roku Apple, wraz z premierą iOS 18, wprowadził do aplikacji Mail długo wyczekiwaną funkcję – zakładki i kategoryzację wiadomości w skrzynce odbiorczej. Choć rozwiązanie nie jest...
Użytkownicy Gmaila mogą wkrótce skorzystać z przełomowej funkcji o nazwie Shielded Email, zaprojektowanej z myślą o zwiększeniu prywatności i zwalczaniu spamu. Choć funkcja nie została jeszcze oficjalnie wprowadzona, ostatnie...
Czy masz dość sytuacji, w której Twoje e-maile są blokowane przez Gmail? Zastanawiasz się, co powoduje ten problem i jak go rozwiązać? W tym artykule omówimy najczęstsze przyczyny blokowania...
Załączanie folderu do wiadomości e-mail może na pierwszy rzut oka wydawać się skomplikowane, zwłaszcza jeśli próbujesz wysłać wiele plików, duże materiały wideo lub całą dokumentację projektu do współpracownika albo...
W dynamicznie zmieniającym się cyfrowym świecie, Google zapowiedziało ekscytujące zmiany w kartach podsumowań Gmaila. Aktualizacja, która ruszyła w październiku 2024 roku, ma na celu poprawę doświadczeń użytkowników i usprawnienie...
Wchodząc w świat szeroko pojętej komunikacji mailowej, zapoznajesz się z wieloma pojęciami, które na pierwszy rzut oka wydają się proste i intuicyjne. Inne z nich natomiast mogą przysporzyć nie...
Dobre praktyki, Dostarczalność email
W dzisiejszej cyfrowej rzeczywistości e-mail stanowi kluczowy element komunikacji, zarówno w życiu prywatnym, jak i zawodowym. Wysyłamy za jego pośrednictwem istotne wiadomości, dokumenty oraz aktualizacje. Co jednak zrobić, gdy...