Dyrektywa NIS2 a zgodność w firmie: co musi wiedzieć każdy prezes i dział IT?

Czym jest dyrektywa NIS2 i co oznacza dla rynku?

W ramach implementacji unijnej normy, nowe wymagania zostały ujęte w procedowanej Noweli ustawy o KSC (Krajowym Systemie Cyberbezpieczeństwa). Podstawowym celem NIS2 (Network and Information Security Directive 2) jest uodpornienie kluczowych firm oraz podmiotów publicznych na dynamicznie rosnące ryzyko potężnych cyberataków (m.in. paraliżujący ransomware) oraz incydentów zakłócających funkcjonowanie nowoczesnych rynków.

Jakich firm dotyczy obowiązek zgodności?

Uregulowania NIS2 dotyczą dziesiątek tysięcy funkcjonujących na rynku podmiotów. Nowe wytyczne prawne wprowadzają wyraźny podział kwalifikacyjny firm z branż wrażliwych na podmioty kluczowe oraz wybrane podmioty znaczące (głównie firmy zatrudniające od 50 pracowników oraz przekraczające limit 10 mln obrotów rocznych).

Unijne zaostrzenia swym zakresem obejmą kluczowe sektory takie jak zbrojenia, produkcja sprzętu maszynowego, elektronika, usługi dostarczania IT czy cała gałąź logistyki po operatorów transportu publicznego, wodociągi oraz żywność dystrybucyjną hurtowni.

To nie wszystko — rygor we wdrożeniu z powodów dyrektywy rozszerza się kaskadowo wzdłuż łańcucha dostaw Supply Chain. Oznacza to, że znaczę podmioty nakładają na mniejsze współpracujące spółki rygor bezpieczeństwa, wymuszając weryfikacje za pomocą kar w kontrakcie, by podtrzymywać zgodności np. usługi podwykonawstwa B2B.

Wymagania, audyty i sankcje kary w audytach bezpieczeństwa

Implementacja dyrektywy pod nadzór na terytorium wymaga z zgodność NIS2 szeregu udokumentowanych procedur technicznych i z kontrolą procedur w obiegach:

• Monitorowanie ryzyka dostawców, obsługa oraz obowiązkowe raportowanie incydentów. Poważne luki lub potencjalne udane ataki, jak przejęcie baz danych przedsiębiorstwa muszą być bezwzględnie w bardzo krótkim trybie raportowane oficjalnemu systemowi rządowemu (CSIRT).
• Implementacja BCP - Ciągłość działania operacyjnego po katastrofie poprzez plan awaryjny (Disaster Recovery). Restrykcyjne podejście do przechowywania kopii używa standardów w repozytoriach Off-site/AirGapped (np schemat tworzenia 3-2-1 na infrastrukturach AWS i Azure z repozytorium chmury).
• Wymuszenie rygoru dotyczącego uwierzytelniania w procesach dostępu pracowników (usługi wdrażania standardów poświadczeń typu MFA i weryfikacji tożsamości w połączeniu z logikami z systemu ochrony poczty w Microsoft Entra i integracjami Intune). Dodatkowo z wdrożeniami aktywnych nasłuchowych systemów klasy klasy Firewall z logiką SOC przy użyciu np sprzętowego wdrożenia ochronnej krawędzi UTM od firmy Fortinet czy narzędzi m.in ochrony przed wirusami od usług systemu Sentinel – to tylko jedne z ważniejszych wdrożeń instrumentów wsparcia.

Kompleksowe przeprowadzenie wewnętrznego przygotowawczego audytu technologicznego u zarania cyklu dostosowania jako audyt bezpieczeństwa IT staje się krytycznym obowiązkiem decydentów i zespołu inżynierów. Kary przewidziane za rażące zaniedbania ze standardem i dyrektywy sięgają progów do kwoty liczonej od rocznych obrotów grupy: maksymalnie nawet wyżej 10 milionów euro, bądź około od dwóch proc do nawet globalnego progu ryczałtu na obrocie.