Dyrektywa NIS2

Dyrektywa NIS2 (Network and Information Systems Directive 2) to aktualizacja dyrektywy NIS z 2016 roku. Stanowi ona odpowiedź Unii Europejskiej na coraz bardziej zaawansowane cyberzagrożenia i całokształt zmian w cyfrowym świecie. W raporcie KPMG zestawiono szczegółowy przegląd wyzwań, jakie stoją przed podmiotami objętymi nową dyrektywą oraz wskazówek, które mogą pomóc wzmocnić ich zdolności w zakresie budowania cyberbezpieczeństwa.

Kogo obejmuje nowa regulacja?

Dyrektywa NIS2 wchodząc w życie 16 stycznia 2023 roku uchyliła dotychczas obowiązujący akt prawny z 2016. Jest to istotny krok na drodze do wzmacniania cyberbezpieczeństwa w organizacjach, które są filarami infrastruktury krytycznej. W związku z nowelizacją aż o dziewięć pozycji rozszerzyła się lista sektorów, branż i obszarów działalności gospodarczej objętych regulacjami bezpieczeństwa cyfrowego. Co istotne, dyrektywa NIS2 ma zastosowanie do podmiotów zarówno publicznych, jak i prywatnych, które świadczą usługi lub prowadzą działalność w UE i jednocześnie spełniają kryteria klasyfikujące je jako średnie przedsiębiorstwa. Według wprowadzonej w nowelizacji klasyfikacji podmioty, których dotyczą nowe przepisy, dzielą się na kluczowe i ważne. Organizacje świadczące usługi kluczowe to te, których zakłócenie działalności związane z cyberatakami może spowodować poważne konsekwencje społeczno-gospodarcze, zalicza się więc do nich m.in. również administrację publiczną. Listę sektorów sklasyfikowanych jako kluczowe i ważne zawierają załączniki I i II do dyrektywy.

Cele dyrektywy NIS2

Unijna spójność

Liczba cyberataków rośnie w coraz szybszym tempie, stąd dynamicznie przybywa też nowych wyzwań w tym obszarze. Pomimo znaczącej poprawy poziomu cyberbezpieczeństwa w Unii Europejskiej po wdrożeniu regulacji NIS w 2016 roku, potrzeba nowelizacji dyrektywy zaczęła się nasilać. W dużej mierze jest to związane z przyspieszoną transformacją cyfrową społeczeństwa, której początkiem była pandemia Covid-19. Zaobserwowano, że organy odpowiedzialne za cyberbezpieczeństwo mało rygorystycznie podchodziły do kwestii reagowania na incydenty i usuwania ich skutków.

Głównymi problemami, które stanowiły motywację do zmian były:

Niewystarczająca odporność biznesu na cyberataki.
Brak międzynarodowego systemu reagowania na sytuacje kryzysowe.
Niespójne rozumienie głównych zagrożeń i wyzwań z zakresu cyberbezpieczeństwa.
Nieproporcjonalna odporność na cyberzagrożenia wśród państw członkowskich Unii Europejskiej.

Nowe wymogi szansą na rozwój

Wraz z wejściem w życie dyrektywy NIS2 rozpoczął się okres przewidziany na implementację rozwiązań z zakresu cyberbezpieczeństwa w organizacjach objętych regulacją. Termin realizacji wszystkich zmian i odniesienia się do szczegółowych wymogów minie 17 października 2024 roku. Oznacza to, że firmy mają mniej niż 12 miesięcy na przygotowanie własnej polityki organizacyjnej, określenie procedur operacyjnych i wybór technologii wspierających cały proces. Najbliższe miesiące stanowią więc wyjątkową okazję do wzmocnienia odporności organizacji, budowę silniejszych relacji z klientami i dostawcami, jak i dalszej cyfryzacji swojej działalności w świadomy sposób.

Organy zarządzające podmiotów kluczowych i ważnych są zobowiązane do zatwierdzania środków zarządzania ryzykiem związanym z cyberatakami. Chodzi o środki, które są podejmowane przez te organizacje w celu spełniania wymogów określonych w art. 21. Organy zarządzające mają również nadzorować cały proces i mogą być pociągnięte do odpowiedzialności za naruszanie przepisów. Ponadto nałożony został obowiązek odbywania szkoleń tematycznych z zakresu cyberbezpieczeństwa zarówno dla zarządzających organizacjami, jak i dla ich pracowników.

Kluczowe i ważne organizacje w UE zobowiązuje się do podejmowania odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem związanym z cyberatakami. Niesie to za sobą zwiększenie poziomu bezpieczeństwa sieci i systemów informatycznych. Proporcjonalność tych środków należy rozumieć jako odpowiednie dopasowanie narzędzi i działań do skali ryzyka, a także wielkości organizacji i stopnia dotkliwości potencjalnych skutków incydentów.

Incydenty mające istotny wpływ na świadczenie usług przez podmioty kluczowe i ważne, a także tzw. incydenty poważne, zgodnie z dyrektywą NIS2, muszą być zgłaszane bez zbędnej zwłoki właściwemu CERT lub innemu właściwemu organowi. Poważne zagrożenia z zakresu cyberbezpieczeństwa niosą za sobą obowiązek informowania o nich odbiorców usług organizacji mierzącej się z problemem. Cyberzagrożenie uznaje się za poważne, gdy powoduje lub może powodować istotne zakłócenia w świadczeniu usług, straty finansowe dla danego podmiotu, czy też znaczne szkody materialne i niematerialne podmiotów trzecich.

Odpowiednie organy w Unii Europejskiej mogą wymagać od kluczowych i ważnych podmiotów stosowania konkretnych produktów, usług i procesów ICT, certyfikowanych zgodnie z europejskimi programami certyfikacji cyberbezpieczeństwa przyjętymi na podstawie art. 49 rozporządzenia (UE) 2019/881. Dodatkowo państwa członkowskie zobowiązane są zachęcać podmioty kluczowe i ważne do korzystania z kwalifikowanych usług zaufania.

Jak przygotować organizację do wdrożenia zasad zawartych w dyrektywie NIS2?

Wiele organizacji postrzega osiągnięcie zgodności swoich procedur z wymogami postawionymi w dyrektywie NIS2 jako stan docelowy. W odbiorze tych podmiotów jest to zbiór zasad, których należy przestrzegać i dążyć do spełnienia wymaganego minimum. W rzeczywistości jednak, zasady przedstawione w ramach znowelizowanego aktu stanowią podstawę i środek do osiągania wyższego poziomu cyberbezpieczeństwa. Odpowiednio skoordynowane i dostosowane regulacje są kluczem do wzmacniania odporności organizacji na cyberataki, ale ich harmonizacja i wdrożenie stanowią wyzwanie dla organów nimi zarządzających. Liderzy biznesowi muszą rozważać wszelkie konsekwencje wprowadzanych procedur, które mogą wpłynąć na dostawców usług i klientów czy innych kluczowych partnerów współtworzących cały łańcuch dostaw. Powinni również nieustannie weryfikować z nowymi przepisami zgodność zachodzących zmian.

W procesie koordynacji rozwoju organizacji w kierunku wzmacniania poziomu cyberbezpieczeństwa warto zadawać kluczowe pytania:

Czy organizacja ma wyznaczoną osobę odpowiedzialną za zarządzanie bezpieczeństwem systemów OT i IT?
Jak zapewnić wiarygodny wgląd w środowisko OT, aby zidentyfikować potencjalne luki i zagrożenia?
W jaki sposób efektywnie nadążać w spełnianiu nowych wymogów?
W jaki sposób naprawiać błędy, aby niwelować zindetyfikowane luki i zagrożenia?

Świadomość i właściwa strategia kluczem do sukcesu

Promowanie świadomości o cyberbezpieczeństwie wśród kadry zarządzającej

Przyjęcie nowych przepisów dotyczących cyberbezpieczeństwa powinno być widoczne w agendzie organizacji zarówno pod kątem strategii, jak i budżetu. CISO powinni być informowani o wyzwaniach jakie niesie za sobą dyrektywa NIS2, a odpowiednie struktury organizacji przygotowane do koordynacji działań na zintegrowanej płaszczyźnie systemów OT i IT.

Ustalenie punktu odniesienia i planowanie w oparciu o analizę stanu obecnego

Kluczowe jest identyfikowanie słabych punktów w infrastrukturze organizacji pod kątem podatności na cyberataki. Z uwagi na to, że niektóre zapisy dyrektywy NIS2 mogą wciąż pozostawać niejasne, warto przestrzegać globalnie uznanych standardów branżowych, takich jak IEC 62443, jako bazy przygotowującej organizacje na wdrażanie pełnego zakresu wymagań związanych z nowelizacją dyrektywy.

Wdrażanie przyspieszonego trybu naprawczego w uzasadnionych przypadkach

Warto jak najszybciej wdrażać inicjatywy naprawcze, które mają na celu natychmiastowe wyeliminowanie krytycznych luk w zabezpieczeniach. Skuteczne działanie z perspektywy całokształtu zmian organizacyjnych wdrażanych w świetle dyrektywy NIS2 to nie tylko odpowiednia strategia i długoterminowe cele, ale również budowanie umiejętności szybkiej reakcji na incydenty.

Wskazanie zespołów i osób odpowiedzialnych za całościowe zarządzanie cyberbezpieczeństwem

Nieprzypisanie odpowiedzialności za cyberbezpieczeństwo konkretnym osobom czy zespołom w organizacji może z wysokim prawodpodobieństwem skutkować przeoczeniem zagrożeń. Tematyka cyberbezpieczeństwa w systemach OT nie jest jeszcze w takim stopniu upowszechniona jak ma to miejsce w przypadku systemów IT, a w świetle regulacji NIS2 harmonizacja środków bezpieczeństwa wdrażanych na obu tych płaszczyznach jest konieczna. Ponadto organizacje muszą zmierzyć się z zaostrzonymi wymogami w zakresie raportowania incydentów. Argumenty te uwypuklają konieczność wskazywania zespołów odpowiedzialnych za cyberbezpieczeństwo w organizacjach objętych dyrektywą NIS2.