Coraz bardziej dynamiczny rozwój technologii oraz kompleksowość cyberzagrozeń wywierają nacisk na zwiększanie poziomu bezpieczeństwa zarówno w sektorze publicznym, jak i prywatnym. W tym celu Unia Europejska wprowadziła nową dyrektywę NIS2, która nakłada na przedsiębiorstwa obowiązek spełnienia rygorystycznych kryteriów dotyczących m.in. analizy ryzyka, ochrony informacji czy oceny wdrażania środków bezpieczeństwa. Choć może się to wydawać kolejnym utrudnieniem dla przedsiębiorców, istnieją 3 strategie, dzięki którym dostosowanie firm do nowych wymogów nie będzie tak skomplikowane.
Na skróty:
Czym jest dyrektywa NIS2?
Dyrektywa NIS2 (UE 2022/2555) jest rozszerzeniem wcześniejszych regulacji NIS (Network and Information Systems), które obowiązywały od 2016 roku. Bieżąca wersja rozporządzenia weszła w życie 16 stycznia 2023 roku. Nakłada na firmy z różnych sektorów obowiązek spełnienia rygorystycznych wymogów dotyczących cyberbezpieczeństwa i infrastruktury krytycznej (CRITIS).
Nowe unijne rozporządzenie dotyczy firm zatrudniających ponad 250 pracowników, osiągających roczne przychody w wysokości co najmniej 50 mln EUR lub aktywach w wysokości 43 mln EUR. Obejmuje to organizacje z sektorów takich jak energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa oraz wiele innych. Dodatkowo, niezależnie od wielkości, pod dyrektywę podlegają dostawcy publicznych sieci telekomunikacyjnych, usług zaufania oraz inne podmioty o znaczeniu strategicznym dla gospodarki i społeczeństwa. Z raportu PwC wynika, że nowymi regulacjami zostanie objętych ponad 6000 podmiotów działających w 18 sektorach gospodarki w Polsce.
Co istotne, państwa członkowskie UE muszą wdrożyć wymogi NIS2 do przepisów krajowych do października 2024 roku.
Nowe wyzwania dla branży IT
Ustalone przez Unię Europejską wytyczne nakładają na firmy obowiązek spełnienia wymagań dotyczących analizy ryzyka, ochrony informacji, oceny i wdrażania środków bezpieczeństwa, reagowania na incydenty oraz zarządzania kryzysowego. Przedsiębiorstwa muszą zaktualizować swoje środki techniczne i organizacyjne związane z zarządzaniem incydentami i ciągłością działania. Konieczne jest przeprowadzanie regularnych ocen ryzyka oraz wprowadzanie dodatkowych zabezpieczeń dla wszystkich potencjalnych punktów dostępu do systemów informatycznych. Ponadto, podmioty objęte dyrektywą mają obowiązek przeprowadzać regularne szkolenia dotyczące cyberbezpieczeństwa oraz dbać o bezpieczeństwo łańcucha dostaw i zarządzanie aktywami.
Dla wielu firm spełnienie tych wymogów jest dużym wyzwaniem. Postępująca cyfryzacja, która nie omija żadnego sektora sprawia, że rośnie liczba potencjalnych punktów dostępu dla atakujących. Pełnienie nad nimi kontroli i skuteczne ich zabezpieczenie może przerosnąć możliwości wielu firm, szczególnie w obliczu niedoboru wykwalifikowanego personelu IT. Jak podała ostatnio Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), aż 39 proc. polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za ten obszar, a w 45 proc. jest tylko jedna taka osoba.
Sposób na NIS2
Mimo iż powyższe wymagania mogą stanowić nie lada wyzwanie dla osób odpowiedzialnych za prawidłowości względem nowych regulacji, istnieją sposoby, aby maksymalnie ułatwić ten proces. Poniżej przedstawiamy 3 strategie, które pomogą organizacjom spełnić najbardziej rygorystyczne wymogi z zakresu cyberbezpieczeństwa.
- Ujednolicone zarządzanie infrastrukturą oraz automatyzacja IT
Jedną ze strategii w zakresie przystosowania przedsiębiorstw do wymogów unijnej dyrektywy jest efektywne zarządzanie zasobami IT i aktualizacjami. Cyfryzacja gospodarki sprawia, że infrastruktura informatyczna firm stale się zwiększa. Do tego dochodzi problem braków kadrowych i luk kompetencyjnych, szczególnie w jeśli chodzi o specjalistów IT. W wielu organizacjach nie ma osób odpowiedzialnych bezpośrednio za cyberbezpieczeństwo, a część z nich może sobie pozwolić na zatrudnienie zaledwie jednej takiej osoby. W sytuacji, gdy organizacja posiada setki, a czasem nawet tysiące urządzeń wykorzystywanych przez pracowników w różnych miejscach w kraju i na świecie, szczególnie istotne staje się ujednolicone zarządzanie infrastrukturą informatyczną oraz automatyzacja podstawowych czynności działu IT. Aby utrzymać kontrolę nad rozproszonym ekosystemem urządzeń i systemów i zapewnić im niezachwiane bezpieczeństwo, niezbędne będzie zastosowanie dostępnych na rynku narzędzi UEM.
Zdaniem Sebastiana Wąsika, Country Managera baramundi software na Polskę: „polityka bezpieczeństwa oparta na ujednoliconym zarządzaniu punktami końcowymi pozwala organizacjom uzyskać pełny wgląd w infrastrukturę IT, aby wiedzieć jakie urządzenia i systemy są w użyciu oraz czy są one odpowiednio zabezpieczone i aktualne. Następnie, z wykorzystaniem odpowiednich narzędzi, można całkowicie zautomatyzować najbardziej podstawowe czynności zabezpieczające systemy. Jest to podstawa każdej strategii bezpieczeństwa, gdyż często niewidoczne na pierwszy rzut oka luki w zabezpieczeniach systemów są najczęściej wykorzystywanym przez cyberprzestępców punktem dostępu do wnętrza organizacji”.
- Kopia zapasowa i cyberpolisa
Jak wskazuje ekspert, zastosowanie ujednoliconego zarządzania infrastrukturą IT daje solidne podstawy do zapobiegania incydentom, takie jak wgrywanie poprawek do luk w zabezpieczeniach, a w razie ich wystąpienia – szybszego ich wykrycia i reakcji. Zastosowanie środków zabezpieczających przed atakami nie zawsze jest wystarczające. Każda organizacja powinna przygotować się do tego, że mimo wdrożenia najdroższych narzędzi, prawdopodobnie padnie ofiarą cyberprzestępców. Dlatego oprócz środków ochronnych, firmy powinny także zadbać o solidną politykę utrzymania ciągłości działania i przywracania systemów po ataku. Dodatkowym istotnym elementem może być ubezpieczenie się od ryzyk cyfrowych.
„W dobie rosnącej skali cyberprzestępczości i kosztów, jakie ponoszą przedsiębiorstwa w wyniku ataków, na znaczeniu zyskują cyberpolisy. Postrzegane są one jako parasol finansowy zmniejszający koszty odzyskiwania danych po kradzieży, uszkodzeniu lub ich utracie. Co jednak istotne, by otrzymać najkorzystniejszą polisę, niezbędne jest wykazanie solidnych środków ochronnych. Ubezpieczenie takie powinno być zatem traktowane jako element całościowej polityki bezpieczeństwa, uwzględniającej nowoczesne formy zabezpieczeń i przywracania systemów” – powiedział Sebastian Wąsik.
- Szkolenia z bezpieczeństwa
„Człowiek jest najsłabszym ogniwem w całym łańcuchu cyberbezpieczeństwa” – o słuszności tego stwierdzenia nieustannie się przekonujemy wraz z kolejnymi informacjami o ogromnych wyciekach danych czy incydentach bezpieczeństwa. Wystarczy jedno kliknięcie niezaznajomionego z najnowszymi metodami cyberprzestępców pracownika, aby zapewnić im bezpośredni dostęp nawet najlepiej chronionego systemu. Dlatego elementem każdej polityki bezpieczeństwa firmy powinno być regularne szkolenie pracowników w zakresie dobrych praktyk (tzw. cyberhigieny) i potencjalnych zagrożeń.
„Cyberprzestępcy stale zmieniają swoje metody dostosowując je do globalnych i lokalnych wydarzeń. Na początku pandemii COVID-19 atakujący podszywali się pod organizacje zdrowotne, instytucje administracyjne oraz firmy farmaceutyczne, w celu pozyskania danych lub zainfekowania systemu złośliwym oprogramowaniem. Szpitale i placówki opieki zdrowotnej stały się wówczas celem ataków ransomware, w ramach których przestępcy szyfrowali dane medyczne i żądali okupu za ich odszyfrowanie. Ostatnio natomiast nasiliły się ataki związane z wyborami. Niezwykle istotne jest, by regularnie przeprowadzać szkolenia dla pracowników, podczas których dowiedzą się oni, jak rozpoznawać działania cyberprzestępców i jak postępować, aby nie stać się ich ofiarą” – dodaje Sebastian Wąsik.
Czas ma znaczenie
Dyrektywa NIS2 stanowi istotny krok w stronę zwiększenia poziomu cyberbezpieczeństwa w Unii Europejskiej. Jednak firmy muszą podjąć szybkie działania w celu spełnienia nowych wymogów poprzez aktualizację procesów biznesowych oraz inwestycje w technologie zabezpieczające.
„Wprowadzenie minimalnego zakresu środków bezpieczeństwa oraz uspójnienie kar administracyjnych stanowi dodatkowy bodziec dla firm by zainwestować w środki bezpieczeństwa. Dzięki jednolitemu zarządzaniu infrastrukturą informatyczną i automatyzacji, a także zapisywaniu kopii zapasowych oraz zawieraniu ubezpieczenia od ryzyk cyfrowych, firmy mogą skuteczniej realizować te wymagania, co pozwoli im nie tylko spełnić nowe regulacje prawne, ale również znacząco poprawić swoje ogólne bezpieczeństwo informacyjne. Jednak najważniejszym czynnikiem, które ma decydujący wpływ na bezpieczeństwo jesteśmy my – ludzie. Dlatego powinniśmy stale pogłębiać swoją wiedzę na temat profilaktyki cyberzagrożeń i bezpieczeństwa IT” – podsumowuje Sebastian Wąsik.
