Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Jak NIS 2 kształtuje przyszłość cyberbezpieczeństwa w organizacjach

08 styczeń 2024

Jak NIS 2 kształtuje przyszłość cyberbezpieczeństwa w organizacjach
Oleksii Doroshenko

Oleksii Doroshenko

Dyrektywa NIS 2 (Network and Information Systems Directive 2) jest istotnym elementem wzmocnienia cyberbezpieczeństwa w Unii Europejskiej. Uaktualnienie poprzedniej dyrektywy NIS odpowiada na rosnące potrzeby ochrony kluczowych infrastruktur i usług cyfrowych przed coraz bardziej wyrafinowanymi atakami. 

Ważne zmiany w dyrektywie NIS 2

Dyrektywa NIS 2, jako ewolucja poprzedniej dyrektywy NIS, wprowadza znaczące zmiany mające na celu wzmocnienie cyberbezpieczeństwa w Unii Europejskiej. Te zmiany uwzględniają doświadczenia i wyzwania napotkane podczas implementacji NIS 1, a także dynamiczny rozwój technologii i zagrożeń cyfrowych. Kluczowym aspektem nowej dyrektywy jest rozszerzenie zakresu sektorów objętych regulacją, obejmujące teraz nowe obszary krytyczne dla gospodarki i społeczeństwa, w tym usługi pocztowe i kurierskie. To rozszerzenie odpowiada na rosnące znaczenie komunikacji cyfrowej i logistyki w codziennym życiu, podkreślając potrzebę większej ochrony w tych sektorach.

NIS 2 wprowadza bardziej rygorystyczne wymogi dotyczące raportowania incydentów, zwiększając odpowiedzialność organizacji. Organizacje teraz muszą poinformować odpowiednie organy w ciągu 24 godzin od wykrycia incydentu. Wymaga to od firm wdrożenia bardziej zaawansowanych systemów do wykrywania i reagowania na incydenty, co ma na celu szybsze identyfikowanie i minimalizowanie potencjalnych szkód. Dyrektywa stawia także nacisk na bezpieczeństwo łańcucha dostaw, wymagając od organizacji dokładnej analizy i zarządzania ryzykiem związanym z dostawcami usług teleinformatycznych. Wymusza to nie tylko ocenę obecnych dostawców, ale również wdrażanie nowych wymogów cyberbezpieczeństwa w umowach.

W odpowiedzi na ograniczoną skuteczność kar finansowych w poprzedniej dyrektywie, NIS 2 znacząco zwiększa wysokość kar za naruszenia, które mogą sięgać do 10 milionów euro lub 2% całkowitego rocznego obrotu dla podmiotów kluczowych. Podkreśla to powagę, z jaką Unia Europejska traktuje zagadnienia cyberbezpieczeństwa. Dodatkowo, dyrektywa wprowadza pojęcie "poważnych incydentów", które obejmuje zarówno zakłócenia operacyjne, jak i potencjalne straty finansowe oraz wpływ na osoby fizyczne lub prawne, dając pełniejszy obraz skutków incydentów.

Podkreślając znaczenie międzynarodowego wymiaru cyberbezpieczeństwa, dyrektywa NIS 2 inicjuje znacznie większą współpracę i wymianę informacji między państwami członkowskimi Unii Europejskiej. To podejście ma na celu stworzenie bardziej zintegrowanej i skoordynowanej reakcji na zagrożenia cybernetyczne, które coraz częściej mają charakter transgraniczny. Współpraca międzynarodowa w ramach NIS 2 jest kluczowa, aby skutecznie stawić czoła wyzwaniom w dynamicznie zmieniającym się środowisku cybernetycznym, co przyczynia się do wzrostu ogólnego poziomu bezpieczeństwa cyfrowego na terenie całej Unii Europejskiej.

Analiza ryzyka i wymogi raportowania w kontekście NIS 2

W dobie rosnących zagrożeń cybernetycznych, dyrektywa NIS 2 stawia przed organizacjami nowe wyzwania w zakresie analizy ryzyka i raportowania incydentów. Istotne jest, aby podejście do tych zagadnień było kompleksowe, uwzględniając zarówno aspekty techniczne, jak i biznesowe. Wynikają z tego następujące wnioski, zaimplementowane w nowych przepisach: 

  • Analiza ryzyka cybernetycznego w kontekście NIS 2 wymaga kompleksowego podejścia. Organizacje muszą rozszerzyć zakres swojej analizy ryzyka, aby obejmowała nie tylko zagrożenia zewnętrzne, ale także wewnętrzne słabości systemów i procedur. Ta holistyczna analiza powinna wziąć pod uwagę wszystkie aspekty działalności organizacji, do technicznych po operacyjne i biznesowe, oceniając, jak cyberzagrożenia mogą wpływać na kluczowe operacje biznesowe i ciągłość działania. 

  • Kluczowe jest zrozumienie roli i odpowiedzialności organizacji w społeczeństwie. Analiza ryzyka powinna również skupić się na usługach krytycznych z punktu widzenia państwa i obywateli. Na przykład, dla elektrowni ważne będzie dostarczanie prądu, natomiast dla banków kluczowym aspektem będzie zapewnienie dostępu do usług bankowości elektronicznej.

  • Raportowanie incydentów wymaga nowego podejścia. NIS 2 nakłada na organizacje wymóg szybkiego raportowania incydentów, w ciągu 24 godzin od ich wykrycia. Działy IT i bezpieczeństwa muszą efektywnie wykrywać i reagować na incydenty oraz potrafić rozróżnić, które z nich są "poważne" i wymagają raportowania. Ponadto, istotne jest zrozumienie potencjalnego wpływu incydentów na społeczeństwo i państwo, co wymaga systemów zdolnych do oceny skali i wpływu incydentu w szerszym kontekście społecznym i gospodarczym.

Rola cyberbezpieczeństwa w łańcuchu dostaw

W kontekście dyrektywy NIS 2, rola cyberbezpieczeństwa w łańcuchu dostaw nabiera nowego wymiaru, stając się kluczowym obszarem, na którym organizacje muszą się skoncentrować. Nowe wymagania dotyczą zarówno zabezpieczenia własnych systemów organizacji, jak i tych należących do dostawców usług i technologii. Organizacje są zobowiązane do przeprowadzania regularnych audytów bezpieczeństwa swoich dostawców, by upewnić się, że spełniają one narzucone wymogi w zakresie cyberbezpieczeństwa. 

Kluczowe w tym procesie jest nie tylko weryfikowanie certyfikacji bezpieczeństwa firm, z którymi współpracujemy, ale także negocjowanie klauzul bezpieczeństwa w umowach. Aktywne zarządzanie ryzykiem wymaga ciągłego monitorowania i oceny poziomu cyberbezpieczeństwa dostawców usług teleinformatycznych, co stanowi nieodłączny element zabezpieczania całego łańcucha dostaw.

W tym kontekście coraz większe znaczenie mają testy penetracyjne, które powinny wykraczać poza samo sprawdzenie jednolitego systemu. W nowym paradygmacie, testy te powinny obejmować analizę szeregu integracji z innymi środowiskami, na przykład w systemach księgowo-płatniczych oraz innych krytycznych systemach, w których aplikacje są nierozerwalnie powiązane z różnorodnymi kanałami komunikacji. To podejście demonstruje, jak rozległy i kompleksowy charakter mają testy penetracyjne, obejmując w swoim zakresie nie tylko pojedyncze aplikacje, ale całe złożone systemy, sprawdzając ich zabezpieczenia w różnych scenariuszach i kontekstach.

Równie istotne stają się testy socjotechniczne, zwłaszcza w sytuacji, gdy firma współpracuje z licznymi dostawcami. Te testy wykorzystują wyrafinowane metody, aby sprawdzić, na ile pracownicy są podatni na różnego rodzaju manipulacje, które mogą prowadzić do naruszenia bezpieczeństwa. Przeprowadzanie takich testów w firmach o rozległej sieci dostawców pozwala na identyfikację potencjalnych luk w świadomości bezpieczeństwa i procedurach, jak również na zwiększenie ogólnej odporności organizacji na ataki socjotechniczne. Przykładem mogą być symulowane ataki phishingowe czy inżynieria społeczna, które testują, na ile pracownicy są przygotowani do rozpoznawania i odpowiedniego reagowania na próby wyłudzenia informacji czy dostępu do wrażliwych danych.

Cyberbezpieczeństwo nie jest już opcją, ale kluczowym elementem każdej organizacji działającej w cyfrowym świecie. Dyrektywa NIS 2 podkreśla ten fakt, stawiając nowe wymagania i wyznaczając nowe standardy. Organizacje, które zrozumieją i zaadaptują się do tych zmian, będą lepiej przygotowane na wyzwania przyszłości. Redsaber Security pomaga firmom dostosować się do dyrektywy NIS 2 zarówno instytucjom publicznym jak w sektorze prywatnym, oferując kompleksowe testy socjotechniczne dla pracowników jak i testy penetracyjne systemów internetowych, w celu poprawienia świadomości cyberzagrożeń oraz eliminacji podatności systemów.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności