10 kluczowych kroków do zapewnienia zgodności, czyli Dyrektywa NIS2 okiem Connect Distribution
Data publikacji: 28.03.24r.
NIS2 okiem Connect Distribution
Z poniższego artykułu dowiesz się, czym jest dyrektywa NIS2, jakie obowiązki i kary z niej wynikają oraz kogo dotyczy. Poruszymy kwestie odnośnie tego co robić aby podnieść swoja odporność cybernetyczną i żyć w zgodzie z NIS2 oraz jak Connect Distribution może pomóc we wdrożeniu.
17 października 2024 roku to data, którą wiele organizacji oznaczyło w swoich kalendarzach grubym, czerwonym markerem i zapewne z niepewnością odlicza do niej dni. Tego dnia mija termin implementacji Unijnej Dyrektywy NIS2, która narzuca obowiązek wprowadzania w organizacjach szeregu rozwiązań i procedur bezpieczeństwa ICT. Dodatkowo niemały strach budzi przewidziany system kar za niedopełnienie związanych z tym obowiązków. Zanim wpadniemy w panikę przyjrzyjmy się chwilę czy diabeł jest taki straszny jakim go malują.
Czym jest NIS2?
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE weszła w życie 16 stycznia 2023 roku. Jest rozwinięciem działającej już od 2016 roku unijnej dyrektywy NIS. Główne zmiany jakie wprowadza NIS2 w stosunku do swojego pierwowzoru to:
- Znaczące rozszerzenie zakresu podmiotów objętych regulacjami.
- Zrównanie obowiązków nakładanych na główne grupy: „podmioty kluczowe” i „podmioty ważne”
- Uregulowanie wymagań w zakresie nakładania administracyjnych kar pieniężnych, sankcji karnych oraz odpowiedzialności osób na stanowiskach zarządczych.
Dodatkowo, celem Dyrektywy NIS2 jest również zapewnienie spójności z nowymi przepisami sektorowymi jak wprowadzone wcześniej rozporządzenie DORA, które stanowi „prawo szczegółowe” względem dyrektywy NIS2 i dotyczy podmiotów finansowych (oraz podmiotów świadczących usługi ICT na rzecz podmiotów finansowych).
Oznacza to, że podmioty finansowe, które dostosowały się do normy DORA będą spełniały NIS2.
Kto jest objęty dyrektywą NIS2?
Jak wspominałem wcześniej, obowiązek obejmuje dwie grupy: podmioty kluczowe oraz podmioty ważne. Do podmiotów kluczowych zaliczać będą się będą organizacje średniej i dużej wielości z następujących sektorów:
- Energetyka
- Transport
- Bankowość
- Infrastruktura rynków finansowych
- Opieka zdrowotna
- Sektor wody pitnej
- Ścieki
- Zarządzanie usługami ICT
- Przestrzeń kosmiczna
- Infrastruktura cyfrowa
Ponadto, w niektórych przypadkach obowiązek wdrożenia NIS2 nałożono na mikro i małe przedsiębiorstwa działające w sektorze Infrastruktury cyfrowej m.in. dostawców usług zaufania, dostawców usług DNS, a także komórki Administracji publicznej.
Kolejną grupą objętą dyrektywą są organizacje średniej i dużej wielości określone jako podmioty ważne. Do tej grupy zaliczać się będą:
- Gospodarowanie odpadami
- Usługi pocztowe i kurierskie
- Produkcja, przetwarzanie i dystrybucja chemikaliów
- Produkcja, przetwarzanie i dystrybucja żywności
- Produkcyjne
- Usługi cyfrowe
- Badania naukowe
Zakres podmiotowy jest dość szeroki. Według wstępnych szacunków dyrektywą NIS2 zostanie objętych około sześciu tysięcy organizacji w naszym kraju.
Co ciekawe wg estymacji na marzec 2024 , czyli 14 miesięcy po wejściu w życie dyrektywy ponad połowa firm nie jest przygotowana do spełnienia wymogów NIS2, a znaczna część tej grupy nie zdaje sobie w ogóle sprawy, że ich organizacje są tą dyrektywą objęte. Nasze niedawne spotkania z Partnerami podczas marcowego Roadshow Connect Distribution potwierdziły te informację. Część odbiorców wręcz była wręcz żywo poruszona koniecznością spełnienia założenia NIS2 i wiążącymi się z tym wydatkami.
Zarządzanie ryzykiem i zgłaszanie incydentów
Warto wspomnieć , że obie grupy tj. podmioty kluczowe i ważne muszą spełnić jednakowe obowiązki w zakresie zarządzania ryzykiem i zgłaszania incydentów. Oznacza to m.in. wdrożenie odpowiednich środków technicznych i operacyjnych w odniesieniu do zarządzania ryzykiem. Ponadto osoby zarządzające w tych organizacjach będą musiały zatwierdzać i nadzorować wdrażanie środków zarządzania ryzykiem, a w razie niedopełnienia obowiązków będą mogli zostać pociągnięci do odpowiedzialności.
Podmioty kluczowe i ważne będą także zobowiązane informować właściwy CSIRT (odpowiednik ENISA) o zaistnieniu poważnego incydentu, w terminach ściśle określonych przez dyrektywę NIS2:
- 24 godziny – dostarczenie do CSIRT „raportu wczesnego ostrzegania”
- 72 godziny – dostarczenie do CSIRT pełniejszego „powiadomienia o incydencie”
- 1 miesiąc – dostarczenie do CSIRT „raportu końcowego” ze szczegółowym opisem incydentu, w tym jego powagi, wpływu i opisu wdrożonych środków łagodzących
Co ze spóźnialskimi? Czy grożą jakieś kary?
Dyrektywa NIS2 w tym punkcie jest bardzo precyzyjna, przynajmniej w zakresie, który określa wysokość potencjalnych kar. Czego jeszcze nie wiemy (stan ma marzec 2024) to kto w Polsce będzie kontrolować firmy czy wprowadziły należycie NIS2, ani kto będzie pobierać kary. Niemniej, ta sprawa zostanie pewnie niedługo uregulowana, gdyż w grę wchodzą niemałe pieniądze i chętnych, aby tych pieniędzy nie wydać oraz z drugiej strony, żeby je pobrać na pewno nie zabraknie.
Na podmioty kluczowe, będzie mogła być nałożona administracyjna kara pieniężna w maksymalnej wysokości co najmniej 10 mln euro lub 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym przedsiębiorstwa.
Na podmioty ważne, będzie możliwość nałożenia kary co najmniej 7 mln euro lub
1,4% łącznego rocznego światowego obrotu w poprzednim roku.
Co robić ?
Jeśli nie mamy pojęcia od czego zacząć warto przeanalizować swoje dotychczasowe działania operacyjne, narzędzia oraz systemy zarządzania ryzykiem ICT. Musimy odpowiedzieć sobie na pytania, takie jak, m.in.
- Czy wiemy co robić w przypadku incydentu?
- Czy mamy przeszkolony personel w zakresie cyberbezpieczeństwa?
- Czy mamy rozdzielone obowiązki w zakresie bezpieczeństwa?
- Czy przeprowadzamy wewnętrznie audyty bezpieczeństwa?
- Czy mamy jakiekolwiek systemy wyszukiwania i zarządzania podatnościami w systemach IT?
Jeśli na żadne z tych pytań nie jesteśmy w stanie odpowiedzieć twierdząco, zapraszamy do kontaktu z naszą firmą.
Jak Connect Distribution może pomóc?
Na wstępie nadmienię, że nasza firma nie jest akredytowaną Unijną komórką nadzorującą czy kontrolującą właściwe wdrażanie NIS2. Poniższa lista kroków osiągniecia optymalnej odporności cybernetycznej proponujemy w oparciu o nasze wieloletnie doświadczenie w bezpieczeństwie ICT, a wdrożenie ich będzie pełną odpowiedzią na nałożone na nas obowiązki związane z NIS2.
Co zatem robić aby nasza odporność mieściła się w ramach omawianej dyrektywy?
Ustanowienie silnych ram zarządzania cyberbezpieczeństwa oraz opracowanie kompleksowego planu reagowania na incydenty czyli 10 kluczowych kroków do zapewnienia zgodności:
Pierwszym krokiem w tworzeniu kompleksowej strategii będzie określenie i udokumentowanie ról i obowiązków kluczowych interesariuszy, w tym zarządu, kierownictwa wyższego szczebla i personelu IT. Ważne jest, aby zdefiniować jasny zakres uprawnień, kanały komunikacji oraz przygotowanie kompleksowego planu reagowania na incydenty. Plan ten powinien zawierać jasne wytyczne dotyczące wykrywania i zgłaszania incydentów oraz krok po kroku proces ograniczania i łagodzenia szkód.
Warto tu zwrócić uwagę na reagowania na incydenty BlackBerry AdHoc. Rozwiązanie pomoże przygotować pełen zakres odpowiedzi i reagowania na incydenty w organizacji, takie jak ataki hakerskie, phishingi, wtargnięcia, podejrzane zachowania czy nawet zagrożenia fizyczne jak pożary.
Prowadzenie regularnych szkoleń uświadamiających dla pracowników
Pracownicy są często najsłabszym ogniwem w zakresie cyberbezpieczeństwa organizacji. Dlatego kluczowe znaczenie ma zapewnienie wszystkim pracownikom regularnych szkoleń w zakresie świadomości na temat najnowszych zagrożeń i najlepszych praktyk w zakresie ochrony zasobów cyfrowych organizacji. Szkolenie to powinno obejmować zarządzanie hasłami, oszustwa phishingowe i reagowania na wszelkie podejrzane zdarzenia zarówno w strukturze IT, jak i samej organizacji.
W ofercie Connect Distribution mamy dwa rozwiązania, które pomogą przygotować pracowników do prawidłowego reagowania na pojawiające się zagrożenia. Pierwszym jest Cofense, który oferuje możliwości przygotowywania wewnętrznych kampanii phishingowych i uczenia personelu jak prawidłowo reagować na phising i go zgłaszać.
Drugim rozwiązaniem jest RangeForce, będący platformą e-learningową dot. wszelkich zagadnień związanych z cyberbepieczeństwiem w zakresie od szkoleń podstawowych dla każdego, po zaawansowane szkolenia dla profesjonalistów cybersecurity.
Przeprowadzanie regularnych ocen ryzyka własnej infrastruktury oraz łańcucha dostaw
Regularne oceny ryzyka mają kluczowe znaczenie dla identyfikacji potencjalnych luk w naszej infrastrukturze cyfrowej. Oceny te powinny być przeprowadzane regularnie, aby zidentyfikować wszelkie nowe zagrożenia, słabe punkty w zabezpieczeniach i ocenić ogólne bezpieczeństwo łańcucha dostaw. Wyniki tych ocen powinny informować o strategii cyberbezpieczeństwa i identyfikować obszary, które wymagają dodatkowych zasobów lub uwagi.
W tym segmencie jesteśmy w stanie zaproponować szereg rozwiązań, które mogą odpowiadać na nasze poszczególne zapotrzebowania.
Forta Frontline jest skanerem podatności sieci firmowej oraz aplikacji webowych. Umożliwia ocenę i identyfikowanie luk w zabezpieczeniach. Ponadto, audyty zgodności, zarządzanie procesem usuwania podatności, szerokie możliwości filtrowania / raportowania, oraz tworzenie map zasobów, korelacji hostów w celu do wizualizacji stanu bezpieczeństwa sieci.
Immuniweb z kolei umożliwia nam pełne spojrzenie na firmę oczami hakera. Mamy pełny wgląd na naszą postawę bezpieczeństwa od strony Internetu. Widzimy nasze usługi, aplikacje webowe, mobilne, udostępnione zasoby sieciowe, a także wszelkie wzmianki o naszej organizacji w Dark Necie. Rozwiązanie może być wykorzystane pod kątem zapewnienia bezpieczeństwa łańcucha dostaw i sprawdzania firm trzecich. Ponadto testy podatności, testy penetracyjne aplikacji internetowych oraz mobilnych z dostosowanymi wytycznymi naprawczymi i gwarancją zerowej liczby fałszywych alarmów.
Probely narzędzie do przeprowadzania dokładne testów aplikacji webowych i interfejsów API, identyfikując podatności i zapewniając bezpieczeństwo wymiany danych. Siłą Probely są bardzo szerokie możliwości testowania API, wyjątkowo niski współczynnik fałszywych alarmów (0,06%) oraz najbardziej pro-klienckie, elastyczne licencjonowanie na rynku.
OPSWAT SBOM umożliwia przeprowadzenie analizy zgodności i bezpieczeństwa w łańcuchu dostaw oprogramowania. Programiści mogą identyfikować znane luki w zabezpieczeniach, weryfikować licencje i generować inwentaryzację komponentów dla oprogramowania open source (OSS), oraz zależności stron trzecich i kontenerów.
Regularna aktualizacja i łatanie infrastruktury i aplikacji
Jednym z popularniejszych wektorów ataku, dzięki któremu przestępcy uzyskują dostęp do naszych zasobów są niezałatane luki w infrastrukturze i aplikacjach. Dlatego tak ważne jest regularne aktualizowanie i łatanie infrastruktury cyfrowej i aplikacji, aby upewnić się, że wszystkie znane luki zostały wyeliminowane.
W tym zakresie funkcjonalności doskonale sprawdza się Flexera Software Vulnerability Manager, który dostarczy nam informacji o urządzaniach i zainstalowanym na nich oprogramowaniu, wersji software, skali podatności i ocenę zagrożenia oraz info o dostępnych łatkach. W kolejnym kroku ustalimy priorytety napraw, przydzielimy zadania to zespołów oraz zdalnie instalować łatki (patche). Rozwiązanie może integrować się z Miscrosoft SCCM.
Korzystanie z odpowiednich narzędzi do identyfikacji, monitorowania i analizy zagrożeń
Aby spełnić wymagania NIS2, należy użyć odpowiednich narzędzi do identyfikacji potencjalnych zagrożeń dla infrastruktury cyfrowej. Dostępne są różne narzędzia umożliwiające „polowanie” na zagrożenia, takie np. systemy wykrywania włamań, platformy analizy zagrożeń oraz systemy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM).
Z naszej strony możemy zaproponować szereg narzędzi od Solarwinds oraz BlackBerry.
Spójrzmy zatem na początek na System Event Manager od Solarwinds. Jest to nasza druga para oczy w sieci. Monitoruje podejrzane aktywności 24 godziny na dobę i umożliwia natychmiastowe reagowanie i minimalizowanie potencjalnie negatywnych skutków zdarzeń.
Innym spojrzeniem charakteryzuje się Cylance Optics od BlackBerry. Jest to rozwiązanie typu Endpoint detection and response (EDR), które gromadzi i analizuje dane z urządzeń w celu identyfikowania i unieszkodliwiania zagrożeń, zanim wpłyną one na użytkowników i dane organizacji.
Wdrożenie solidnych zabezpieczeń sieci i punktów końcowych
Bezpieczeństwo sieci i punktów końcowych to kluczowe elementy każdej kompleksowej strategii cyberbezpieczeństwa. Obejmuje to wdrożenie solidnych zapór ogniowych (firewalli), czy oprogramowania antywirusowego w celu ochrony przed zagrożeniami zewnętrznymi i wewnętrznymi oraz przeciwdziałania potencjalnym wektorom ataków. Ponadto środki bezpieczeństwa punktów końcowych, takie jak szyfrowanie danych i kontrola dostępu, mogą znacznie zmniejszyć ryzyko nieautoryzowanego dostępu do wrażliwych danych.
W naszej ofercie znajdują się rozwiązania firmy SonicWall, oferującejm.in. firewalle, dla dowolnej wielkości organizacji.
Warto tu ponownie zwrócić uwagę na BlackBerry i ich rozwiązanie CylanceProtect . Zapewne każdy z nas korzysta z jakiś antywirusów, ale ten producent wykracza daleko poza ten wąski opis. Ich rozwiązanie jest oparte na rozwijanej od ponad dekady sztucznej inteligencji. Protect analizuje zachowania plików i jeśli dany plik zachowuje się podejrzanie reaguje. W ten sposób eliminowane są wszelkie zagrożenia typu zero day.
Kolejnym zagadnieniem są rozwiązania typu MFT, czyli Managed File Transfer, służące do bezpiecznego, szyfrowanego przekazywania plików i dużej ilości danych pomiędzy organizacjami lub użytkownikami i uniemożliwiające ich przechwycenie. Tutaj naszą odpowiedzią w zależności o potrzeby klienta jest GoAnywhere od Fortra lub MFT od Opswat.
Przeprowadzanie regularnych audytów bezpieczeństwa
Wreszcie na koniec, kiedy wdrożymy procedury, nauczymy się prawidłowo reagować i poczynimy niezbędne zakupy narzędzi, warto sprawdzić czy nasze środki działają prawidłowo. Tutaj konieczne będą audyty przeprowadzane przez niezależną stronę trzecią i obejmować kompleksowe spojrzenie na cyberbezpieczeństwo naszej organizacji.
Tutaj nasza oferta skierowana jest właśnie do firm przeprowadzających audyty cyberbezpieczeństwa. Wspomniana wcześniej firma Fortra oferuje szereg narzędzi do tzw. Red Teamingu. Narzędzia te mogą współpracować ze sobą lub działań niezależnie. Zakres obejmuje identyfikowanie podatności, testy penetracyjne i symulacje adwersarzy. Wyszukiwane są słabe punkty w systemach, przypadki błędnej konfiguracji, wady w usługach i aplikacjach oraz ryzykowne zachowania użytkowników końcowych. Reasumując , systemy poddawane są tym samym metodom ataku, których używają dzisiejsi napastnicy.
30 letni kredyt czy idziemy z torbami?
Rzeczywiści powyższa lista brzmi jak wielkie zakupy i częściowo to prawda. Niemniej zanim weźmiemy „30 letni kredyt” warto przeanalizować swoje dotychczasowe procesy oraz narzędzia, a następnie ustalić czego nam brakuje i ustalić właściwie priorytety. Dzięki temu będziemy mogli alokować nasz budżet w niezbędne narzędzia, a cześć obowiązków wynikających z NIS2 wydelegować profesjonalnym usługodawcom zewnętrznym.
Pamiętajmy, że na samym końcu tej układanki jest bezpieczeństwo naszych danych, a poniesione wydatki będą niewspółmiernie niskie w stosunku do kosztów potencjalnych naruszeń czy kar określonych w dyrektywie.