Wdrożenie Dyrektywy NIS2 - ograniczenie ryzyka ataków w cyberprzestrzeni

Od pewnego czasu pracujemy nad wdrożeniem dyrektywy NIS2 (Network and Information System Directive). Jest to regulacja mająca na celu zwiększenie bezpieczeństwa operatorów usług kluczowych, zarówno w sektorze publicznym, jak i prywatnym, a także wzmocnienie cyfrowej odporności operacyjnej zgodnie z wytycznymi DORA (Digital Operational Resilience Act). Można stwierdzić, że jest to odpowiedź Unii Europejskiej na rosnące zagrożenia związane z cyberbezpieczeństwem.

Główne założenie Dyrektywy

Głównym celem NIS2 jest stworzenie jednolitych standardów bezpieczeństwa dla sieci i systemów informatycznych na terenie UE, co ma pomóc w budowaniu odporności na cyberzagrożenia. Realizuje się to poprzez:

• Zapewnienie wysokiego poziomu ochrony cybernetycznej w państwach członkowskich,
• Wdrożenie mechanizmów przeciwdziałających zagrożeniom dla sieci i systemów IT, Zagwarantowanie ciągłości działania kluczowych usług nawet w przypadku incydentów związanych z cyberbezpieczeństwem.

Dyrektywa NIS2 wprowadza również szereg istotnych zmian, takich jak:

• Rozszerzenie listy sektorów i podmiotów objętych regulacjami,
• Zaostrzenie wymagań dotyczących zarządzania ryzykiem – organizacje muszą opracować odpowiednie procedury, które umożliwią szybkie i bezpieczne radzenie sobie z cyberatakami,
• Wprowadzenie surowszych sankcji za nieprzestrzeganie wymogów dyrektywy.

Chociaż pierwotna wersja dyrektywy NIS została wprowadzona w 2016 roku, audyty wykazały, że jej wdrażanie w poszczególnych krajach było niespójne i niewystarczające. W obliczu dynamicznego rozwoju technologii chmurowych, usług SaaS, IoT oraz rosnącej liczby ataków ransomware, konieczne stało się bardziej spójne i zdecydowane podejście do kwestii cyberbezpieczeństwa.

Dyrektywa NIS2 dotyczy firm o średniej wielkości, czyli zatrudniających od 50 do 250 pracowników, oraz generujących roczny obrót przekraczający 10 mln EUR. W szczególnych przypadkach regulacje te mogą także objąć mikroprzedsiębiorstwa, zwłaszcza te, które świadczą usługi mające wpływ na bezpieczeństwo publiczne czy zdrowie obywateli.

NIS2 daje organom nadzorczym szerokie uprawnienia, takie jak:

• Przeprowadzanie niezapowiedzianych audytów bezpieczeństwa oraz egzekwowanie zaleceń audytowych,
• Wnioskowanie o udostępnienie informacji i dokumentacji,
• Nakazy zapewnienia zgodności z dyrektywą.

Ransomware - poważne zagrożenie w cyberprzestrzeni

Ransomware stało się jednym z najbardziej inwazyjnych ataków cybernetycznych ostatnich lat, według Europejskiej Agencji ds. Cyberbezpieczeństwa. Ransomware to złośliwe oprogramowanie (ang. ransom – okup, ang. software – oprogramowanie), które blokuje dostęp do plików lub je szyfruje. 

 

"Ransomware jest szczególnie niebezpieczny, ponieważ wymusza na ofierze szybką reakcję - często prowadzi to do bardzo stresującej sytuacji, co utrudnia podjęcie racjonalnych decyzji dotyczących ochrony danych."

Istotne aspekty Dyrektywy 

Dyrektywa skupia się na trzech kluczowych obszarach:

1. Zabezpieczenia systemów informacyjnych – szczególny nacisk kładzie się na sektory takie jak energetyka, transport, finanse, ochrona zdrowia czy administracja publiczna. Organizacje muszą wdrażać odpowiednie środki techniczne, takie jak szyfrowanie danych, zapory sieciowe, systemy wykrywania włamań, a także procedury związane z zarządzaniem bezpieczeństwem, np. audyty, szkolenia pracowników oraz aktualizacje systemów.
2. Zarządzanie incydentami – kluczowe jest szybkie reagowanie na incydenty, analiza oraz wyciąganie wniosków, by minimalizować ryzyko i ograniczać potencjalne straty.
3. Monitorowanie łańcucha dostaw – ma to na celu minimalizację ryzyka związanego z technologiami i usługami dostarczanymi przez podmioty z krajów trzecich, które mogą stanowić zagrożenie dla bezpieczeństwa.

Zgodnie z raportem Cybersecurity Ventures, w 2023 roku koszty cyberprzestępczości mogły przekroczyć 8 bilionów dolarów, co oznacza wzrost liczby ofiar o 33% w porównaniu do roku 2022. Zjawiska takie jak phishing, ransomware, czy złośliwe oprogramowanie są coraz powszechniejsze, a liczba cyberataków na polskie firmy w maju 2024 roku była pięciokrotnie wyższa niż w poprzednich miesiącach.

Certyfikacja ISO 27001:2022

W sierpniu 2024 roku przeprowadziliśmy audyt zgodny z nową normą ISO/IEC 27001:2022, dotyczącą bezpieczeństwa informacji, cyberbezpieczeństwa i ochrony prywatności. Aktualizacja tej normy obejmuje między innymi:

• Zabezpieczenia związane z pracą zdalną i polityką informacyjną,
• Bezpieczeństwo danych w chmurze,
• Ochronę fizyczną obiektów i nośników danych,
• Zabezpieczenia technologiczne, takie jak usuwanie informacji, zapobieganie wyciekom danych i uwierzytelnianie użytkowników.

 

"Certyfikacja zgodna z normą ISO 27001:2022, którą przeprowadziliśmy sierpniu 2024 roku, ma kluczowe znaczenie dla zapewnienia najwyższego poziomu bezpieczeństwa informacji. Dzięki temu audytowi wzmacniamy naszą zdolność do ochrony wrażliwych danych."

Podsumowując

Wdrożenie NIS2 w naszej firmie to kluczowy krok w zapewnieniu wysokiego poziomu bezpieczeństwa. Te działania nie tylko zwiększą naszą odporność na zagrożenia cybernetyczne, ale również wzmocnią zaufanie naszych klientów, potwierdzając, że nasze usługi są bezpieczne i zgodne z najnowszymi regulacjami.

Autor: