3 strategie na spełnienie wymogów NIS2

 

Czym jest dyrektywa NIS2?

Dyrektywa NIS2 (UE 2022/2555) jest rozszerzeniem wcześniejszych regulacji NIS (Network and Information Systems), które obowiązywały od 2016 roku. Bieżąca wersja rozporządzenia weszła w życie 16 stycznia 2023 roku. Nakłada na firmy z różnych sektorów obowiązek spełnienia rygorystycznych wymogów dotyczących cyberbezpieczeństwa i infrastruktury krytycznej (CRITIS).

Nowe unijne rozporządzenie dotyczy firm zatrudniających ponad 250 pracowników, osiągających roczne przychody w wysokości co najmniej 50 mln EUR lub aktywach w wysokości 43 mln EUR. Obejmuje to organizacje z sektorów takich jak energetyka, transport, bankowość, opieka zdrowotna, infrastruktura cyfrowa oraz wiele innych. Dodatkowo, niezależnie od wielkości, pod dyrektywę podlegają dostawcy publicznych sieci telekomunikacyjnych, usług zaufania oraz inne podmioty o znaczeniu strategicznym dla gospodarki i społeczeństwa. Z raportu PwC wynika, że nowymi regulacjami zostanie objętych ponad 6000 podmiotów działających w 18 sektorach gospodarki w Polsce.

Co istotne, państwa członkowskie UE muszą wdrożyć wymogi NIS2 do przepisów krajowych do października 2024 roku.

Nowe wyzwania dla branży IT

Ustalone przez Unię Europejską wytyczne nakładają na firmy obowiązek spełnienia wymagań dotyczących analizy ryzyka, ochrony informacji, oceny i wdrażania środków bezpieczeństwa, reagowania na incydenty oraz zarządzania kryzysowego. Przedsiębiorstwa muszą zaktualizować swoje środki techniczne i organizacyjne związane z zarządzaniem incydentami i ciągłością działania. Konieczne jest przeprowadzanie regularnych ocen ryzyka oraz wprowadzanie dodatkowych zabezpieczeń dla wszystkich potencjalnych punktów dostępu do systemów informatycznych. Ponadto, podmioty objęte dyrektywą mają obowiązek przeprowadzać regularne szkolenia dotyczące cyberbezpieczeństwa oraz dbać o bezpieczeństwo łańcucha dostaw i zarządzanie aktywami.

Dla wielu firm spełnienie tych wymogów jest dużym wyzwaniem. Postępująca cyfryzacja, która nie omija żadnego sektora sprawia, że rośnie liczba potencjalnych punktów dostępu dla atakujących. Pełnienie nad nimi kontroli i skuteczne ich zabezpieczenie może przerosnąć możliwości wielu firm, szczególnie w obliczu niedoboru wykwalifikowanego personelu IT. Jak podała ostatnio Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), aż 39 proc. polskich firm nie zatrudnia ani jednego pracownika odpowiedzialnego za ten obszar, a w 45 proc. jest tylko jedna taka osoba.

Sposób na NIS2

Mimo iż powyższe wymagania mogą stanowić nie lada wyzwanie dla osób odpowiedzialnych za prawidłowości względem nowych regulacji, istnieją sposoby, aby maksymalnie ułatwić ten proces. Poniżej przedstawiamy 3 strategie, które pomogą organizacjom spełnić najbardziej rygorystyczne wymogi z zakresu cyberbezpieczeństwa.

1. Ujednolicone zarządzanie infrastrukturą oraz automatyzacja IT

Jedną ze strategii w zakresie przystosowania przedsiębiorstw do wymogów unijnej dyrektywy jest efektywne zarządzanie zasobami IT i aktualizacjami. Cyfryzacja gospodarki sprawia, że infrastruktura informatyczna firm stale się zwiększa. Do tego dochodzi problem braków kadrowych i luk kompetencyjnych, szczególnie w jeśli chodzi o specjalistów IT. W wielu organizacjach nie ma osób odpowiedzialnych bezpośrednio za cyberbezpieczeństwo, a część z nich może sobie pozwolić na zatrudnienie zaledwie jednej takiej osoby. W sytuacji, gdy organizacja posiada setki, a czasem nawet tysiące urządzeń wykorzystywanych przez pracowników w różnych miejscach w kraju i na świecie, szczególnie istotne staje się ujednolicone zarządzanie infrastrukturą informatyczną oraz automatyzacja podstawowych czynności działu IT. Aby utrzymać kontrolę nad rozproszonym ekosystemem urządzeń i systemów i zapewnić im niezachwiane bezpieczeństwo, niezbędne będzie zastosowanie dostępnych na rynku narzędzi UEM.

Zdaniem Sebastiana Wąsika, Country Managera baramundi software na Polskę:



2. Kopia zapasowa i cyberpolisa

Jak wskazuje ekspert, zastosowanie ujednoliconego zarządzania infrastrukturą IT daje solidne podstawy do zapobiegania incydentom, takie jak wgrywanie poprawek do luk w zabezpieczeniach, a w razie ich wystąpienia – szybszego ich wykrycia i reakcji. Zastosowanie środków zabezpieczających przed atakami nie zawsze jest wystarczające. Każda organizacja powinna przygotować się do tego, że mimo wdrożenia najdroższych narzędzi, prawdopodobnie padnie ofiarą cyberprzestępców. Dlatego oprócz środków ochronnych, firmy powinny także zadbać o solidną politykę utrzymania ciągłości działania i przywracania systemów po ataku. Dodatkowym istotnym elementem może być ubezpieczenie się od ryzyk cyfrowych.



3. Szkolenia z bezpieczeństwa

„Człowiek jest najsłabszym ogniwem w całym łańcuchu cyberbezpieczeństwa” – o słuszności tego stwierdzenia nieustannie się przekonujemy wraz z kolejnymi informacjami o ogromnych wyciekach danych czy incydentach bezpieczeństwa. Wystarczy jedno kliknięcie niezaznajomionego z najnowszymi metodami cyberprzestępców pracownika, aby zapewnić im bezpośredni dostęp nawet najlepiej chronionego systemu. Dlatego elementem każdej polityki bezpieczeństwa firmy powinno być regularne szkolenie pracowników w zakresie dobrych praktyk (tzw. cyberhigieny) i potencjalnych zagrożeń.



Czas ma znaczenie

Dyrektywa NIS2 stanowi istotny krok w stronę zwiększenia poziomu cyberbezpieczeństwa w Unii Europejskiej. Jednak firmy muszą podjąć szybkie działania w celu spełnienia nowych wymogów poprzez aktualizację procesów biznesowych oraz inwestycje w technologie zabezpieczające.



Źródło: baramundi software