Zapraszamy na webinar EXATEL, podczas którego nasz prelegent, Łukasz Bonczek Dyrektor Biura Analiz i Rozwoju Biznesu w EXATEL, omówi kluczowe aspekty związane z dyrektywą NIS2, w tym jej definicję, zakres regulacji, istotne podmioty oraz obowiązki wynikające z nowych przepisów. To okazja do zrozumienia, jakie zmiany niesie ze sobą NIS2 i jakie mają one implikacje dla przedsiębiorców. Publikujemy część II tekstu prelegenta zapowiadającego webinar.
NIS 2 | EXATEL | Self-Defined Network
Łukasz Bonczek Dyrektor Biura Analiz i Rozwoju Biznesu EXATEL S.A.:
Obowiązki związane z dyrektywą NIS2
Część IIDyrektywa NIS2 wprowadza prawie takie same obowiązki dla podmiotów kluczowych i ważnych. Powinny one jednak uwzględniać specyfikę konkretnej organizacji. Zgodnie z art. 21 ust. 1 dyrektywy, podmioty kluczowe i ważne wprowadzają odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne. Celem wprowadzenia tych środków jest zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych
wykorzystywanych przez te podmioty oraz zapobieganie wpływowi incydentów na odbiorców usług tych podmiotów lub na inne usługi.
Wprowadzane środki powinny uwzględniać najnowszy stan wiedzy, odpowiednie normy europejskie i międzynarodowe, a także koszty ich wdrożenia. Ustawodawca unijny wskazuje także co należy brać pod uwagę, oceniając odpowiedzialność tych środków. Robiąc to należy uwzględniać stopień narażenia podmiotu na ryzyko, wielkość podmiotu i prawdopodobieństwo wystąpienia w nim incydentów oraz ich dotkliwość, w tym ich skutki społeczne i gospodarcze.
W dyrektywie wskazany został minimalny zakres środków, które podejmować musi każda organizacja. Obejmuje on co najmniej następujące elementy:
a) politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
b) obsługę incydentu;
c) ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
d) bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
e) bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
f) polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
g) podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
h) polityki i procedury stosowania kryptografii i w stosownych przypadkach, szyfrowania;
i) bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
j) w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Dyrektywa wprowadza odpowiedzialność organów zarządzających podmiotu za wprowadzenie odpowiednich środków. Co prawda określenie, za kogo uważa się organy zarządzające, nie jest doprecyzowane w samej dyrektywie, ale zostanie to zapewne skonkretyzowane w projekcie regulacji krajowej. Środki zarządzania ryzykiem w cyberbezpieczeństwie mają być zatwierdzane przez organy zarządzające podmiotu. Żeby prawidłowo realizować te obowiązki, organy te zobligowane zostały do odbywania regularnych szkoleń. Państwa członkowskie UE powinny również zachęcać podmioty kluczowe i ważne do oferowania podobnych szkoleń swoim pracownikom.
Podmioty dobierając do zastosowania konkretne środki powinny uwzględniać podatności charakterystyczne dla każdego bezpośredniego dostawcy i usługodawcy oraz ogólną jakość produktów i praktyk cyberbezpieczeństwa dostawców i usługodawców, w tym ich procedury bezpiecznego opracowywania.
Zgodnie z art. 24 dyrektywy NIS2, państwa członkowskie UE, w celu wykazania zgodności opisanych powyżej środków zarządzania ryzykiem w cyberbezpieczeństwie z wymogami prawnymi, będą mogły
wymagać od podmiotów kluczowych i ważnych stosowania konkretnych produktów, usług i procesów ICT certyfikowanych zgodnie z europejskimi programami' certyfikacji cyberbezpieczeństwa. Komisja Europejska będzie z kolei uprawniona do określenia, od których kategorii podmiotów należy wymagać stosowania certyfikowanych produktów, usług i procesów ICT.
Artykuł 25 ust. 1 dyrektywy NIS2 stanowi, że aby wspierać spójne wdrażanie środków zarządzania ryzykiem w cyberbezpieczeństwie, państwa członkowskie, nie narzucając ani nie faworyzując stosowania określonego rodzaju technologii, zachęcają do stosowania europejskich i międzynarodowych norm i specyfikacji technicznych istotnych z punktu widzenia bezpieczeństwa sieci i systemów informatycznych. Normami, które znajdą tu zapewne zastosowanie, są normy z serii ISO/IEC 27000, jak również standard NIST SP 800-53.
Istotnym novum w dyrektywie NIS2 są regulacje dotyczące bezpieczeństwa łańcucha dostaw. Dotychczas kwestie te nie podlegały szczegółowej regulacji. Tymczasem już w motywie 85 do dyrektywy NIS2 mowa o tym, że podmioty kluczowe i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług oraz środków zarządzania ryzykiem w cyberbezpieczeństwie stanowiący ich część, a także praktyki dotyczące
cyberbezpieczeństwa stosowane przez dostawców produktów i usług, w tym ich procedury bezpiecznego opracowywania. Podmioty kluczowe i ważne mają być zachęcane do włączania środków zarządzania ryzykiem w cyberbezpieczeństwie do ustaleń umownych z bezpośrednimi dostawcami i usługodawcami. Podmioty te powinny też rozważyć ryzyko pochodzące od dostawców i usługodawców z innych poziomów. Brzmienie tego motywu, w połączeniu z art. 21 ust. 2 lit d dotyczących konieczności uwzględnienia w stosowanych przez podmiot środkach bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami mogą wywrzeć znaczny wpływ na cały rynek. Za pośrednictwem tych przepisów, przy ich umiejętnej transpozycji do krajowego porządku prawnego, dojdzie do efektu śnieżnej kuli i rozlewania się wymogów dotyczących cyberbezpieczeństwa na kolejnych podwykonawców oraz dostawców. Regulacje te uzupełnione są dodatkowo w art. 22 dyrektywy, zgodnie z którym Grupa Współpracy we współpracy z Komisją i ENISA może przeprowadzać skoordynowane szacowanie ryzyka dla bezpieczeństwa określonych krytycznych łańcuchów dostaw usług ICT, systemów ICT lub produktów ICT, z uwzględnieniem technicznych i w stosownych przypadkach, pozatechnicznych czynników ryzyka. Po konsultacji z Grupą Współpracy i ENISA oraz w razie potrzeby z odpowiednimi zainteresowanymi stronami Komisja wskazuje konkretne krytyczne usługi ICT, systemy ICT lub produkty ICT, które można poddać skoordynowanemu oszacowaniu ryzyka dla bezpieczeństwa. Mechanizm ten ma wpłynąć na wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej.
Niestosowanie się do skoordynowanego szacowanie bezpieczeństwa ryzyka dostaw będzie naruszeniem postanowień dyrektywy i jako takie podlegać będzie karom administracyjnym.
Zapisz
się do newslettera:
