Kontakt
Reklama
REKLAMA
(2)

Dyrektywa cyberbezpieczeństwa NIS2-czym jest i jakich firm dotyczy

REKLAMA
Dodano wtorek, 7.05.2024 r., godz. 07.30

Postępująca zależność od technologii sprawia, że kluczowym wyzwaniem dla biznesu staje się ochrona firmowych danych. Obecnie cyberzagrożenia są codziennością, dlatego rozwój bezpieczeństwa informatycznego powinien być kluczowym elementem strategii każdej firmy. Zmiany w ustawodawstwie europejskim i polskim powodują, że cyberbezpieczeństwo to nie jedynie zbiór dobrych praktyk, a podstawa funkcjonowania w świecie technologii firm z wielu sektorów gospodarki.

Cyberbezpieczeństwo a zmieniające się regulacje prawne

Ministerstwo Cyfryzacji przedstawiło w kwietniu 2024 nowy projekt ustawy o Krajowym Systemie Cyberbezpieczeństwa, który ma na celu zwiększenie bezpieczeństwa użytkowników jak i danych organizacji w obliczu narastających zagrożeń. Projekt uwzględnia wymogi dyrektywy unijnej NIS2, której wdrożenie dla krajów UE jest obowiązkowe do października 2024 roku. Dotychczas najbardziej obszerna dyrektywa o bezpieczeństwie IT ma na celu wdrożenie nowych przepisów unifiukujących i określających standardy dla przesiębiorstw. Zmiany mają być odpowiedzią na zmieniające się wyzwania bezpieczeństwa informatycznego, które pojawiły się na przestrzeni ostatnich lat. W ramach nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, wprowadzono istotne zmiany regulacyjne dotyczące dostawców usług cyfrowych oraz organów administracji publicznej. Zmiany te nakładają obowiązek implementacji zaawansowanych systemów zarządzania bezpieczeństwem danych, zgodnie z wymogami art. 21 dyrektywy NIS2. Nowelizacja ustawy o cyberbezpieczeństwie wprowadza szereg zmian mających na celu wzmocnienie odporności systemów na incydenty i podniesienie poziomu ochrony. Zmiany te mają zapewnić szybszą reakcję na zagrożenia, co obejmuje procedury zgłaszania i obsługi zdarzeń, oraz okresowe raportowanie. Opracowywana ustawa obejmuje między innymi:

1. Zaktualizowanie listy podmiotów kluczowych i ważnych.
2. Modyfikacje w strukturze i działaniach zespołów CSIRT.
3. Zmiany w funkcjonowaniu Systemu S46.
4. Wzrost nadzoru i środków egzekwowania przepisów przez odpowiednie organy.
5. Poszerzenie kompetencji Ministra Cyfryzacji.
6. Aktualizacje obowiązków Pełnomocnika ds. cyberbezpieczeństwa i Kolegium ds. cyberbezpieczeństwa.

Dyrektywa NIS2 - charakterystyka

Network and Information Security Directive 2 to uchwała Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r., dotycząca działań mających na celu zapewnienie wysokiego, wspólnego standardu cyberbezpieczeństwa na obszarze Unii Europejskiej. Poprzednią dyrektywę NIS zaktualizowano, aby dostosować rynek do szybko rozwijającej się cyfryzacji oraz rosnących zagrożeń w cyberprzestrzeni. Przepisy te rozszerzają zakres ochrony na dodatkowe sektory i podmioty, co ma za zadanie zwiększenie ochrony systemów IT oraz efektywność reagowania na incydenty bezpieczeństwa w sektorach publicznym i prywatnym na terenie całej Unii Europejskiej.

Dyrektywa NIS2 wprowadza szereg nowych środków mających na celu podwyższenie poziomu bezpieczeństwa informatycznego. Wśród nich znajdują się wymagania dotyczące wzmocnienia gotowości państw członkowskich poprzez utworzenie specjalistycznych zespołów CSIRT oraz krajowych organów odpowiedzialnych za sieci i systemy informatyczne. Ma to na celu nie tylko zabezpieczenie, ale i umożliwienie szybszego reagowania na incydenty zgodnie z opracowaną wcześniej polityką bezpieczeństwa. Oprócz tego dyrektywa zobowiązuje do stworzenia lepszej współpracy międzynarodowej oraz rozwijania kultury bezpieczeństwa w sektorach kluczowych dla gospodarki, ale przede wszystkim wśród samych użytkowników. Kluczowi operatorzy oraz dostawcy usług cyfrowych, takich jak usługi w chmurze, będą zobligowani do zachowania szczególnych środków bezpieczeństwa oraz informowania o każdym znaczącym incydencie cybernetycznym, zwiększając przez to ogólne bezpieczeństwo danych w UE. Główni gracze na rynku usług chmurowych tacy jak Microsoft, Google, Amazon czy Wasabi już oferują rozwiązania oraz strategie dostosowane do wymogów NIS2.

Jakie nowości wprowadza dyrektywa NIS2?

W nowej wersji dyrektywy rozszerzono zakres podmiotów, które muszą stosować się do regulacji. Dyrektywa NIS2 odchodzi od wcześniejszego rozróżnienia między operatorami usług podstawowych a dostawcami usług cyfrowych. Z racji postępującej cyfryzacji, teraz organizacje są klasyfikowane na podstawie ich znaczenia, dzieląc je na podmioty kluczowe oraz podmioty ważne. Nowelizacja dyrektywy obejmuje także średnie i duże przedsiębiorstwa w konkretnych branżach i umożliwia bardziej elastyczne podejście do identyfikacji mniejszych firm, ale nadal istotnych pod względem ryzyka incydentów bezpieczeństwa.

Zaktualizowane przepisy wprowadzają również nowe wymogi, w tym wdrożenie strategii zarządzania i analizy ryzyka, opracowanie polityk bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw oraz stworzenie planów ciągłości działania po wystąpieniu incydentów. Istotna jest również zasada Zero Trust, która zakłada niezbędny i minimalny dostęp do danych dla użytkowników.

Dyrektywa NIS2 wprowadza też bardziej rygorystyczne procedury zgłaszania incydentów oraz surowsze kary za ich niezgłaszanie. Podmioty kluczowe oraz ważne są zobowiązane do informowania odpowiedniego organu CSIRT (lub innego organu) o poważnych incydentach do 24 godzin. Dodatkowo, organizacje mają być zobowiązane do poinformowania swoich klientów o zaistniałych zdarzeniach czy nawet potencjalnych zagrożeniach.

Jakich firm dotyczy NIS2?

Obejmuje ona średnie firmy zarówno z sektora publicznego, jak i prywatnego z krajów członkowskich Unii Europejskiej. Rozszerzenie będzie determinowało dostosowanie się wielu firm w Polsce, jednak jest to szansa na podwyższenie standardów bezpieczeństwa i konkurencyjności w globalnym ujęciu. Przepisy dotyczą organizacji z różnych branż, które są uznane za podmioty kluczowe i ważne.

Podmioty kluczowe obejmują sektory takie jak:
- energetyka,
- transport,
- opieka zdrowotna,
- infrastruktura cyfrowa,
- bankowość,
- infrastruktura rynków finansowych,
- administracja publiczna,
- sektor wody pitnej,
- ścieki,
- zarządzanie usługami ICT.

Podmioty ważne według NIS2 obejmują:
- usługi pocztowe i kurierskie,
- gospodarkę odpadami,
- produkcję, przetwarzanie i dystrybucję chemikaliów,
- produkcję przetwarzanie i dystrybucję żywności,
- szeroko pojętą produkcję,
- usługi cyfrowe,
- badania naukowe.

Jak dostosować zasoby IT do nowych regulacji?

Implementacja przepisów dyrektywy NIS2 w polskich przedsiębiorstwach jest kluczowym krokiem wzmocnienia bezpieczeństwa IT w całej Europie, jako wspólnym ekosystemie cyfrowym. Dla krytycznych sektorów gospodarki, dyrektywa wprowadza rygorystyczne wymogi zarządzania ryzykiem i zgłaszania incydentów, co jest odpowiedzią na rosnącą w zawrotnym tempie liczbę zaawansowanych cyberataków. Dostosowanie się do tych przepisów jest niezbędne nie tylko dla zapewnienia bezpieczeństwa, ale również dla stabilności operacyjnej i utrzymania zaufania klientów, dlatego dobór odpowiednich narzędzi w środowisku informatycznym jest niezwykle istotny.

Wybór platform chmurowych Microsoft 365 czy Microsoft Azure niesie za sobą wiele korzyści i zaawansowanych technologii spełniających wymagania NIS2. Główne wytyczne, jakie swoim zakresem obejmują te usługi chmurowe to:

- Polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informacyjnych
- Obsługa incydentów
- Ciągłość działania biznesu, zarządzanie kopiami zapasowymi, odzyskiwanie po awariach i zarządzanie kryzysowe
- Bezpieczeństwo w łańcuchu dostaw
- Bezpieczeństwo w zakupie, rozwoju i utrzymaniu systemów sieciowych i informacyjnych
- Podstawowe szkolenia z cyberbezpieczeństwa
- Polityki i procedury dotyczące przechowywania i szyfrowania haseł
- Bezpieczeństwo zasobów ludzkich i polityki kontroli dostępu
- Stosowanie uwierzytelniania wieloskładnikowego
- Bezpieczeństwo komunikacji

Szeroka gama narzędzi, jakie oferuje Microsoft pozwala na lepsze zarządzanie środowiskiem informatycznym naszej firmy. Jednak samo posiadanie tak zaawansowanych rozwiązań nie gwarantuje nam pełnego bezpieczeństwa. Aby w pełni wykorzystać zasoby platform chmurowych takich jak Microsoft 365 czy Azure, warto skorzystać z pomocy firm, które specjalizują się we wdrożeniach tych złożonych systemów. Firma informatyczna Lizard wykonuje audyty bezpieczeństwa IT, ale również zapewnia kompleksowe zabezpieczenie infrastruktury: od wdrożenia polityk i regulacji wewnętrznych dostosowanych do nowych przepisów, po optymalizację samych procesów backupu danych, zabezpieczenia urządzeń czy sieci. Zaawansowane możliwości, jakie daje wdrożenie przez ekspertów Microsoft Defender XDR czy innych zaawansowanych narzędzi Microsoft, pozwala na dostosowanie przedsiębiorstwa do wymogów NIS2. Dzięki temu nie tylko unikniemy ogromnych kar za brak odpowiednich rozwiązań, ale możemy zdobyć przewagę konkurencyjną i zyskać zaufanie obecnych jak i przyszłych klientów.

Autor: REKLAMA

Dodano: 07 maja 2024 r. godz. 07:30

Najczęściej czytane w tym tygodniu

Dziś w Poznaniu

Burze mogą być silniejsze niż zapowiadano. Zmieniono ostrzeżenie!
22℃
13℃
Poziom opadów:
0.9 mm
Wiatr do:
19 km
Stan powietrza
PM2.5
8.56 μg/m3
Bardzo dobry
Zobacz pogodę na jutro
epoznan.pl
Formularz kontaktowy
Zdjęcie/Video
Wysyłając niniejszy formularz niniejszym oświadczam, że jestem autorem przesyłanego zdjęcia/video/tekstu i zgadzam się na nieodpłatne wykorzystanie tego materiału na łamach epoznan.pl, wtkplay.pl i Telewizji WTK.
Jeśli zapomniałeś hasła podaj adres e-mail na który zarejestrowałeś swoje konto aby wygenerować nowe hasło.
Zgłoszenie “Spotted” wysłane. Po akceptacji redakcji, pojawi się na stronie.
Zgłoszenie “Wyznaję” wysłane. Po akceptacji redakcji, pojawi się na stronie.
KONTAKT:
Zgłoszenie “Spotted” wysłane. Po akceptacji redakcji, pojawi się na stronie.
Odpowiedz na komentarz
Komentarz został dodany.
Co powinniśmy w tym newsie poprawić?