Dyrektywa NIS2 (Network and Information Security Directive 2)

Odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne są niezbędne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

O NIS2

(DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) [Network and Information Security]) Został ogłoszony przez Unię Europejską i będzie obowiązywał od 18 października 2024 roku. NIS2 stanowi aktualizację pierwotnej dyrektywy NIS z 2016 roku i ma na celu wzmocnienie bezpieczeństwa cybernetycznego w całej Unii Europejskiej. NIS2 obejmuje rozszerzenie zakresu regulacji na nowe sektory, takie jak np. dostawcy usług chmurowych oraz wprowadzenie nowych wymogów dotyczących raportowania incydentów cybernetycznych, współpracy między państwami członkowskimi oraz zwiększenia sankcji za naruszenia bezpieczeństwa IT. Celem NIS2 jest poprawa odporności infrastruktury cyfrowej na zagrożenia cybernetyczne i zwiększenie gotowości państw członkowskich do przeciwdziałania atakom w cyberprzestrzeni.

Środki techniczne, operacyjne i organizacyjne

Polityka analizy ryzyka i bezpieczeństwa systemów informatycznych
Obsługa incydentu
Ciągłość działania (np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej) i zarządzanie kryzysowe;
Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami
Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie
Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa
Polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania
Bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami
W stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Atrybuty informacji w NIS2

Znamy atrybuty informacji w Systemie Zarządzania Bezpieczeństwem Informacji zwane Triadą CIA (Confidentiality, Integrity, Availability). Istotne jest również, aby informacja wykorzystywana w procesach cyberbezpieczeństwa obejmujących zagadnienia dotyczące ciągłości działania czy zarządzania incydentem posiadała trzy dodatkowe cechy decydujące o jej przydatności co oznacza, że musi ona być:
1. Prawdziwa/rzetelna
2. Dostępna szybko
3. Możliwa do natychmiastowego wykorzystania
Zespoły OpenBIZ preferują oprogramowanie Tenable^® ponieważ ono zapewnia, że informacja te cechy posiada.

Współpraca OpenBIZ, Red Into Green oraz DWF Poland

Podobnie jak w przypadku rozporządzenia DORA jeśli wdrożenie NIS2 ma zostać przeprowadzone w odpowiedni sposób, zespoły techniczne powinny współpracować z zespołami prawnymi. Połącznie tych dwóch różniących się od siebie światów nie jest łatwe ale przy pomocy odpowiednich narzędzi, możliwe.

Tenable Security Center+ i Red Into Green

Przeprowadzenie odpowiedniej inwentaryzacji bezpieczeństwa jest kluczowe przy ustalaniu w jakim punkcie znajduje się organizacja oraz na czym skupić się w pierwszej kolejności implementując wymagania NIS2. Dzięki połączeniu S.C.+ oraz RIG otrzymujemy zarówno dane techniczne pochodzące z systemów Tenable jak i informację biznesowe gromadzone w systemie RIG. Pomaga to zebrać informacje o najważniejszych zagrożeniach technicznych oraz kluczowych procesach biznesowych.