Dyrektywa NIS2 – jakie obowiązki nakłada na objęte nią podmioty?

Na wdrożenie do krajowego porządku prawnego dyrektywy NIS2, czyli nowelizacji pierwszego unijnego aktu dotyczącego cyberbezpieczeństwa, państwa członkowskie UE mają czas do 17 października 2024. Od tego momentu każdy podmiot objęty regulacjami wynikającymi z unijnego dokumentu będzie musiał spełniać stawiane przez nią wymagania – w przeciwnym razie zostanie na niego nałożona surowa kara finansowa. Trzeba zaznaczyć, że w porównaniu do NIS1 wymagania te są znacznie bardziej restrykcyjne, obejmują również większy zakres przedsiębiorstw. Z tego powodu warto już teraz się z nimi zapoznać i wdrożyć odpowiednie rozwiązania, które zapewnią zgodność z założeniami dyrektywy.

Wymagania stawiane wobec podmiotów objętych NIS2

Dyrektywa NIS2 nakłada na objęte nią podmioty szereg nowych obowiązków, które można podzielić na 4 główne kategorie:

1. Zarządzanie ryzykiem – przedsiębiorstwa objęte NIS2 muszą wdrożyć odpowiednie i proporcjonalne środki zarządzania ryzykiem uwzględniające stopień narażenia podmiotu na ryzyko, jego wielkość oraz prawdopodobieństwa wystąpienia incydentów i ich dotkliwość. Obejmują one m.in. implementację systemów wykrywania i reagowania na incydenty cyberbezpieczeństwa, stworzenie planów zarządzania kryzysowego czy też implementację polityk i procedur dot. zarządzania dostępem do systemów informatycznych.
2. Raportowanie incydentów – podmioty będą miały również obowiązek zgłaszania incydentów w ciągu 24h i stworzenia pełnego raportu w ciągu 72h, a także raportów końcowych w ciągu miesiąca. W ramach tego wymogu konieczna jest także ocena wpływu incydentu na ciągłość działania podmiotu i bezpieczeństwo informacji oraz współpraca z organami nadzoru, aby wyjaśnić okoliczności incydentu i wdrożyć działania naprawcze.
3. Nadzór i egzekwowanie – to wymóg, który dotyczy organów nadzorczych, mających obowiązek przeprowadzania regularnych kontroli i audytów w objętych regulacjami NIS2 podmiotach oraz nałożenia kar w razie nieprzestrzegania wymogów.
4. Szkolenia pracowników – firmy, których dotyczy NIS2, będą także musiały przeprowadzać regularne szkolenia kadry kierowniczej w kwestiach cyberbezpieczeństwa; zaleca się ponadto szkolenie pracowników zajmujących się sprawami dotyczącymi cyberbezpieczeństwa.

Podmioty objęte NIS2 muszą ponadto przeprowadzić wstępny audyt zgodności z NIS2 (https://www.sprinttech.pl/audyty/dyrektywa-nis-2/), który potwierdzi ową zgodność lub też stwierdzi braki w niektórych obszarach.

Jakie rozwiązania warto wdrożyć, aby spełnić obowiązki wynikające z NIS2?

NIS2 nie precyzuje dokładnie, jakie kroki muszą podjąć objęte nią podmioty, aby dostosować się do nowych regulacji – mają pod tym względem dowolność w wybraniu odpowiednich rozwiązań, o ile faktycznie doprowadzą one do zapewnienia zgodności z przepisami. Wśród propozycji, które należy rozważyć, wymienić można między innymi regularne audyty bezpieczeństwa i testy penetracyjne, przeprowadzane przez zewnętrzną firmę specjalizującą się w tym zakresie (https://www.sprinttech.pl/). Na ich podstawie możliwe będzie wykrycie potencjalnych słabości i luk w zabezpieczeniach oraz ich usunięcie. Konieczne będzie zainstalowanie zaawansowanych aplikacji antywirusowych, chroniących przed atakami, na które system danego podmiotu jest szczególnie narażony. Ułatwić monitorowanie i wykrywanie zagrożeń, a także reagowanie na nie czy raportowanie incydentów może usługa SOC (https://www.sprinttech.pl/soc/), gwarantująca kompleksową ochronę nad cyberbezpieczeństwem firmy.

Trzeba także pamiętać o kwestiach pozornie prozaicznych, czyli przestrzeganiu podstawowych zasad bezpieczeństwa. Wdrożenie szyfrowania danych, stosowanie dwuskładnikowych logowań, regularne przeprowadzanie aktualizacji oprogramowania czy korzystanie wyłącznie z usług sprawdzonych dostawców, mimo iż może wydawać się nieznaczące, w praktyce stanowi podstawę ochrony przed cyberatakami.