Dyrektywa NIS i NIS 2 – co zawierają? | Biznes Netia
Menu główne

Dyrektywa NIS i NIS2 – co zawierają?

26 kwietnia 2024, Autor: Piotr Jagielski, Kierownik ds. Rozwoju ICT, Netia S.A.

Uchwalona przez Unię Europejską w lipcu 2016 r. Dyrektywa NIS (ang. Network and Information Systems Directive) była fundamentem dla wielu zmian w zakresie cyberbezpieczeństwa we wszystkich krajach członkowskich, a nowe regulacje, które pojawiły się w ich następstwie, objęły kilkaset polskich podmiotów. Dyrektywa NIS2 wprowadza kolejne regulacje, a planowana w jej wyniku nowelizacja ustawy o Krajowym Systemie Bezpieczeństwa (KSC) obejmie niedługo kolejnych kilka tysięcy polskich firm i instytucji. Czy Twoja firma jest na to gotowa?

 
 
 
   

Dyrektywa NIS – co to jest?

 

Dyrektywa NIS to pierwsze uchwalone przez Parlament Europejski prawo dotyczące cyberbezpieczeństwa. Jej powstanie było efektem wzmożonego ruchu sieciowego i bardzo dynamicznego rozwoju wszelkiego rodzaju usług online oraz cyfryzacji praktycznie każdego sektora biznesu. Wprowadzenie nowych zasad ujednoliciło poziom bezpieczeństwa cyfrowego w poszczególnych krajach członkowskich. Dyrektywa NIS dawała członkom stosunkowo dużą swobodę w organizacji bezpieczeństwa „na własnym podwórku”.

 

Co zawiera dyrektywa NIS?

 

Dyrektywa NIS reguluje trzy obszary (zwane w jej treści filarami) i stanowi bardzo obszerny dokument. W dalszej części artykułu skupimy się na przedstawieniu jej najważniejszych założeń:

 

• Pierwszy filar – zakłada powstanie w każdym z krajów członkowskich instytucji odpowiedzialnych za bezpieczeństwo cyfrowe, tzw. CSIRT (ang. Computer Security Incident Response Team, zespół reagowania na incydenty bezpieczeństwa).

 

• Drugi filar – dotyczy współpracy krajów członkowskich na poziomie technicznym oraz strategiczno-politycznym. Ten filar realizowany jest przez tak zwane Cooperation Group oraz sieć CSIRT, w skład których wchodzą przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja Europejska jako obserwator.

 

• Trzeci filar – reguluje obowiązek reagowania na incydenty, obowiązek implementacji systemów bezpieczeństwa adekwatnych do ryzyka w poszczególnych sektorach i wiele innych. Dyrektywa nakłada również na członków UE stworzenie dedykowanej strategii narodowej w zakresie cyberbezpieczeństwa.

 

Czym jest dyrektywa NIS2?

 

Dyrektywa NIS2 to rewizja istniejącej dyrektywy NIS. Jej powstanie było efektem kilku czynników:

 

• Przyczynił się do tego między innymi wybuch pandemii COVID-19, która znacznie przyśpieszyła cyfryzację, w tym popularyzację i rozwój usług chmurowych oraz zwiększyła znaczenie dostawców usług cyfrowych na rynku. Nowa dyrektywa obejmie swoimi regulacjami także bezpieczeństwo łańcucha dostaw.

 

• Dyrektywa NIS2 ma też skłonić instytucje państw członkowskich do bardziej skrupulatnego nakładania kar na przedsiębiorstwa, które nie wywiązują się z nałożonych obowiązków przez dyrektywę NIS (w Polsce poprzez ustawę o KSC). W grę wchodzą również kary nakładane na zarządy firm. Wartość kary może sięgać nawet 10 milionów euro lub 2% całkowitego rocznego światowego obrotu firmy.

 

• Trzecim z głównych powodów było niedoszacowanie liczby „krytycznych” pod względem cyberbezpieczeństwa sektorów gospodarki. Wprowadzenie nowej klasyfikacji i dodanie do listy wielu nowych podmiotów ma wpłynąć na poprawę bezpieczeństwa w UE i wiedzy CSIRT (ang. Computer Security Incident Response Team) na temat ogólnego poziomu cyberbezpieczeństwa.

 

• Problemem, który ujawnił się po uchwaleniu dyrektywy NIS były duże różnice w sposobie i zakresie implementacji przepisów w ramach prawa państw członkowskich UE oraz nierówne rozłożenie podziału na operatorów usług kluczowych i pozostałe firmy w obrębie Wspólnoty.

 

Dyrektywa NIS2 nanosi na państwa członkowskie obowiązek opracowania planu i procedur na wypadek wystąpienia incydentów i kryzysów o dużej skali.

 

Największą zmianą z perspektywy firm i instytucji jest znaczne rozszerzenie zakresu podmiotów objętych zarządzeniami dyrektywy. Już niedługo w naszym kraju na kilka tysięcy firm zostaną nałożone duże wymagania dotyczące cyberbezpieczeństwa. Wiele podmiotów może nie być gotowych do spełnienia warunków. Jak sobie z tym poradzić? Piszemy o tym w dalszej części artykułu.

 

Dyrektywa NIS2 – od kiedy obowiązuje?

 

17 października 2024 r. upływa termin na wdrożenie unijnej Dyrektywy NIS2 do polskiego prawa, której celem jest wzmocnienie cyberodporności Unii Europejskiej. Wprowadza ona nowe wymagania dotyczące cyberbezpieczeństwa dla podmiotów podlegających regulacjom UE.

 

Kogo dotyczy Dyrektywa NIS2? Jakie są jej najważniejsze cele?

 

Dyrektywa NIS2 dotyczy podmiotów kluczowych i ważnych, definiując jednocześnie zasady, na jakich podmioty będą kwalifikowane do każdej z grup. Oprócz samej klasyfikacji należy pamiętać o najważniejszych dla wskazanych podmiotów obszarach i wymaganiach, które Dyrektywa NIS2 definiuje. Są to:

 
  • zagwarantowanie należytego poziomu cyberbezpieczeństwa sieci i systemów informacyjnych należących do podmiotu,

  • raportowanie incydentów dotyczących cyberbezpieczeństwa wskazanym organizacjom, zgodnie z wymogami formalnymi i w wymaganym czasie,

  • ciągłe podnoszenie świadomości pracowników w dziedzinie cyberbezpieczeństwa,

  • podejmowanie działań mających na celu zapobieganie incydentom.
 

Poniżej szczegółowo opisujemy 3 pierwsze cele NIS2 i wskazujemy konkretne wymagania Dyrektywy.

 

Pierwszy cel Dyrektywy NIS2 – odpowiedni poziom cyberbezpieczeństwa

 

Zagwarantowanie odpowiedniego poziomu cyberbezpieczeństwa jest najważniejszym celem wdrażania NIS2. Jednocześnie musimy pamiętać, że dyrektywa oczekuje patrzenia na zagadnienia cyberbezpieczeństwa nie tylko z perspektywy pojedynczej organizacji, ale również z punktu widzenia jej klientów i dostawców. Podmioty, których dotyczyć będą wymagania NIS2, muszą przygotować i zaimplementować odpowiednie rozwiązania organizacyjne i techniczne, mające za zadanie chronić infrastrukturę podmiotu przed cyberzagrożeniami. Podchodząc do zagadnienia we właściwy sposób, konieczne będzie przeprowadzenie wnikliwej analizy posiadanych systemów i rozwiązań teleinformatycznych, określenia ich krytyczności i roli, jaką odgrywają w procesie biznesowym, oraz zidentyfikowanie potencjalnych słabych punktów czy zagrożeń.

 

Tak przeprowadzona analiza będzie doskonałym punktem wyjścia do podjęcia decyzji, jakie dodatkowe środki ochrony wdrożyć lub w jaki sposób poprawić obecnie stosowane rozwiązania (systemy cyberbezpieczeństwa) oraz w jaki sposób wprowadzić lub zmodyfikować procedury pozwalające na optymalne wykorzystanie tych rozwiązań.

 

Kolejnym krokiem jest zapewnienie ciągłości monitorowania sieci i systemów informatycznych. To jeden z głównych powodów wdrażania rozwiązań odpowiedzialnych za cyberbezpieczeństwo. Sama instalacja urządzeń, bez codziennej analizy ich pracy, nie podniesie znacząco poziomu cyberbezpieczeństwa. A co więcej, nie każda organizacja będzie w stanie samodzielnie podołać temu zadaniu.

 

Ciągłość monitorowania, wykrywania ewentualnych nieprawidłowości, prowadzenie audytów w celu optymalizowania skuteczności stosowanych rozwiązań cyberbezpieczeństwa, wymagają dużego zaangażowania po stronie organizacji. Dla firmy, która do tej pory nie posiadała dedykowanej komórki odpowiedzialnej za taki zakres obowiązków, to proces bardzo czasochłonny i niezwykle kosztowny. Warto więc rozważyć zlecenie monitorowania podmiotowi zewnętrznemu, który swoimi kompetencjami zapewni oczekiwany poziom realizacji zadań przy zdecydowanie niższych kosztach.

 

Efektem monitorowania staje się, prędzej czy później, wykrycie incydentów bezpieczeństwa. Życzeniem wszystkich jest, aby taka sytuacja nigdy nie miała miejsca, ale powinniśmy być przygotowani na to, że może się wydarzyć. Oznacza to, że podmioty powinny być gotowe na wystąpienie incydentu cyberbezpieczeństwa oraz mieć opracowane procedury reagowania, umożliwiające szybką i skuteczną reakcję na incydent.

 

Po wystąpieniu incydentu, podjęcie działań mających na celu przywrócenie normalnego funkcjonowania systemów poprzedza ważny proces opracowania i wdrożenia zmian, które pozwolą na uniknięcie takich sytuacji w przyszłości. Zmiany te mogą dotyczyć zarówno samej konfiguracji systemów monitorujących, jak również kształtu procedur określających korzystanie z systemów informatycznych. W tym zakresie również warto skorzystać z doświadczeń firm, które na co dzień zajmują się takimi zagadnieniami.

 

Drugi cel Dyrektywy NIS2 – dzielenie się informacjami o zagrożeniach

 

Drugim z celów wprowadzania przepisów dotyczących cyberbezpieczeństwa jest skłonienie podmiotów do dzielenia się informacjami o zagrożeniach i incydentach cybernetycznych. W związku z tym, na podmioty podlegające Dyrektywie NIS2 nałożono obowiązek zgłaszania incydentów cyberbezpieczeństwa odpowiednim organom regulacyjnym w określonych przypadkach i terminach. Sam sposób oraz czas na zgłaszanie incydentów będzie z pewnością wynikał z ustaw wprowadzających Dyrektywę NIS2 na terenie naszego kraju, ale już warto o tym pamiętać i w odpowiedni sposób się przygotować.

 

Przede wszystkim należy odpowiednio rozumieć, co kwalifikuje się do określenia mianem incydentu cyberbezpieczeństwa. W przypadku, gdy wystąpi: atak hakerski, zablokowanie (zaszyfrowanie treści), utrata danych, utrata dostępu do systemów czy nieautoryzowany dostęp do systemów, to z całą pewnością mamy do czynienia z incydentem cyberbezpieczeństwa. Ogólnie można założyć, że incydentem są wszelkie zdarzenia, które mogą negatywnie wpłynąć na działalność firmy lub narażać na ryzyko poufność, integralność lub dostępność danych.

 

Oprócz informowania o incydentach konieczne będzie przygotowywanie i przechowywanie dokumentacji na ich temat. Dokumentacja powinna zawierać dokładne i szczegółowe informacje o incydencie, opis działań, jakie zostały podjęte podczas mitygowania incydentu oraz zmiany, jakie zostały wprowadzone po to, aby zabezpieczyć się na przyszłość przed podobnymi zdarzeniami.

 

Raportowanie incydentów ma jeszcze jedno znaczenie - dzięki systematycznemu raportowaniu o atakach i ich przyczynach, podmioty na wspólnym rynku mogą lepiej chronić swoje zasoby, efektywniej korzystać z narzędzi cyber oraz pomagać i wspierać narodowe organizacje zajmujące się zwalczaniem cyberprzestępczości.

 

Zlecając monitorowanie poziomu cyberbezpieczeństwa firmom zewnętrznym, podmioty mogą oczekiwać również, iż poinformowanie o incydencie zostanie wykonane przez firmę, a raporty, w odpowiednim kształcie oraz przy zachowaniu wymaganych prawem terminów, trafią do wskazanych w przepisach instytucji.

 

Trzeci cel Dyrektywy NIS2 – świadomość pracowników

 

Trzeci obszar, na który wskazuje Dyrektywa NIS2, to obszar szkoleń i konieczność ciągłego podnoszenia świadomości pracowników w zakresie cyberbezpieczeństwa. Wprowadzenie i utrzymanie odpowiedniego poziomu cyberbezpieczeństwa wiąże się z angażowaniem w ten proces całego personelu. Bezpieczeństwo zależy nie tylko od specjalistów cyber, ale również, a może nawet przede wszystkim – od tych pracowników, którzy na co dzień są tylko użytkownikami systemów teleinformatycznych.

 

W związku z tym podmioty objęte NIS2 mają obowiązek podnosić świadomość swoich pracowników na temat zagrożeń cybernetycznych oraz zapewnić im odpowiednią wiedzę i umiejętności, aby dzięki temu skuteczniej chronić systemy informatyczne firmy. Dobrym zwyczajem powinno stać się cykliczne szkolenie informujące o najczęstszych i najbardziej „aktualnych” metodach ataków, takich jak:

   

Oprócz tego warto informować o zasadach bezpiecznego korzystania z systemów informatycznych firmy.

 

Do monitorowania efektów szkoleń warto posługiwać się regularnymi testami wśród pracowników. Idealnie do tego celu nadają się kierowane, kontrolowane ataki socjotechniczne, które pozwolą sprawdzić, czy pracownicy poprawnie rozpoznają zagrożenia, jak na nie reagują i czy we właściwy sposób informują o ich wystąpieniu. Podnoszenie świadomości pracowników może okazać się kluczowym elementem efektywnej strategii cyberbezpieczeństwa. To pracownicy często są pierwszą linią obrony przed atakami cybernetycznymi. Inwestowanie w edukację pracowników trzeba postrzegać nie tylko jako wymóg NIS2, ale przede wszystkim, jako strategiczne działanie bezpośrednio wpływające na bezpieczeństwo cybernetyczne organizacji.

 

Dyrektywa NIS2 – istotna dla każdej firmy!

 

Z perspektywy NIS2 sytuacja każdego przedsiębiorstwa może być inna, bo będzie wynikać z unikalnej specyfiki konkretnej branży przemysłu czy usług, dotychczasowych doświadczeń oraz kształtu i wyposażenia tej części organizacji, która jest bezpośrednio odpowiedzialna za zagadnienia związane z cyberbezpieczeństwem. To, co wynika pośrednio z Dyrektywy NIS2, to konieczność traktowania cyberbezpieczeństwa jako ciągłego procesu, wymagającego odpowiedniego wdrożenia, doskonalenia i uaktualniania.

 

Cyberbezpieczeństwo nie dotyczy podmiotów indywidualnie - incydent w jednej firmie może mieć krytyczny wpływ na działanie innej firmy - i właśnie na tym koncentruje się Dyrektywa NIS2 w swoich regulacjach. Pojawiające się często pojęcie łańcucha dostaw wymaga, aby o cyberbezpieczeństwie myśleć nie tylko z perspektywy pojedynczej organizacji, ale również z punktu widzenia jej klientów i dostawców. Oznacza to, że każdy, kto podlega regulacjom NIS2, może oczekiwać od swoich dostawców poprawnego podejścia do zagadnień cyber i jednocześnie musi zagwarantować swoim klientom, że sam wypełnia swoje obowiązki w tej dziedzinie.

 

Dyrektywa NIS a ustawa o KSC

 

Ustawa o Krajowym Systemie Cyberbezpieczeństwa weszła w Polsce w życie w sierpniu 2018 r. Była implementacją dyrektywy NIS – pierwszego unijnego prawa regulującego kwestię cyberbezpieczeństwa w obrębie państw członkowskich Wspólnoty. Ustawa sklasyfikowała tak zwanych operatorów usług kluczowych (OUK), którzy zostali objęci restrykcyjnymi przepisami w zakresie cyberbezpieczeństwa. Na liście znalazło się kilkaset podmiotów (w tym firmy z sektora energetycznego, transportowego, bankowość, służba zdrowia i inne).

 

Do najważniejszych obowiązków OUK należało między innymi:

 

• zaimplementowanie adekwatnych do ryzyka środków bezpieczeństwa,

 

• ich utrzymanie oraz monitorowanie,

 

• zgłaszanie wszelkich incydentów do odpowiednich CSIRT, czyli Computer Security Incident Response Team (CSIRT NASK, CSIRT GOV i CSIRT MON).

 

Ponadto operatorzy usług kluczowych mają obowiązek przeprowadzania raz na dwa lata audytów swoich zabezpieczeń.

 

Pod koniec 2020 r. Unia Europejska przyjęła projekt dyrektywy NIS2. W efekcie już miesiąc później, tj. w styczniu 2021 r. rozpoczęto prace nad nowelizacją ustawy o Krajowym Systemie Bezpieczeństwa. Zmiany będą znaczące i obejmą dużą grupę podmiotów (szacuje się, że nawet kilka tysięcy na terenie naszego kraju).

 

Oprócz operatorów usług kluczowych specjalne wymagania dotyczące cyberbezpieczeństwa spełnić będzie musiała druga grupa – tak zwane podmioty istotne. Mają być tutaj sklasyfikowane m.in. podmioty świadczące usługi pocztowe i kurierskie, dostawcy usług cyfrowych, producenci maszyn, urządzeń i pojazdów.

 

Czy Twoja firma ma odpowiednią ochronę przed cyberatakami?

 

Nie jesteśmy w stanie przewidzieć, kiedy wejdzie w życie znowelizowana ustawa o KSC (spodziewany czas jest jednak krótki – nawet 3–4 miesiące). W przeciwieństwie do pierwotnej wersji ustawy z 2018 r., główni zainteresowani nie otrzymają decyzji administracyjnych od Ministerstwa Cyfryzacji o objęciu regulacjami ustawy.

 

Niestety sprostanie wymogom znowelizowanej ustawy o Krajowym Systemie Cyberbezpieczeństwa będzie wymagało znacznie więcej wysiłku niż jedynie stosowanie się do podstawowych zasad cyberbezpieczeństwa. Szacuje się, że wdrożenie wymaganych zmian może zająć firmie nawet kilkanaście miesięcy. To zdecydowanie zbyt długi czas, z uwagi na planowane vacatio legis, czyli okres od publikacji aktu prawnego do momentu jego wejścia w życie, które w przypadku ustawy o KSC wyniesie zaledwie 30 dni.

 

Jak sobie z tym poradzić? Jednym z najwygodniejszych rozwiązań jest skorzystanie z usługi Netia SOC, czyli Security Operations Center – wykwalifikowanego zespołu specjalistów ds. bezpieczeństwa teleinformatycznego, którzy zajmą się cyberbezpieczeństwem w Twojej firmie. Nowelizacja ustawy o KSC zakłada bowiem, że w realizację założeń mogą być zaangażowane zewnętrzne zespoły SOC, prowadzące proaktywny monitoring sieci przy użyciu wydajnych systemów i reagujące na incydenty bezpieczeństwa, a następnie przesyłające stosowne raporty do sektorowych i krajowych zespołów reagowania CSIRT. Zespół Netia SOC ponadto realizuje szeroki wachlarz zaawansowanych usług bezpieczeństwa, które pomogę w osiągnięciu zgodności z istniejącymi i nowymi regulacjami, m.in. skanowania podatności sieciowych i aplikacyjnych, audyty bezpieczeństwa, testy penetracyjne, analiza złośliwego oprogramowania, ochrona poczty firmowej, ochrona przed wyciekami danych firmowych czy wreszcie szkolenia w zakresie cyberbezpieczeństwa.

 

Co daje postawienie na zewnętrzny SOC? Zgodność z nowymi przepisami bez wdrażania w firmie poważnych zmian, budowania co najmniej kilkunastoosobowego zespołu i inwestowania w infrastrukturę sprzętową.

 

Wiesz już, kiedy weszła w życie dyrektywa NIS, co oznacza dyrektywa NIS2 i jak wpływa na ustawę o KSC. Liczymy, że przedstawione tu porady pomogą Twojej firmie odnaleźć się w nowej rzeczywistości.

   
 
 
 
 
 

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Formularz kontaktowy

Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą

Inne formy kontaktu

  • alt1

    Infolinia dla nowych klientów
    (Codziennie 8:00 - 18:00)
    +48 22 35 81 550

  • alt2

    Obsługa klienta i wsparcie techniczne
    (Dostępne 24/7)
    801 801 999
    biznes@netia.pl

  • alt3

    Adres korespondencyjny Netia S.A.
    skr. pocztowa nr 597
    40-950 Katowice S105

Polecane treści:

Wybierz swój język ×