IT Security

Dyrektywa NIS2: Niewiedza może być kosztowna

16. stycznia 2024, Avatar of Andreas KlareAndreas Klare

Niedawno w naszym blogu przedstawiliśmy założenia przepisów nowej unijnej dyrektywy - NIS2. Teraz chcemy wyjaśnić, z czym to się wiąże dla firm: jakie są możliwe konsekwencje jej nieprzestrzegania? Oraz jak UEM pomoże administratorom IT we wdrożeniu niektórych przepisów?

W pigułce

  • Niewystarczająca ochrona systemów IT jest niczym otwarta furtka dla cyberprzestępców.
  • Aktualizowanie kluczowych procesów biznesowych ma istotne znaczenie.
  • Dyrektywa NIS2 jest prawdziwym wyzwaniem, ale zaniechanie wdrożenia jej przepisów będzie bardzo kosztowne w przyszłości.
  • Szczególnie w czasach braku wykwalifikowanych pracowników, UEM jest ważnym elementem zabezpieczającym infrastrukturę krytyczną.

We wcześniejszym artykule pt. NIS2: Robi się POWAŻNIE przedstawiliśmy, które organizacje z siedzibą w UE objęte są nową dyrektywą NIS2. Odnosząc się do mojej wcześniejszej serii wpisów dotyczących Gwiezdnych Wojen, można łatwo wywnioskować, że technologia budowy Gwiazdy Śmierci z całą pewnością podlegałaby nowej dyrektywie NIS2. Teraz przyjrzymy się nowym wymaganiom, których nie było w poprzednich przepisach, a także sprawdzimy, co firmy muszą zrobić, aby zapewnić z nimi zgodność i jakie wyzwania czekają na administratorów IT w tym procesie.

Jedno jest pewne: wszystkie objęte nią przedsiębiorstwa są zobowiązane do rozszerzenia swoich działań w zakresie analizy ryzyka, bezpieczeństwa informacji, oceny i wdrażania zabezpieczeń, reagowaniem na incydenty, zarządzania kryzysowego oraz szkoleń w zakresie bezpieczeństwa cyfrowego.

Wyzwania związane z aktualizacją procesów

Głównym założeniem NIS2 jest szerokie spojrzenie na cyberbezpieczeństwo. Oznacza to, że dostosowanie się do nowych przepisów będzie prawdziwym wyzwaniem dla wielu firm, zwłaszcza biorąc pod uwagę już teraz duże zapotrzebowanie na wiedzę z zakresu cyberbezpieczeństwa i niedobór wykwalifikowanego personelu IT.

Oznacza to, że firmy obsługujące lub zaangażowane w infrastrukturę krytyczną (CRITIS) muszą zaktualizować środki techniczne i organizacyjne związane z zarządzaniem incydentami i ciągłością działania. Muszą także przeprowadzać regularne oceny ryzyka i wprowadzać dodatkowe zabezpieczenia dla wszystkich potencjalnych punktów dostępu do systemów informatycznych. I tu znowu słowem kluczem jest Gwiazda Śmierci. 

Przedsiębiorstwa objęte zapisami NIS2 muszą wprowadzić odpowiednie metody analizy ryzyka i ocenić skuteczność stosowanych zabezpieczeń. Ponadto konieczne są regularne szkolenia dotyczące cyberbezpieczeństwa. Nie należy zapominać, że bezpieczeństwo łańcucha dostaw, zarządzanie aktywami, a nawet bezpieczeństwo personelu również wchodzą w zakres NIS2.

Należy zrozumieć, że wymagane środki bezpieczeństwa dla firm objętych regulacjami opierają się przede wszystkim na potencjalnym wpływie, a nie na ich kosztach. Np. niektóre podmioty uznane jako część infrastruktury krytycznej muszą zarejestrować się w Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i zgłaszać incydenty bezpieczeństwa w kilku etapach:

  • Wstępny raport do 24 godzin
  • Zaktualizowany raport do 72 godzin
  • Raport końcowy do właściwej agencji ds. cyberbezpieczeństwa w ciągu miesiąca
     

A central aspect in the broadest sense is cybersecurity. Particularly in times of a shortage of skilled workers, NIS2 implementation is a real challenge for many companies when even more manpower is now required for corporate security.

In concrete terms, this means that CRITIS companies must update their technical and organizational security measures in the area of incident management as well as their business continuity plans. They are also required to conduct regular risk assessments to provide additional safeguards for all potential points of entry. Just here again the keyword: Death Star.

Affected companies must present effective concepts for risk analysis and also evaluate in them how effective which measures are. In addition, there must be regular training in the area of cyber security. Not to be forgotten: supply chain security, asset management and even personnel security fall under NIS2.

Here – and this is important for affected companies – the security measures required are not based on the cybersecurity costs invested, but primarily on the potential impact. For example, some affected CRITIS companies must register with the European Union Agency for Cyber Security (ENISA) and usually report security incidents in several stages:

  • Initial report within 24 hours
  • Update of this initial report within 72 hours
  • Final report to the BSI within one month

Pod groźbą grzywny: NIS2 czyni cyberbezpieczeństwo priorytetem w zarządzaniu

Dzięki NIS2 ogólna odpowiedzialność za cyberbezpieczeństwo i zapobieganie incydentom bezpieczeństwa w firmach KRITS będzie w przyszłości spoczywać na najwyższym kierownictwie. Jeśli firmy nie spełnią nowych wymogów, mogą zostać ukarane wysokimi grzywnami. Podczas gdy odpowiedzialność za zgodność z NIS2 będzie w przyszłości spoczywać na kierownictwie, CISO i działach bezpieczeństwa, faktyczne wdrożenie w obszarze technicznym często pozostanie w gestii specjalistów IT w ich codziennej pracy.

Dyrektywa NIS2: dlaczego firmy z obszaru infrastruktury krytycznej powinny zacząć już działać

Podmioty uznane za część infrastruktury krytycznej muszą natychmiast podjąć działania w celu wdrożenia wymaganych środków bezpieczeństwa, uwzględniając ograniczenia budżetowe i kadrowe. Ogólnie rzecz biorąc, lepiej jest inwestować w ulepszone środki ochrony i odzyskiwania danych wcześniej niż później.

Ponadto spełnienie wymogów NIS2 jest korzystne dla wszystkich firm, ponieważ znacząco zmniejsza ryzyko cyberataków. Organizacje mogą również poprawić swoją efektywność i produktywność.

Zestaw narzędzi do wydajnego zarządzania i zabezpieczania zasobów IT

Obecnie nie ma jednego narzędzia gwarantującego spełnienie wszystkich wymogów NIS2. Wiele dotychczasowych rozwiązań stosowanych do zwiększania cyberbezpieczeństwa może przyczynić się do zapewnienia zgodności z tą dyrektywą. Poza rozwiązaniami do monitorowania i kontroli dostępu do sieci, Unified Endpoint Management wspiera administratorów IT w zautomatyzowanym zarządzaniu wszystkimi punktami końcowymi, począwszy od szczegółowej inwentaryzacji zainstalowanego sprzętu i oprogramowania. Nie wolno pomijać żadnych typów punktów końcowych. Urządzenia sieciowe i kontrolery należy rejestrować w taki sam sposób jak komputery z systemem Windows lub urządzenia mobilne. Tego typu zarządzanie zasobami pomaga zapewnić solidne podłoże do spełnienia niektórych wymogów NIS2 w zakresie przejrzystości, analizy ryzyka i ogólnego bezpieczeństwa informacji.

Skuteczne zapobieganie incydentom poprzez usuwanie luk w zabezpieczeniach oraz zarządzanie aktualizacjami

Tam, gdzie NIS2 odnosi się do cyberhigieny i zapobiegania incydentom, uwzględnione jest zarządzanie słabymi punktami oraz aktualizacjami. Oczywiście, dzięki zautomatyzowanemu zarządzaniu podatnościami, patche oraz poprawki mogą być stosowane w dowolnym momencie i zgodnie z polityką na wszystkich urządzeniach IT i/lub OT dotkniętych luką. Dzięki ciągłemu monitorowaniu działy IT zawsze znają dokładny stan (BIOS/UEFI, system operacyjny, aplikacje, konfiguracja, uprawnienia itp.) każdego urządzenia, bez konieczności sprawdzania ich z osobna. Zagrożenia wyświetlane przez Defender są również cennymi informacjami. Jedynie ci, którzy posiadają przejrzyste informacje na temat luk w zabezpieczeniach, mogą je wyeliminować i zapobiec ich ponownemu wystąpieniu.

Choć może się to wydawać oczywiste, konsekwentne zarządzanie aktualizacjami jest kluczowym elementem niezawodnego bezpieczeństwa IT. Oznacza to instalowanie najnowszych wersji oprogramowania i systemów operacyjnych wszędzie tam, gdzie to możliwe i aktualizowanie ich na bieżąco. Dzięki temu na każdym komputerze znajduje się tylko to, co niezbędne i zaufane.

Środki bezpieczeństwa takie jak szyfrowanie dysku twardego (defense control), zezwalanie lub blokowanie oprogramowania oraz system zgłoszeń do szybkiego reagowania uzupełniają kompleksowe rozwiązanie UEM i pomagają administratorom IT spełnić część wymagań NIS2.

Zautomatyzowane zarządzanie lukami

Luki w infrastrukturze krytycznej to coś więcej niż tylko lokalne wyzwania. Z naszego oficjalnego biuletynu dowiesz się, w jaki sposób zautomatyzowane zarządzanie lukami w zabezpieczeniach może pomóc Twojej organizacji w radzeniu sobie z podatnościami.

Pobierz darmowy biuletyn na zautomatyzowane zarządzanie lukami

Czytaj więcej

Wpisy 1 do 3 z 3