Nowe zasady i praktyki cyberbezpieczństwa – dyrektywa NIS2  

Jeszcze dziesięć lat temu cyberbezpieczeństwo było postrzegane przede wszystkim jako problem, z którym samotnie borykały się niektóre organizacje. W tej chwili cyberprzestępczość to zagrożenie dla całych sektorów przemysłu i stabilności szeroko rozumianej gospodarki cyfrowej. W tym kontekście szczególnie wrażliwy jest sektor publiczny, administracja rządowa, e-usługi i krytyczna infrastruktura krajowa CNI – Critical National Infrastructure. W lutym 2022 roku pogłębiły się napięcia geopolityczne, a to  zwiększyło prawdopodobieństwo, że CNI stanie się celem ataków cybernetycznych na dużą skalę lub wręcz wojny hybrydowej. Obrona przed tego typu agresją nigdy nie będzie łatwa w sytuacji ograniczonego budżetu, a przede wszystkim niedoboru umiejętności technicznych. 

Z tych właśnie powodów Unia Europejska zdecydowała się wzmocnić własne cyberbezpieczeństwo poprzez wdrożenie nowych zasad i wymagań dotyczących zapobiegania incydentom bezpieczeństwa oraz zarządzania nimi, a także nałożyć dodatkowe obowiązki na podmioty działające w sektorze usług kluczowych i dostawców usług cyfrowych. Dotychczasowa dyrektywa NIS1 (Network and Information Systems) z 2016 r. była już wtedy postrzegana jako znacząca ewolucję w przepisach dotyczących bezpieczeństwa IT, ale od tego czasu zbyt wiele się zmieniło, aby jej zapisy mogły bez zmiany pozostać w mocy. W konsekwencji w styczniu 2023 roku pojawiła się kolejna dyrektywa NIS2, która ma zostać przyjęta jako prawo przez państwa członkowskie do 17 października 2024 r. Ten dokument aktualnie jest najważniejszym i najbardziej znaczącym źródłem prawa w zakresie cyberbezpieczeństwa, jakie kiedykolwiek wprowadzono w państwach członkowskich.  

Zakres podmiotowy dyrektywy NIS2? 

Dyrektywa NIS 2 dotyczy podmiotów działających w Unii Europejskiej uważanych za „niezbędne” lub „istotne”, nawet jeśli siedziba takiej organizacji jest poza UE, ale usługi się oferowane na terenie Unii. 

Do pierwszej kategorii podmiotów „niezbędnych” należą te organizacje, które dostarczają usługi o wysokim stopniu krytyczności dla funkcjonowania państwa: 

1. Energetyka – dostawa, dystrybucja, przesyłanie i sprzedaż energii. 

2. Transport lotniczy, kolejowy, drogowy i morski. 

3. Finanse i bankowość wraz z całą infrastrukturą. 

4. Ochrona zdrowia w tym badania, produkcja i dystrybucja farmaceutyków. 

5. Woda pitna i ścieki. 

6. Infrastruktura cyfrowa – usługi DNS, dostarczanie usług zaufania, centrów danych, przetwarzania w chmurze, usług komunikacyjnych i innych usług cyfrowych oraz całego łańcucha dostaw. 

7. Administracja publiczna, gminy i regiony. 

8. Kosmos – oprogramowanie i usługi. 

W grupie podmiotów „istotnych” znalazły się takie organizacje, które się zajmują: 

1. Usługami pocztowymi i kurierskimi. 

2. Gospodarowaniem odpadami. 

3. Produkcją i dystrybucją chemikaliów. 

4. Wytwarzaniem, przetwórstwem i dystrybucją żywności.  

5. Produkcją wyrobów medycznych, urządzeń do diagnostyki in vitro, sprzętu komputerowego, elektronicznego i optycznego, wytwarzaniem sprzętu elektrycznego, maszyn i wyposażenia, pojazdów samochodowych, przyczep, naczepy i innego sprzętu transportowego. 

6. Dostawą usług cyfrowych na platformach handlowych online, w wyszukiwarkach i mediach społecznościowych. 

7. Badaniami naukowymi i rozwojem. 

Szacuje się, że dyrektywa NIS2 będzie miała bezpośredni wpływ na funkcjonowanie ok. 160 tys. organizacji w Europie, z tego na 6000 w Polsce. Ogólnie, co do zasady dyrektywą zostały objęte te organizacje publiczne i prywatne, które kwalifikują się jako średnie lub duże przedsiębiorstwa, czyli ich roczne obroty wynoszą więcej niż 10 milionów € i zatrudniają one ponad 250 pracowników. Bez względu na wielkość organizacji, wybrane podmioty z sektorów uznanych za krytyczne według dyrektywy CERⁱ będą musiały się stosować do zapisów NIS2. 

Kraje unijne będą musiały przyjąć zawansowane metody zarządzania ryzykiem, ściślej kontrolować swoje systemy, a także usprawnić obsługę incydentów. W ocenie specjalistów jednym z największych wyzwań będzie zapewnienie cyberbezpieczeństwa łańcuchów dostaw. Aktualnie to zagadnienie jest postrzegane jako globalna słabość krajów wysoko uprzemysłowionych.  

Kto nie podlega dyrektywie NIS2? 

Kryterium wielkości organizacje sugerowałoby, że małe firmy i mikrofirmy, czyli zatrudniające mniej niż 50 pracowników i mające poniżej 10 mln € rocznego obrotu, są zwolnione z obowiązków nakładanych przez dyrektywę NIS2ⁱⁱ. Są jednak wyjątki – bez względu na wielkość firmy nowymi obowiązkami są objęci dostawcy publicznej łączności elektronicznej, dostawcy usług zaufania, prowadzący usługi rejestracji domen najwyższego poziomu i dostawcy usług systemu nazw domen. Dodatkowo, dyrektywa wskazuje, że nie ma ona zastosowania do podmiotów administracji publicznej prowadzących działalność z zakresu obronności lub bezpieczeństwa narodowego, publicznego, organów ścigania i sądownictwa. 

Nowe obowiązki w dyrektywie NIS2 

Dyrektywa NIS2 w sposób proaktywny określa nowe wymagania związane z cyberbezpieczeństwem w czterech głównych obszarach każdej organizacji: zarządzania, raportowania do władz, zarządzania ryzykiem oraz zapewnieniem ciągłości działania. NIS2, oprócz obowiązku raportowania o incydentach, wprowadza odpowiedzialność kierownictwa firmy za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie oraz nakłada większe wymagania w zakresie zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowania poziomu cyberbezpieczeństwa oraz efektywnego wykorzystywania szyfrowania.  

Podmioty „niezbędne” i „istotne” lub jak kto woli „”kluczowe” i „ważne”, są zobligowane do wdrożenia odpowiednich polityk bezpieczeństwa tak, aby zapewnić systematyczną i pogłębioną analizę ryzyka. Polityki te powinny bazować na podejściu uwzględniającym wszelkie możliwe ryzyka, w tym także te związane z bezpieczeństwem fizycznym (all-hazard approach). Techniczne, operacyjne i organizacyjne środki zarządzania ryzykiem powinny być proporcjonalne do oszacowanego ryzyka. Monitorowanie oraz reagowanie na potencjalne zagrożenia muszą obejmować przynajmniej: 

• zapobieganie, wykrywanie i reagowanie na incydenty, 
• utrzymanie ciągłości działania i zarządzanie kryzysowe, 
• bezpieczeństwo łańcucha dostaw, 
• utrzymanie wysokiego poziomu świadomości o cyberzagrożeniach oraz szkolenia w tym zakresie, 
• bezpieczeństwo sieci i systemów informacyjnych, 
• polityka zarządzania i zgłaszania podatności, 
• bezpieczeństwo zasobów ludzkich, zarządzanie dostępami i aktywami, 
• uwierzytelnianie wieloskładnikowe oraz stosowanie kryptografii i szyfrowania. 

Oznacza to, w codziennej praktyce należy wykonać cały szereg konkretnych prac analitycznych i organizacyjnych. Dyrektywa dość dokładnie określa pewne minimum, w skład którego wchodzi: 

1. Oceny ryzyka i polityki bezpieczeństwa systemów informatycznych. 

2. Plan obsługi i postępowania w przypadku incydentów związanych z bezpieczeństwem. 

3. Plan zarządzania operacjami biznesowymi w trakcie i po incydencie bezpieczeństwa, włącznie z wymogiem posiadania aktualnych kopii zapasowych oraz planu zapewnienia dostępu do systemów informatycznych i ich funkcji operacyjnych w trakcie i po incydencie bezpieczeństwa. 

4. Bezpieczeństwo łańcucha dostaw i relacji z bezpośrednimi dostawcami, co w praktyce oznacza, że firmy muszą wybrać środki bezpieczeństwa odpowiadające słabym punktom każdego z bezpośrednich dostawców oraz ocenić ogólny poziom bezpieczeństwa wszystkich dostawców. 

5. Polityki i procedury oceny skuteczności środków bezpieczeństwa. 

6. Bezpieczeństwo związane z zakupem systemów oraz rozwojem i obsługą systemów, co oznacza wymóg posiadania zasad postępowania i raportowania luk w zabezpieczeniach. 

7. Plan szkoleń z zakresu cyberbezpieczeństwa i praktyk w zakresie podstawowej cyberhigieny urządzeń końcowych. 

8. Zasady i procedury dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania. 

9. Procedury bezpieczeństwa dla pracowników mających dostęp do wrażliwych lub ważnych danych, w tym zasady dostępu do danych. Firma musi także mieć zapewniony wgląd we wszystkie istotne aktywa i być pewna, że są one właściwie wykorzystywane i prawidłowo obsługiwane. 

10. Stosowanie uwierzytelniania wieloskładnikowego, rozwiązań ciągłego uwierzytelniania, szyfrowania głosu, wideo i tekstu oraz w razie konieczności szyfrowanej wewnętrznej. 

Co ważne, dyrektywa NIS2 dla usprawnienia współpracy międzynarodowej, ustanowiła Europejską Sieć Zarządzania Kryzysowego w Cyberprzestrzeni (EU Cyber Crises Liaison Organization Network, EU-CyCLONe), której zadaniem jest wspieranie i koordynacja zarządzania incydentami na dużą skalę na poziomie UE. 

Incydenty i ich zgłaszanie 

Z tej długiej listy wymaganych działań na pierwszy plan wybija się konieczność zaprojektowania i uruchomienia niezawodnych procesów obsługi incydentów. Muszą być one tak skonstruowane, aby skutecznie minimalizować skutki incydentów oraz pomagać w sprawnym odtworzeniu danych, systemów i aktywności całej organizacji. Procedury reagowania na incydenty muszą być napisane jasno i klarownie, z podziałem na poszczególne role, z dokładnym określeniem obowiązków wszystkich zaangażowanych osób.  

Dyrektywa NIS2 nakłada na organizacje obowiązek zgłaszania incydentów nie później niż w ciągu 24 godzin od momentu pozyskania wiedzy o incydencie. Następnie w ciągu 72 godzin powinna zostać przedstawiona wstępna ocena skutków incydentów, a w ciągu miesiąca przedłożony raport końcowy z podsumowaniem przyczyn, ogólnego wpływu i opisem podjętych środków zaradczych. Szczegóły postępowania, a przede wszystkim definicje incydentu, poważnego incydentu, cyberzagrożenia i poważnego cyberzagrożenia można znaleźć bezpośrednio w samej dyrektywieⁱⁱⁱ. 

Odpowiedzialność finansowa 

Zapewnienie poważnego traktowania dyrektywy NIS 2 i pełnego wprowadzenia w życie jej zapisów wymusza dość rozbudowany system kar finansowych.   

Na podmioty „kluczowe”, które naruszą zasady zarządzania ryzykiem lub zgłaszania incydentów, będzie mogła być nałożona administracyjna kara pieniężna w maksymalnej wysokości co najmniej 10 mln € lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrachunkowym. Oznacza to, że w poszczególnych krajach unijnych będzie dość duża swoboda w ustalaniu wysokości kar, jednak zawsze pozostanie minimum 10 mln €, a to bardzo wysoka kwota.  

Nieco odmiennie zostały potraktowane podmioty ważne. W ich przypadku maksymalna wysokość kary będzie musiała wynosić co najmniej 7 mln € lub 1,4% łącznego rocznego światowego obrotu.  

To jeszcze nie koniec – przewidziano także opcjonalne pieniężne kary okresowe, jeśli podmiot w dłuższym czasie uchyla się od przestrzegania przepisów dyrektywy. Kraje członkowskie mają możliwość wprowadzania własnych sankcji karnych za naruszanie dyrektywy lub innych implementujących ją przepisów. 

Dyrektywa NIS2 – praktyczne działania w zakresie infrastruktury IT 

Skuteczna ochrony przed cyberzgrożeniami wymaga od organizacji pełnej koordynacji działań we wszystkich dostępnych zasobach IT i całej infrastrukturze. Praktyka pokazuje, że tworzenie własnych izolowanych twierdz i oaz bezpieczeństwa jest jednak nieskuteczne i nieefektywne kosztowo. Takie systemy stają się zbyt złożone i kłopotliwe w zapewnianiu skoordynowanej ochrony. Przyszłość należy do platform oferujących długi szereg usług bezpieczeństwa, takich jak zapobieganie włamaniom, ochrona przed złośliwym oprogramowaniem, zapory nowej generacji (NGFW – Next-Generation Firewall), bezpieczna brama internetowa, zapobieganie wyciekom danych ( DLP – Data Loss Prevention), uwierzytelnianie wieloskładnikowe wraz ze scentralizowanym zarządzaniem, kontrolą i widocznością we wszystkich środowiskach sieciowych.  

Podsumowanie 

Istotą każdej dyrektywy unijnej jest zawsze narzucenie w tym samym czasie minimalnych standardów różnym organizacjom, sektorom i krajom. Zatem kluczem do sukcesu będzie to, w jaki sposób nowe zasady i standardy będą komunikowane specjalistom i zespołom ds. cyberbezpieczeństwa oraz to, w jako sposób będą przez nich rozumiane i interpretowane. Muszą oni ocenić wpływ dyrektywy na ich własne systemy oraz rozważyć, w jaki sposób ich własne bezpieczeństwo może wpływać na odporność organizacji, z którymi współpracują. Jak pokazuje praktyka, na końcowy efekt ma wpływ także implementacja zapisów dyrektywy w poszczególnych krajach, co nabiera dodatkowego znaczenia przy transgranicznej współpracy firm i organizacji.