Dyrektywa NIS2 sytuuje środki zarządzenia ryzykiem w cyberbezpieczeństwie jako jeden z jej kluczowych elementów. Już w preambule dyrektywy poświęca się im kilka punktów, wskazując, że:
- powinny uwzględniać stopień zależności podmiotu kluczowego lub ważnego od sieci i systemów informatycznych;
- obejmować środki mające na celu identyfikację ryzyka wystąpienia incydentów, zapobieganie incydentom, wykrywanie ich, reagowanie na nie i przywracanie normalnego działanie po ich wystąpieniu oraz łagodzenie ich skutków;
- powinny umożliwiać analizę systemową z uwzględnieniem czynnika ludzkiego, aby dawać kompletny obraz bezpieczeństwa sieci i systemu informatycznego;
- powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia.
Przed jakimi zagrożeniami mają one nas chronić? Ano przed takimi zagrożeniami, jak:
- kradzież,
- pożar,
- powódź,
- inne zjawiska naturalne.
- awaria telekomunikacyjna,
- awaria zasilania,
- nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią,
- błędy ludzkie,
- złośliwe działania
Jakie zaś w praktyce mają być zastosowane środki zarządzania ryzykiem w cyberbezpieczeństwie?
Otóż państwa członkowskie mają zapewnić aby podmioty kluczowe i ważne wprowadzały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, przy uwzględnieniu najnowszego stanu wiedzy oraz, w stosownych przypadkach, odpowiednich norm europejskich i międzynarodowych, a także kosztów wdrożenia środków.
To Wy decydujecie, jakie to będą środki, ale decyzja powinna być poprzedzona audytem oraz konsultacją z nami.
Prawodawca unijny wymaga, aby środki te obejmowały co najmniej:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
- obsługę incydentu;
- ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzanie kryzysowe;
- bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
- bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Obowiązki w zakresie zgłaszania incydentów
Dyrektywa NIS2 wymaga, aby podmioty kluczowe i ważne bez zbędnej zwłoki zgłaszały swojemu właściwemu CSIRT lub, jeżeli ma to zastosowanie, swojemu właściwemu organowi, poważny incydent mający istotny wpływ na świadczenie przez nie usług. Co ważne, samo zgłoszenie nie nakłada na podmiot zgłaszający zwiększonej odpowiedzialności
Dodatkowo, podmioty kluczowe i ważne bez zbędnej zwłoki powiadamiać mają odbiorców swoich usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych lub innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie. W stosownych przypadkach podmioty te informują również tych odbiorców o samym poważnym cyberzagrożeniu.
Dyrektywa NIS2 wymienia także, które incydenty są incydentami poważnymi – jeżeli:
- incydent spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu;
- incydent wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Jeśli chodzi o zgłoszenie incydentu właściwego CSIRT – NIS2 nakłada na podmioty kluczowe i ważne cztery najważniejsze obowiązki:
- dokonania maksymalnie w ciągu 24 godzin wczesnego ostrzeżenia;
- dokonania maksymalnie w ciągu 72 godzin zgłoszenia incydentu;
- sporządzenia sprawozdań okresowych;
- sporządzenia sprawozdania końcowego.
Zapoznaj się także z pozostałymi wymogami wynikającymi z dyrektywy NIS 2 oraz karami przewidzianymi za ich niespełnienie.