Nowe wymagania organizacyjne
Aby zwiększyć odporność Europy na obecne i przyszłe zagrożenia cybernetyczne, dyrektywa NIS2 wprowadza nowe wymagania i obowiązki dla organizacji w czterech nadrzędnych obszarach:
- zarządzanie ryzykiem
- odpowiedzialność korporacyjna
- obowiązki sprawozdawcze
- ciągłość działania
Zarządzanie ryzykiem
Aby zachować zgodność z nową dyrektywą, organizacje muszą podjąć działania minimalizujące ryzyko cybernetyczne. Środki te obejmują zarządzanie incydentami, większe bezpieczeństwo łańcucha dostaw, zwiększone bezpieczeństwo sieci, lepszą kontrolę dostępu i szyfrowanie.
Odpowiedzialność korporacyjna
NIS2 wymaga od kierownictwa korporacji nadzorowania, zatwierdzania i przechodzenia szkoleń w zakresie środków cyberbezpieczeństwa stosowanych przez podmiot oraz eliminowania zagrożeń cybernetycznych. Naruszenia mogą skutkować karami dla kierownictwa, w tym odpowiedzialnością i potencjalnym tymczasowym zakazem pełnienia funkcji kierowniczych.
Ciągłość działania
Organizacje muszą zaplanować, w jaki sposób zamierzają zapewnić ciągłość działania w przypadku poważnych incydentów cybernetycznych. Plan ten powinien uwzględniać kwestie odzyskiwania systemu, procedur awaryjnych i powołania zespołu reagowania kryzysowego.
Oprócz czterech nadrzędnych obszarów wymagań, NIS2 nakłada na istotne i ważne podmioty obowiązek wdrożenia podstawowych środków bezpieczeństwa w celu zajęcia się konkretnymi formami prawdopodobnych cyberzagrożeń. Obejmują one:
- Oceny ryzyka i polityki bezpieczeństwa systemów informatycznych
- Zasady i procedury dotyczące stosowania kryptografii oraz, w stosownych przypadkach, szyfrowania.
- Bezpieczeństwo związane z zakupem systemów oraz rozwojem i obsługą systemów. Oznacza to posiadanie zasad postępowania i raportowania luk w zabezpieczeniach.
- Procedury bezpieczeństwa dla pracowników mających dostęp do wrażliwych lub ważnych danych, w tym zasady dostępu do danych. Organizacje, których to dotyczy, muszą także mieć przegląd wszystkich istotnych zasobów i upewnić się, że są one właściwie wykorzystywane i obsługiwane.
- Korzystanie z uwierzytelniania wieloskładnikowego, rozwiązań ciągłego uwierzytelniania, szyfrowania głosu, wideo i tekstu oraz szyfrowanej wewnętrznej komunikacji awaryjnej, jeśli to konieczne.
- Polityki i procedury oceny skuteczności środków bezpieczeństwa.
- Plan postępowania w przypadku incydentów związanych z bezpieczeństwem
- Szkolenie z zakresu cyberbezpieczeństwa i praktyka w zakresie podstawowej higieny komputera.
- Plan zarządzania operacjami biznesowymi w trakcie i po incydencie bezpieczeństwa. Oznacza to, że kopie zapasowe muszą być aktualne. Musi istnieć także plan zapewnienia dostępu do systemów informatycznych i ich funkcji operacyjnych w trakcie i po incydencie bezpieczeństwa.
- Bezpieczeństwo wokół łańcuchów dostaw i relacji pomiędzy firmą a bezpośrednim dostawcą. Firmy muszą wybrać środki bezpieczeństwa, które odpowiadają słabym punktom każdego bezpośredniego dostawcy. Następnie firmy muszą ocenić ogólny poziom bezpieczeństwa wszystkich dostawców.
Ponieważ dyrektywa NIS2 ma zostać transponowana do prawa krajowego do 17 października 2024 r., odpowiednie organizacje muszą podjąć stosowne kroki, aby przygotować się na zgodność z nowymi wymaganiami.
Obejmują one:
- Weryfikację, czy dana organizacja podlega pod nową dyrektywę NIS2 i których jednostek organizacyjnych dotyczą regulacje
- Analizę stosowanych środków bezpieczeństwa, dostosowanie polityk bezpieczeństwa i zaplanowanie działań w celu uzyskania zgodności z dyrektywą NIS2
- Wprowadzenie nowych środków bezpieczeństwa i obowiązków w zakresie zgłaszania incydentów w łańcuchu dostaw