Czego szukasz?

Dyrektywa NIS2 i pomocna rola normy ISO/IEC 27001

Digital Innovation News Electrical and Electronics26 Feb 2024
Sprawdź, z czym wiąże się unijna dyrektywa NIS2
Przedstawiamy omówienie unijnej dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa 2022/2555), powszechnie znanej jako NIS2, oraz sposobu, w jaki norma ISO/IEC 27001 (systemy zarządzania bezpieczeństwem informacji, ISMS) może pomóc spełnić niektóre wymagania dyrektywy oraz ułatwić osiągnięcie zgodności z nimi.

Czym jest NIS2?

NIS2 jest najważniejszym aktem prawnym dotyczącym cyberbezpieczeństwa przyjętym w państwach członkowskich UE, radykalnie zmieniającym krajobraz bezpieczeństwa Unii. Weszła w życie 16 stycznia 2023 r., zastępując dyrektywę (2016/1148), znaną również jako NIS.

UE pragnie, aby organizacje i rządy krajów członkowskich traktowały cyberbezpieczeństwo priorytetowo w celu wspierania bezpieczeństwa narodowego. NIS2 będzie egzekwować podstawowe standardy cyberbezpieczeństwa w objętych nią organizacjach, sektorach i krajach oraz poprawi gotowość cybernetyczną UE.

NIS2 zastępuje i rozszerza NIS w odniesieniu do objętych nią podmiotów i regulujących je wymogów. Nowa dyrektywa różni się od starych ogólnounijnych przepisów dotyczących cyberbezpieczeństwa, ponieważ zakłada osobistą odpowiedzialność na kierownictwa korporacji, określa szczególne wymogi dla podmiotów objętych ochroną, a także wymaga od rządów krajowych szczególnej koordynacji działań.

Od października 2024 dyrektywa będzie w państwach członkowskich obowiązującym prawem, zwiększając liczbę podmiotów objętych jej przepisami, a jednocześnie przewidując dodatkowe kary za ich nieprzestrzeganie.

W jakim celu powstała dyrektywa NIS2?

Już dyrektywa NIS w zasadniczy sposób przeobraziła regulacje dotyczące cyberbezpieczeństwa, jednakże od tego czasu wiele się zmieniło, w tym liczba i różnorodność cyberataków.

W 2016 r. cyberbezpieczeństwo było uważane za problem poszczególnych organizacji. Współczesna cyberprzestępczość może zagrozić całym branżom i stabilności gospodarki cyfrowej. Szczególnie narażone są sektor publiczny, rządy i infrastruktura krytyczna. Eskalacja wrogich działań geopolitycznych zwiększa szanse na to, że celem cyberataków będzie właśnie infrastruktura krytyczna, co może spowodować incydenty cybernetyczne o dużej skali. Ochrona infrastruktury stanowi wyzwanie, zwłaszcza w obliczu ograniczeń budżetowych i niedoboru umiejętności technicznych.

Aby dotrzymać kroku sytuacji, NIS2 nakłada kompleksowe wymagania w zakresie odporności cybernetycznej, a jej zakres został rozszerzony z 7 do 15 sektorów przemysłu, z uwzględnieniem wielu infrastruktur cyfrowych. Organizacje w państwach członkowskich muszą wdrożyć w swoich systemach bardziej zaawansowane mechanizmy zarządzania ryzykiem i zabezpieczenia, a także usprawnić zarządzanie incydentami. Jednym z najtrudniejszych wyzwań jest poprawa bezpieczeństwa łańcucha dostaw, uważanego za główny obszar potencjalnej słabości.

Co przewiduje NIS2?

NIS2 przewiduje:

  • utworzenie europejskiej sieci zarządzania kryzysowego w cyberprzestrzeni (EU-CyCLONe);
  • zwiększenie harmonizacji wymogów bezpieczeństwa i raportowania;
  • zachęcanie państw członkowskich do skupienia się na nowych obszarach zainteresowania, takich jak łańcuchy dostaw, zarządzanie podatnościami, podstawowa krajowa strategia cyberbezpieczeństwa w zakresie higieny internetu i cyberbezpieczeństwa;
  • nowatorskie działania, takie jak wzajemne oceny w celu wzmocnienia współpracy państw członkowskich i dzielenia się wiedzą;
  • objęcie gospodarki i społeczeństwa w większym zakresie dzięki uwzględnieniu większej liczby sektorów.

Podobnie jak jej poprzedniczka, dyrektywa NIS2 ma szeroki zakres i wymaga od wszystkich państw członkowskich UE wdrożenia własnej wersji dyrektywy. NIS2 przewiduje jednak potwierdzenia przez państwa członkowskie precyzyjnych wymagań, ze wskazaniem konkretnych informacji na poziomie operacyjnym. Na późniejszym etapie włączone zostaną dalsze wymagania dla dostawców usług cyfrowych.

Kogo dotyczy NIS2?

Dyrektywa NIS określała dwie główne kategorie podmiotów objętych ochroną – operatorów usług kluczowych i odpowiednich dostawców usług cyfrowych – przy czym wymagań dotyczących drugiej grupy jest więcej. Zapisy ramowe NIS ułatwiały państwom członkowskim zidentyfikować obie te kategorie. W załączniku II wymieniono rodzaje działalności objętych ochroną:

  • energetyka, sektor naftowy i gazowy;
  • transport lotniczy, kolejowy i drogowy;
  • opieka zdrowotna;
  • bankowość;
  • rynki finansowe;
  • zaopatrzenie w wodę pitną;
  • infrastruktura cyfrowa.

W NIS2 znacząco rozszerzono tę listę, dodając nową kategorię podmiotów ważnych, które muszą spełniać kluczowe wymagania. Do kategorii tej należą:

  • gospodarowanie odpadami;
  • produkcja;
  • dostawcy usług IT i bezpieczeństwa;
  • usługi pocztowe i kurierskie;
  • przedsiębiorstwa branży chemicznej;
  • przetwórstwo żywności;
  • podmioty badawcze;
  • sieci społecznościowe i dostawcy usług cyfrowych.

Wymagania mogą również dotyczyć niektórych podmiotów dostarczających towary do UE, takich jak dostawcy objętych dyrektywą organizacji. Ich zgodność z regulacjami może być zatem konieczna.

Jakie wymagania musi spełnić podmiot?

Podmiot ma obowiązek:

  • oceniać wpływ zagrożeń cybernetycznych na jego systemy;
  • spełniać określone wymogi dotyczące bezpieczeństwa operacyjnego;
  • zgłaszać incydenty do krajowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT);
  • rozważyć, w jaki sposób jego bezpieczeństwo może wpłynąć na organizacje, z którymi współpracuje;
  • ciągle doskonalić procedury bezpieczeństwa.

NIS2 przewiduje inne podejście do cyberbezpieczeństwa, unikając postawy „działamy najlepiej jak potrafimy” i optymistycznych wyobrażeń z przeszłości. Zagrożenia w sieci są kwestią bezpieczeństwa narodowego. Podmioty muszą przeprowadzać oceny ryzyka cyberodporności i analizować swoją zdolność do kontynuowania działalności w sytuacjach wysokiego ryzyka.

Jak NIS2 odnosi się do zarządzania ryzykiem w łańcuchu dostaw?

Zarządzanie ryzykiem w łańcuchu dostaw jest kluczowym elementem NIS2. Nowa dyrektywa wykracza poza inne przepisy dotyczące cyberbezpieczeństwa, nakazując podmiotom rozszerzoną ocenę łańcuchów dostaw i identyfikację podatności u dostawców.

Podmioty objęte dyrektywą są również zobowiązane do uwzględnienia ryzyka związanego z dalszymi ogniwami łańcucha dostaw, ale nie są zobowiązane do identyfikowania konkretnych podatności.

Jak NIS2 wpływa na państwa członkowskie UE?

Celem NIS2 jest zapewnienie poprawy krajowych poziomów cyberbezpieczeństwa państw członkowskich UE. Część wymagań dyrektywy dotyczy rozwijania kolektywnej ochrony.

Jakie kary grożą za nieprzestrzeganie przepisów?

Dyrektywa wymaga od państw członkowskich egzekwowania kar za nieprzestrzeganie przepisów, w tym:

  • w przypadku podmiotów kluczowych – grzywna w wysokości 10 mln euro lub co najmniej 2% całkowitego rocznego obrotu za poprzedni rok podatkowy, przy czym zastosowanie ma wyższa z tych kwot;
  • w przypadku podmiotów ważnych – grzywna w wysokości 7 mln euro lub co najmniej 1,4% całkowitego rocznego obrotu za poprzedni rok podatkowy, przy czym zastosowanie ma wyższa z tych kwot.

W jaki sposób NIS2 określa odpowiedzialność zarządu przedsiębiorstwa?

Odpowiedzialność za zarządzanie przedsiębiorstwem jest kluczowym aspektem dyrektywy. Podejście to bezpośrednio angażuje organy zarządzające podmiotami. UE stara się wypracować praktykę prawną polegającą na bezpośrednim zaangażowaniu dyrektora generalnego, zarządu i kierownictwa najwyższego szczebla w plan zarządzania ryzykiem cybernetycznym podmiotu.

Jakie obowiązki w zakresie zgłaszania incydentów określa NIS2?

NIS2 przewiduje rozszerzone raportowanie incydentów. Podmioty są zobowiązane do zgłaszania incydentów w ciągu 24 godzin i dostarczania bardziej szczegółowych raportów nie później niż w ciągu trzech dni.

Na czym polega rola zespołów CSIRT?

Zespoły CSIRT krajów UE mają kluczowe znaczenie dla NIS2. Będą one prowadzić centralne repozytorium zgłaszania incydentów przez podmioty objęte ochroną i kierować krokami podejmowanymi przez podmioty zgłaszające incydenty.

Czym jest europejska baza danych dotycząca podatności na zagrożenia w sieci?

NIS2 koncentruje się na poprawie cyberbezpieczeństwa organizacji i gotowości cybernetycznej UE, nakazuje zatem utworzenie europejskiej bazy danych podatności zawierającej dane, które można udostępniać rządom krajowym.

Czy norma ISO/IEC 27001 może być pomocna we wdrażaniu wymagań NIS2?

Osiągnięcie zgodności z NIS2 nie będzie łatwe, ale stosowanie ISO/IEC 27001 może pomóc podmiotom w spełnieniu wymagań. Jeśli podmiot posiada już certyfikat ISO/IEC 27001, doprowadzenie do zgodności z NIS2 będzie łatwiejsze. Globalny standard może zapewnić niezbędny ogląd sytuacji, a certyfikacja potwierdza, że podmiot już spełnia niektóre wymagania NIS2.

Uzyskanie certyfikatu może ułatwić proces dostosowania, najpierw jednak organizacja musi przeprowadzić ocenę dojrzałości i określić swoją obecną sytuację. Następnie należy wdrożyć system zarządzania bezpieczeństwem informacji (ISMS). Jest to jedna z kluczowych zalet standardu, ponieważ zawiera on ramy dla wdrażania ISMS w zakresie cyberbezpieczeństwa. Zarówno NIS2, jak i ISO/IEC 27001 kładą też nacisk na rolę kierownictwa w obszarze zarządzania.

ISO/IEC 27001 umożliwia organizacji niepodlegającej bezpośrednio NIS2 przygotowanie się do spełnienia wymagań regulacji w przyszłości oraz wyjście naprzeciw oczekiwaniom klientów i partnerów. Norma jest ponadto standardem międzynarodowym, dzięki czemu usprawnia funkcjonowanie tych części organizacji, które nie są związane z UE.

Osiągnięcie zgodności wymaga czasu, warto zatem już teraz wdrożyć lub udoskonalić system zarządzania zgodny z ISO/IEC 27001. Zawsze sugerujemy, by przygotowania do stosowania zapowiadanych regulacji lub przepisów zacząć zawczasu. Wreszcie, ponieważ NIS2 sygnalizuje, że cyberbezpieczeństwo będzie ewoluować, organizacja musi regularnie weryfikować procedury i zasady bezpieczeństwa w sieci, aby zapewnić ich adekwatność.

Jak SGS może pomóc?

Dzięki wieloletniemu doświadczeniu w zakresie zapewniania bezpieczeństwa informacji, cyberbezpieczeństwa i ochrony prywatności posiadamy bogatą ofertę certyfikacji i szkoleń, w tym ISO/IEC 27001, ISO 22301, ISO/IEC 42001, ISO/IEC 27701 oraz Europrivacy.

Nasza globalna sieć ekspertów jest gotowa pomóc w inicjowaniu rzetelnego podejścia do kwestii cyberbezpieczeństwa i wykazania zgodności z NIS2 w sposób proaktywny.

Jeśli jesteście gotowi, aby rozpocząć podróż prowadzącą do spełnienia wymagań NIS2 lub zintensyfikowania działań w tym zakresie, zachęcamy do kontaktu i służymy informacjami.

Digital Solutions
System zarządzania bezpieczeństwem informacji wg ISO/IEC 27001
Cyberbezpieczeństwo – szkolenia

O SGS

Jesteśmy SGS – światowym liderem w dziedzinie badań, inspekcji i certyfikacji. Jesteśmy uznawani za globalny punkt odniesienia w zakresie zrównoważonego rozwoju, jakości oraz rzetelności. Naszych 99 600 pracowników obsługuje sieć 2 600 biur i laboratoriów na całym świecie.

Skontaktuj się z nami

  • SGS Polska - Siedziba główna

Al. Jerozolimskie 146A,

02-305,

Warszawa, Mazowieckie,

Polska