Już niedługo, na jesieni bieżącego roku, wiele organizacji będzie musiało zmierzyć się z nowymi przepisami. Mowa tu o implementacji dyrektywy unijnej NIS2. Dla wielu będzie to rewolucja, a dla innych wyłącznie ewolucja. Wszystko zależy od stopnia przygotowania organizacji do spełnienia wymagań, które stawia przed państwami członkowskimi Parlament Europejski.
W jakim celu Parlament Europejski wprowadził dyrektywę?
Już w pierwszym jej akapicie jest napisane, że celem dyrektywy PE jest zbudowanie zdolności w zakresie cyberbezpieczeństwa w całej Unii, łagodzenie zagrożeń dla sieci i systemów informatycznych wykorzystywanych do celów świadczenia usług kluczowych w kluczowych sektorach oraz zapewnienie ciągłości takich usług w przypadku wystąpienia incydentów, a tym samym przyczynienie się do bezpieczeństwa Unii oraz do sprawnego funkcjonowania jej gospodarki i społeczeństwa.
Oznacza to tyle, że wszystkie istotne podmioty działające we Wspólnocie Europejskiej muszą odpowiednio zadbać o bezpieczeństwo narzędzi teleinformatycznych w celu utrzymania ciągłości działania oraz zapewnienia „cyberodporności” usług powszechnych – dostępnych dla obywateli.
Co nowego niesie ze sobą wprowadzenie NIS2?
Pierwszym, najważniejszym wymaganiem, jakie Parlament Europejski definiuje, jest przyjęcie wymagań niniejszej dyrektywy w lokalnym systemie prawnym. W Polsce, tak samo jak w przypadku pierwszej wersji dyrektywy NIS, zostanie ona odwzorowana w ustawie o krajowym systemie cyberbezpieczeństwa (KSC) poprzez jej planowaną nowelizację.
Co zmienia się jednak dla organizacji działających na rynku Europejskim? Otóż tu zmienia się naprawdę dużo. W pierwszej kolejności zakres podmiotów, które będą podlegały wymaganiom opisanym w NIS2. Do tej pory ustawa KSC dotyczyła wąskiej grupy organizacji wskazanych przez organ nadzorujący. Teraz każda organizacja ze wskazanych w dyrektywie sektorów, pod rygorem odpowiedzialności finansowej, będzie musiała dokonać samooceny, a w przypadku pozytywnego wyniku oceny – rejestracji w przygotowanym do tego celu systemie (platformie S46). Szacuje się, że w Polsce pozytywną weryfikację samooceny przejdzie kilkadziesiąt tysięcy podmiotów i tyle właśnie instytucji szczebla rządowego, samorządowego oraz firm prywatnych będzie musiało dostosować swój poziom cyberbezpieczeństwa do wymogów NIS2.
W poprzednim akapicie przewinęło się słowo „odpowiedzialność”, które jest kluczem całej dyrektywy. Parlament Europejski na bazie doświadczeń, jakie pozyskał przy rozporządzeniu 2016/679 (czyli znanym wszystkim RODO) stwierdził, że odpowiednio wysokie kary będą skutecznym narzędziem do egzekucji wymagań na poszczególnych Państwach i jego instytucjach. Co prawda przewidziane kary finansowe są nieco łagodniejsze niż w RODO, jednak wprowadzono również personalną odpowiedzialność kadry kierowniczej – włącznie z zakazem piastowania dotychczasowej funkcji. Parlament uznał, że nic tak nie zmobilizuje kierownictwa organizacji do wdrożenia wymagań NIS2, jak widmo uiszczenia kary z własnej kieszeni, a dodatkowo możliwość odebrania źródła dochodu.
Wymagane działania
Co zatem muszą zrobić organizacje, aby mieć komfort prowadzenia swojej działalności kluczowej w nowej rzeczywistości? Na pewno warto już teraz podjąć kroki, które w pierwszej kolejności uświadomią kierownictwu, czy podmiot jest zobowiązany spełniać wymagania dyrektywy. Często w FortCyber spotykamy się z Klientami, świadomymi nadchodzących zmian, którzy czytając rozporządzenie, nie są pewni, czy powinni wprowadzać u siebie zmiany czy nie. Nasz zespół ekspertów pomaga im zweryfikować wszystkie atrybuty ich działalności pod kątem klasyfikacji podmiotów wg. NIS2 i wspólnie odpowiedzieć na pytanie „czy my też musimy?”. Jeżeli okaże się, że na to pytanie padnie odpowiedź twierdząca, podejmujemy dalsze działania, czyli ocenę zgodności organizacji do spełnienia wymagań dyrektywy NIS2.
Co oznacza zgodność z dyrektywą? Tu przychodzi z pomocą SZBI – System Zarządzania Bezpieczeństwem Informacji. Dyrektywa wymaga ustanowienia przez kierownictwo organizacji systemu, który składa się z pewnych współpracujących ze sobą komponentów. Najważniejszym celem SZBI jest zapewnienie odpowiednich i proporcjonalnych środków technicznych i organizacyjnych służących do ochrony zasobów informacyjnych w oparciu o analizę ryzyka, aby zapewnić ciągłość działania usług kluczowych oraz minimalizować skutki wystąpienia potencjalnych incydentów cyberbezpieczeństwa. Już w tym zdaniu wyłaniają się 4 z 8 głównych obszarów wynikających z NIS2: ochrona zasobów, analiza ryzyka, ciągłość działania oraz zarządzanie incydentami. Gdy dodane zostaną do tego: zarządzanie aktywami, polityki stosowania kryptografii, bezpieczeństwo łańcucha dostaw, budowanie świadomości Pracowników, a wszystko to zespolone zostanie działaniami związanymi z zapewnieniem skuteczności i doskonalenia – oto przepis na kompletny System Zarządzania Bezpieczeństwem Informacji.
Na podstawie naszych doświadczeń wypracowaliśmy standard podejścia realizacyjnego weryfikacji gotowości organizacji na NIS2, sprawdzający się zarówno w dużych, jak i małych organizacjach, którego głównym założeniem jest ścisła współpraca z Klientem. Nikt tak nie zna organizacji jak ludzie, którzy ją tworzą. Budowanie otwartości na bazie wzajemnego zaufania pozwala nam lepiej zrozumieć bolączki Klientów, a tym samym sprofilować rozwiązania pod możliwości i potrzeby organizacji.
Pierwszym krokiem w badaniu jest określenie pokrycia wszystkich obszarów i wymagań wymienionych w NIS2. Możliwości przeprowadzenia takiej weryfikacji jest wiele – my korzystamy z autorskiego narzędzia bazującego na ankiecie, którą wypełniamy wraz z Klientem. Ankieta opracowana została na podstawie norm ISO 27001, 22301 oraz 27005. Szczegółowe pytania pozwalają określić, w jakim stopniu, i w jakich obszarach organizacja jest gotowa, a w jakich należy podjąć dodatkowe działania w celu uzyskania zgodności. Organizacja uzyskuje w ten sposób świadomość, gdzie jest.
Kolejnym krokiem jest odpowiedź na pytanie „co możemy zrobić krótkofalowo, aby uzyskać zgodność i wystrzec się odpowiedzialności?”. Dlaczego krótkofalowo? Dlatego, że już w pierwszym zdaniu tego artykułu mowa jest o jesieni b.r., która dla wielu podmiotów może okazać się terminem zbyt bliskim, aby wprowadzić docelowy, oczekiwany stan funkcjonowania obszaru bezpieczeństwa teleinformatycznego.
Kiedy zidentyfikowane są luki, należy zaadresować je działaniami krótkookresowymi i je zrealizować – często w krótkim czasie organizacje nie są w stanie wdrożyć nowych narzędzi teleinformatycznych wspomagających proces zapewnienia cyberbezpieczeństwa, jednak mogą obsłużyć to zagadnienie organizacyjnie i proceduralnie. Zbudowanie SZBI w dużej mierze wiąże się z odpowiednim – wkomponowanym w procesy biznesowe – ustanowieniem zastawu dokumentów wewnętrznych. Nie da się zbudować bezpieczeństwa, bazując na gotowych szablonach i wzorcach – każdorazowo wymagane jest podjęcie działań analitycznych, które spowodują, że wdrażane procedury będą praktyczne i nie zaburzą funkcjonowania kluczowych procesów w organizacji. Dodatkowo na tym etapie organizacje często decydują się na outsourcing pewnych obszarów, takich jak zarządzanie ryzykiem czy obsługa incydentów cyberbezpieczeństwa. W takiej sytuacji rozwiązaniem może być FortCyber jako usługa dająca możliwość korzystania z działań i wiedzy ekspertów bez konieczności zakupu i utrzymywania drogich rozwiązań teleinformatycznych.
Następnym krokiem jest zbudowanie mapy działań długofalowych, które określą rozwój i doskonalenie systemu zarządzania w kierunku uzyskania wyższego poziomu bezpieczeństwa oraz niższego zaangażowania Pracowników w obsługę procesów związanych z cyberbezpieczeństwem. Mowa tu o zaplanowaniu modernizacji posiadanych narzędzi, zakupu nowych, bądź – w pewnych uzasadnionych ekonomicznie obszarach – skorzystania z usług podmiotów specjalizujących się w obszarze cyberbezpieczeństwa.
*
Mam nadzieję, iż udało mi się zaciekawić Was tematyką związaną z NIS2 i z chęcią wrócicie do niniejszego artykułu – szczególnie, gdy stwierdzicie, że dyrektywa dotyczy również Waszej organizacji. Zapraszam do lektury kolejnych artykułów w cyklu poświęconym NIS2. W kolejnym tekście opiszę normy i standardy międzynarodowe, które w zasadniczy sposób wspomagają osiągnięcie zgodności z dyrektywą.
Autor: Michał Pawlak, ekspert cyberbezpieczeństwa. Pracuje w zespole FortCyber – programie zainicjowanym przez Polskie Towarzystwo Informatyczne