Skontaktuj się z nami
NIS2

Porady NIS2 dla CISO

Do przeczytania w 4 min.
Placeholder for CISO and lawyer office discussionCISO and lawyer office discussion

Share

W 2016 roku UE wprowadziła dyrektywę (UE) 2022/2555, znaną również jako dyrektywa NIS, dotyczącą bezpieczeństwa systemów sieciowych i informacyjnych. Jak sama nazwa wskazuje, NIS2 jest drugą wersją tej dyrektywy i skupia się na dalszym wdrażaniu podejścia zainicjowanego przez Komisję w pierwszej wersji. W bardzo podstawowym ujęciu NIS2 zawiera trzy istotne zmiany w porównaniu z pierwszą wersją, a mianowicie rozszerzenie zakresu, rozszerzenie obowiązku zachowania należytej staranności oraz dostosowanie obowiązku sprawozdawczego dla podmiotów.

Rozszerzenie zakresu

Nowa dyrektywa obejmuje więcej sektorów, a średnie i duże przedsiębiorstwa w niektórych sektorach są zobowiązane do podjęcia środków bezpieczeństwa. Państwa członkowskie mogą również zidentyfikować mniejsze przedsiębiorstwa wysokiego ryzyka.

Obowiązek zachowania należytej staranności

Obowiązek dochowania należytej staranności oznacza, że przedsiębiorstwa objęte zakresem dyrektywy muszą uporządkować i utrzymać w należytym stanie swoją infrastrukturę cyfrową dzięki odpowiedniemu monitorowaniu bezpieczeństwa.

Obowiązek raportowania

Obowiązek zgłaszania oznacza, że firmy muszą niezależnie zgłaszać incydenty bezpieczeństwa. To obowiązkowe zgłoszenie dotyczy już naruszeń danych, ale obowiązkowe stanie się również zgłoszenie np. ataku ransomware lub nadużycia luki w zabezpieczeniach. Wkrótce firmy będą musiały również szybciej publicznie zgłaszać incydenty bezpieczeństwa, aby dotknięte nimi osoby trzecie mogły podjąć działania. Nowością w stosunku do NIS1 jest to, że naruszenie obowiązku zgłaszania będzie skutkowało karą pieniężną.

Placeholder for From NIS to NIS2From NIS to NIS2

CISO muszą podjąć działania

Jako CISO, ważne jest, aby zrozumieć wymagania dyrektywy NIS2 i zapewnić, że Twoja firma jest zgodna w określonym terminie. Ten artykuł wyjaśnia, czym jest NIS2 i jak przygotować się do niego jako firma. Poniżej dzielimy się kilkoma radami dla CISO i osób odpowiedzialnych za bezpieczeństwo w Twojej firmie.

Procesy i procedury

Każde przedsiębiorstwo, które wchodzi w zakres dyrektywy NIS2 będzie musiało mieć wdrożone środki techniczne i organizacyjne dotyczące cyberbezpieczeństwa. Jeśli te środki już istnieją, należy jedynie sprawdzić, czy będą one zgodne z nowymi przepisami. Czy środki te nie zostały jeszcze wdrożone w Twojej firmie? Jeśli nie, należy zacząć działać. Można pomyśleć o sporządzeniu procedur zgłaszania incydentów oraz planu ciągłej zgodności z tymi procedurami. Ponieważ NIS2 dotyczy całej firmy, chodzi również o współpracę między działami i interesariuszami; każdy musi rozumieć swoje obowiązki i pracować na rzecz zgodności z przepisami.

Firmy muszą również zapewnić wprowadzenie środków organizacyjnych. Można pomyśleć o szkoleniu świadomościowym dla pracowników. Obejmuje ono wiedzę o tym, na co zwracać uwagę w wiadomościach e-mail typu phishing, co powinni zrobić, jeśli i tak przypadkowo kliknęli niewłaściwe hiperłącze, oraz jak zwracać się do nieznanych osób bez widocznej przepustki na terenie firmy.

Odpowiedzialność

Badając NIS2 w sieci, można znaleźć wiele informacji na temat odpowiedzialności osobistej. Ale co należy przez to rozumieć? Ogólnie rzecz biorąc, to zarząd jest odpowiedzialny za zapewnienie dobrej postawy bezpieczeństwa. Jeśli jeszcze tego nie ma, to ważne jest, aby znalazło się to w agendzie zarządu. W związku z tym ważne jest, aby istniały organy odpowiedzialne za tę odpowiedzialność.

Egzekwowanie przepisów

Nie wiadomo jeszcze, jak będzie przebiegało egzekwowanie przepisów. Przepisy są wciąż opracowywane i muszą zostać zakończone do 17 października 2024 roku. Daje to firmom czas na przygotowanie się.

Jest bardzo prawdopodobne, że firmy, które nie zastosują się do dyrektywy NIS2, otrzymają grzywnę lub inną karę. Obejmuje to ewentualną odpowiedzialność prawną za szkody spowodowane incydentem bezpieczeństwa, któremu można było zapobiec, gdyby podjęto niezbędne środki. Przedsiębiorstwa muszą podjąć określone środki w celu zapewnienia bezpieczeństwa. Jeśli to nie zostanie zrobione, przeciwko firmom mogą zostać podjęte działania prawne przez klientów, organy regulacyjne lub inne podmioty w ramach ekosystemu cyfrowego.

Konsekwencje strategiczne

Firmy, które przestrzegają dyrektywy NIS, chronią nie tylko swoje własne systemy i aktywa, ale także systemy i aktywa swoich klientów i partnerów. Może to zmniejszyć ryzyko kosztownych incydentów bezpieczeństwa i poprawić ogólną postawę firmy w zakresie bezpieczeństwa cyfrowego.

Jeśli firma może wykazać zgodność z dyrektywą NIS, zwiększa to jej reputację i wiarygodność. Świadczy to o tym, że firma poważnie podchodzi do kwestii cyberbezpieczeństwa i jest zaangażowana w ochronę bezpieczeństwa i prywatności informacji swoich klientów.

Wdrożenie wytycznych NIS może pomóc firmom w wypełnieniu zobowiązań umownych i uniknięciu wszelkich sporów prawnych z klientami lub partnerami.

Placeholder for NIS2 project planning with teamNIS2 project planning with team

Ocena systemów

Jako CISO, ważne jest, aby mieć zrozumienie obecnego stanu bezpieczeństwa sieci i systemów informatycznych. Gdy jest to znane, można stworzyć mapę obszarów, w których konieczna jest poprawa. Dzięki temu można ustalić priorytety i szybko przystąpić do działań związanych z bezpieczeństwem najważniejszych obszarów.

Współpraca z interesariuszami

Jak wspomniano wcześniej, zgodność z dyrektywą NIS wymaga zaangażowania różnych interesariuszy. Są to różne osoby, na przykład pracownicy w Twojej firmie. Muszą oni znać procedury bezpieczeństwa, aby zgłosić incydent bezpieczeństwa do właściwej osoby. Klienci i firmy z Twojego ekosystemu również muszą być świadomi wymagań dyrektywy NIS i możliwych konsekwencji.

Rozpoczęcie działań związanych z NIS2

Często współpracujemy z firmami, które chcą podjąć kroki w zakresie swojego cyberbezpieczeństwa. Od końca 2022 roku w tych rozmowach coraz częściej wspomina się o NIS2. Nie jest to zaskakujące, ponieważ wielu CISO nie zmapowało jeszcze swoich sieci i systemów informatycznych oraz procesów, aby spełnić wymagania dyrektywy NIS2.

Wraz z naszym zespołem ekspertów ds. cyberbezpieczeństwa pomagamy firmom w inwentaryzacji ich systemów i tworzeniu listy priorytetów. Po wykonaniu tych czynności oceniamy, czy istniejące rozwiązania są wystarczające, czy też wymagają odnowienia lub wymiany. Może to obejmować NGFW, SOAR, SIEM lub MFA.
Coraz więcej CISO decyduje się na outsourcing bezpieczeństwa cybernetycznego. Mogą nie mieć wystarczającej wiedzy i zasobów we własnym zakresie i decydują się na zarządzane rozwiązanie bezpieczeństwa, takie jak np. managed SOC lub managed detection and response (MDR).

Czy Twoja firma spełnia wymogi dyrektywy NIS2?

Chcesz wiedzieć, czy Twoja firma spełnia wymogi dyrektywy NIS2? Skontaktuj się z nami. Chętnie pomożemy Ci zapewnić bezpieczeństwo i łączność Twojej firmy.

Skontaktuj się z nami

Chcesz dowiedzieć się więcej na ten temat?

Nasi eksperci i opiekunowie handlowi są do Twojej dyspozycji. Zostaw swoje dane, a my wkrótce się z Tobą skontaktujemy.

Zadzwoń teraz
Placeholder for Portrait of french manPortrait of french man
Updates

Więcej aktualizacji

Placeholder for Adobe Stock 369977292Adobe Stock 369977292
Juniper Networks

Bezpieczeństwo sieci

Juniper po raz czwarty liderem w raporcie Gartner Magic Quadrant

uniper Networks wielokrotnie zajmował wiodącą pozycję w Magic Quadrant firmy Gartner, co podkreśla jego innowacyjność i doskonałość w zakresie technologii przewodowych, bezprzewodowych i lokalizacji wewnątrz budynków.

Do przeczytania w 3 min.
Placeholder for Industrial company NIS2Industrial company NIS2

NIS2

NIS2 wymaga od firm przemysłowych podjęcia znacznych wysiłków w celu zabezpieczenia swoich środowisk OT: Od czego zacząć?

Wdrożenie NIS2 będzie miało wpływ na tysiące firm przemysłowych, a kwestie te będą się znacznie różnić w zależności od podmiotu. Przedstawiamy 12 kroków do osiągnięcia zgodności.

Arnaud Masson
Placeholder for ARMARM

Arnaud Masson

Do przeczytania w 4 min.
Placeholder for Shadow ITShadow IT

Network automation

Jak automatyzacja centralizuje narzędzia i procesy: Podróż w kierunku zwiększonej wydajności IT

Automatyzacja przekształca role IT, centralizując narzędzia w celu zwiększenia wydajności, wspierania innowacji i zapoczątkowania nowej ery strategicznego wzrostu w sektorze.

Do przeczytania w 2 min.
Wszystkie artykuły