NIS2: od zgodności do odporności

Dyrektywa NIS2 (Dyrektywa Parlamentu Europejskiego i Rady UE z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa) to nowa wersja dyrektywy NIS. Jej celem jest zwiększenie poziomu cyberbezpieczeństwa w Unii Europejskiej – szczególnie wśród przedsiębiorstw, które nie były objęte pierwszą wersją dyrektywy. NIS2 wprowadza nowe zadania dla państw członkowskich oraz rozszerza zakres podmiotów objętych obowiązkami skutecznego zabezpieczenia danych i informacji.

W Polsce zostanie ona wdrożona poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), na którą obecnie czekamy (trwają prace legislacyjne). Celem regulacji nie jest wyłącznie ochrona sieci i systemów IT/OT, ale zwiększenie ogólnej odporności organizacji – rozumianej jako ciągłość działania i zdolność do nieprzerwanego realizowania dostaw towarów i usług w całym łańcuchu dostaw, również w sytuacjach kryzysowych, takich jak klęska żywiołowa, celowy atak na systemy informatyczne czy sabotaż

Oprócz zagrożeń typowo technologicznych NIS2 odnosi się również do ryzyk środowiskowych, zakłóceń łańcucha dostaw czy zdarzeń losowych, które mogą zatrzymać działalność firmy.

Obowiązki wynikające z NIS2 będą dotyczyć dwóch grup podmiotów: kluczowych i ważnych.

Podmioty kluczowe to takie, których jakakolwiek działalność (nie tylko główna), będzie uznana za kluczową dla działalności państwa, m.in. z branży energetycznej, transportowej, bankowości, ochrony zdrowia, dostawców wody pitnej, dostawców usług cyfrowych, podmiotów publicznych.

Do podmiotów ważnych zaliczono przedsiębiorstwa z sektorów ważnych, m.in. realizujące usługi pocztowe, gospodarujące odpadami, producentów i dystrybutorów, chemikaliów, żywności oraz produkcji przemysłowej (np. automotive).

Firmy produkcyjne muszą być objęte tymi wymaganiami, bo to właśnie ich działalność jest kluczowa dla funkcjonowania państwa, zarówno w wymiarze ekonomicznym, jak i możliwości produkcji określonych pojazdów, urządzeń czy komponentów.

Mimo rozróżnienia na podmioty kluczowe i ważne zakres wymagań i zadań dla obu grup będzie w gruncie rzeczy bardzo podobny (niewielkie ułatwienia dla podmiotów ważnych dotyczą kwestii proporcjonalności lub niższej wersji zabezpieczeń).

Podstawowe wymagania to:

• Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji – który obejmie wszystkie kluczowe aspekty bezpieczeństwa, jak np.:
  • Inwentaryzacja zasobów (również w środowiskach produkcyjnych),
  • Analiza ryzyk i podjęcie decyzji o postępowaniu z nimi,
  • Zapewnienie bezpieczeństwa IT (np. wyznaczenie osób odpowiedzialnych za cyberbezpieczeństwo, utwardzenie infrastruktury, detekcja zagrożeń, kontrola zmian, zarządzanie podatnościami, opisanie procedur awaryjnych i backupowych),
  • Zapewnienie programu szkoleń i podnoszenia świadomości pracowników,
  • Analiza i wdrożenie zabezpieczeń fizycznych (np. kontrola dostępu, wzmocnienie drzwi, kołowrotów, kontrola wejścia i wyjścia, ogrodzenie obszaru etc.);
• Wdrożenie Systemu Zarządzania Ciągłością Działania – który uzupełni bezpieczeństwo informacji o aspekty związane z operacyjnym zapewnieniem ciągłości działania (np. przeniesienie do alternatywnej lokalizacji, szczegółowe instrukcje postępowania dla wszystkich działów firmy, testowanie planów działania i szkolenia personelu z reagowania);
• Wyznaczenie osób kontaktowych w ramach krajowego systemu cyberbezpieczeństwa;
• Szkolenie najwyższego kierownictwa co najmniej raz w roku;
• Regularne audyty wewnętrzne i zewnętrzne;
• Raportowanie incydentów do organów państwa.

W praktyce organizacja powinna wdrożyć dobrze funkcjonujący zestaw zarówno rozwiązań organizacyjnych (polityki, procedury, instrukcje), technicznych (rozwiązania w zakresie cyberochrony, detekcji zagrożeń IT/OT oraz ciągłości działania), jak i kompetencyjnych (np. szkolenia).

Choć data wejście w życie ustawy o Krajowym Systemie Cyberbezpieczeństwa nie jest jeszcze potwierdzona, z projektu nowelizacji wynika kalendarz działań dla firm objętych nowymi regulacjami. Po publikacji ustawy firmy będą miały:

• 3 miesiące na przeprowadzenie samooceny pod kątem spełniania kryteriów KSC i zgłoszenie się do rejestru podmiotów kluczowych lub ważnych,
• 6 miesięcy (po zgłoszeniu się do rejestru) na dostosowanie się do wymagań, czyli przede wszystkim wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) z elementami ciągłości działania,
• 2 lata na przeprowadzenie niezależnego audytu potwierdzającego skuteczność zastosowanych środków bezpieczeństwa i zgodność z przepisami NIS2.

Wiadomo, że NIS2 będzie obejmować duże lub średnie przedsiębiorstwa. W takich firmach w celu sprawdzenia, czy firma będzie objęta obowiązkiem implementacji wymogów regulacji, powinna zostać przeprowadzona analiza pod kątem spełniania określonych kryteriów.

W dalszej kolejności należy zweryfikować inne obszary działalności firmy, bo nawet jeśli tylko jeden z nich (mniej ważny, poboczny aspekt) będzie podlegał pod NIS2, całe przedsiębiorstwo może być uznane za kluczowe lub ważne. Na przykład jeśli firma zajmuje się produkcją, ale do tego świadczy również usługi transportowe, należ przeanalizować ten obszar działalności.

Jeśli analiza wykaże, że przedsiębiorstwo mieści się w zakresie obowiązków NIS, należy dokonać rejestracji w Krajowym Rejestrze Podmiotów Kluczowych i Ważnych.

Warto podkreślić, że w wypadku zmiany lub rozszerzenia zakresu działalności firmy analizę należy powtórzyć i w razie potrzeby – zgłosić się do rejestru. Za niedopełnienie tego obowiązku i niezastosowanie się do wymogów NIS2 ustawodawca przewidział dotkliwe kary finansowe.

Certyfikacja ISO27001 (SZBI), ISO 22301 (ciągłość działania), ani też żaden certyfikat branżowy (np. TISAX, TPN) nie zwalniają z obowiązku implementacji wymagań KSC (NIS2). Dobra wiadomość jest jednak taka, że firmy z certyfikatem ISO27001 mają już dużą część zadań za sobą.

Troska o bezpieczeństwo informacji, zabezpieczenie fizyczne i zapewnienie ciągłości działania to wspólny wysiłek całej organizacji. Jednak najwięcej zadań i największa odpowiedzialność spoczywa na kierownictwie, dziale IT, dziale jakości oraz obszarze produkcji, gdzie oprócz systemów IT istotne znaczenie ma także bezpieczeństwo OT.

Prezentujemy te cztery perspektywy NIS2 w organizacji.

Zgodnie z projektem ustawy, najwyższe kierownictwo (kierownik jednostki) ponosi osobistą odpowiedzialność za zapewnienie cyberbezpieczeństwa. Oznacza to obowiązek aktywnego zaangażowania w proces zarządzania bezpieczeństwem, uczestnictwo w analizie ryzyk oraz podejmowanie decyzji o wdrożeniu zabezpieczeń.

Minimum raz w roku kierownik jednostki będzie musiał przejść szkolenie z wymagań NIS2, a jego zaangażowanie stanie się jednym z elementów audytu. Co istotne – to właśnie współpraca zarządu z zespołami IT i jakości może ułatwić uzasadnianie budżetów bezpieczeństwa i podejmowanie decyzji inwestycyjnych.

Budowanie w kierownictwie świadomości ryzyk związanych z ciągłością działania, konsekwencji jej zaburzenia dla kluczowych procesów i zasobów firmy jest istotnym elementem skutecznego i doinwestowanego systemu bezpieczeństwa.

Na cyberbezpieczeństwo organizacji wpływ mają wszystkie działy i pracownicy, jednak to dział IT odgrywa tu kluczową rolę w zapewnieniu najwyższych możliwych standardów i praktyki działania.

Dział IT będzie odpowiadał za realizację wymagań technicznych, w tym:

• wdrożenie i utrzymanie systemu zarządzania bezpieczeństwem informacji,
• zarządzanie incydentami i raportowanie ich do właściwych organów,
• zapewnienie ciągłego monitorowania bezpieczeństwa systemów (tzw. SOC – Security Operations Center).

Dla IT wdrożenie rozwiązań wymaganych przez NIS2 może być szansą, by uporządkować dokumentację i procesy oraz uzyskać formalne wsparcie zarządu w obszarach, które dotychczas bywały odkładane – jak dokumentowanie procedur, inwentaryzacja zasobów czy analiza ryzyk. To też dobra okazja, by uświadomić biznes o możliwościach IT (np. czas potrzebny na przywrócenie systemu) i odwrotnie – IT dowiaduje się o potrzebach biznesu (ile danych można stracić i z jakim kosztem się to wiąże).

Trzeba pamiętać przy tym, że nowe obowiązki związane z bezpieczeństwem informacji (jak chociażby monitorowanie systemów, przeglądy, konieczność zapewnienia udokumentowanych procedur i instrukcji) będą wymagały określonego nakładu pracy, co może oznaczać konieczność zapewnienia odpowiednich zasobów (osobowych czy sprzętowych).

System zarządzania bezpieczeństwem informacji w naturalny sposób łączy się z podejściem jakościowym – cyklem PDCA (plan–do–check–act). Dlatego warto, aby dział jakości był aktywnie zaangażowany w budowę Systemu. W dużych, dojrzałych organizacjach osoby z działu jakości często mają kompetencje, które mogą ułatwić wykazanie rozliczalności, np. znajomość zasad audytowania, modelowanie procesów, zarządzanie świadomością pracowników, znajomość cyklu Deminga.

Integracja systemowego zarządzania cyberbezpieczeńśtwem z istniejącymi systemami zarządzania jakością może znacznie uprościć zarządzanie dokumentacją, audytami i procesami doskonalenia.

W środowiskach przemysłowych bezpieczeństwo nie kończy się na IT. Systemy automatyki (OT) stają się coraz częściej celem cyberataków, a ich przestój może sparaliżować cały zakład.
Podstawą przygotowania do implementacji wymogów NIS2 jest inwentaryzacja zasobów produkcyjnych i analiza ryzyka w środowisku OT, a także opracowanie planów ciągłości działania i scenariuszy reakcji na incydenty.

Warto pamiętać, że zakłócenie produkcji może nastąpić z wielu przyczyn, nie tylko cyberbezpieczeństwa. Kwestie bezpieczeństwa fizycznego, w tym kontroli dostępu, szkoleń pracowników, zabezpieczenia obszaru pracy, są także przedmiotem KSC.

Budowa systemu zarządzanie cyberbezpieczeństwem zgodnego z NIS2 obejmuje cztery główne etapy:

• Identyfikacja zasobów i procesów – zmapowanie aktywów informacyjnych i technologicznych.
• Analiza ryzyka – określenie zagrożeń, podatności i skutków potencjalnych incydentów.
• Wdrożenie środków bezpieczeństwa – technicznych, organizacyjnych i proceduralnych.
• Weryfikacja i doskonalenie – regularne audyty, testy i aktualizacje procedur.

Największym błędem, jaki można popełnić, jest potraktowanie NIS2 wyłącznie jako wymogu prawnego. Celem regulacji jest odporność organizacji – zdolność do obrony, a w razie potrzeby – do przetrwania i szybkiego powrotu do działania po incydencie. Dobrze zaprojektowany system zarządzania chroni nie tylko dane, ale też ludzi, procesy oraz finanse i reputację firmy.

Dlatego lepiej jest podejść do NIS2 jako impulsu do zmian, które doprowadzą podniesienia odporności organizacji. Nie warto czekać na dokończenie procesu legislacyjnego. Już dziś wiadomo, co należy zrobić:

• Zlecić analizę prawną pod kątem podlegania pod NIS2,
• Rozpocząć wdrażanie– nie trzeba czekać na ustawę, standardy są już znane (SZBI zgodny z ISO27001 będzie zgodny także z wymaganiami NIS2),
• Zbudować świadomość kierownictwa i zaplanować budżet na działania bezpieczeństwa,
• Uwzględnić wszystkie obszary organizacji – IT, produkcję, jakość, HR, zakupy.

NIS2 to nie tylko obowiązek, lecz punkt zwrotny w podejściu do bezpieczeństwa.
Organizacje, które potraktują te wymagania poważnie, zyskają nie tylko zgodność z przepisami, ale także większą odporność operacyjną, lepsze zarządzanie ryzykiem i przewagę konkurencyjną.