TISAX jako przepustka do NIS2

Na początek dobra wiadomość – firmy posiadające ważny certyfikat TISAX są już w dużej mierze przygotowane do spełnienia wymagań NIS2, oczywiście przy założeniu, że system zarządzania bezpieczeństwem informacji (SZBI) został wdrożony we właściwym zakresie i obszarach firmy. Nadal jednak konieczne będą dodatkowe działania, szczególnie w kontekście specyfiki polskich regulacji. SZBI zgodny z TISAX jest więc świetną bazą, znacznie ułatwiającą wdrożenie wymagań NIS2.

Dyrektywa NIS2, która powinna była zostać wdrożona przez państwa członkowskie UE do 17 października 2024 r. (w Polsce odbyło się to poprzez nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa), znacznie rozszerza zakres podmiotów objętych regulacjami cyberbezpieczeństwa.

W nowelizacji przepisów uwzględniono produkcję pojazdów samochodowych, przyczep i naczep jako ważny sektor, co oznacza, że średnie i duże przedsiębiorstwa z tej branży również będą podlegały nowym obowiązkom prawnym.

W praktyce dla firm z branży automotive oznacza to konieczność wdrożenia proporcjonalnego Systemu Zarządzania Bezpieczeństwem Informacji (np. na podstawie wymagań standardu ISO 27001), z uwzględnieniem specyficznych wymagań NIS2, jak np.:

• identyfikacja i zgłaszanie incydentów bezpieczeństwa do CSIRT (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego),
• dokonanie samoidentyfikacji i zgłoszenie do Ministra Cyfryzacji,
• prowadzenie regularnych audytów,
• szkolenia kierowników podmiotu (np. członków zarządu) z cyberbezpieczeństwa i wymagań NIS2.

W kontekście ostatniego punktu warto nadmienić, że NIS2 wprowadza osobistą odpowiedzialność członków zarządu za dopełnienie należytej staranności w zakresie cyberbezpieczeństwa organizacji.

TISAX (Trusted Information Security Assessment Exchange) to standard oceny bezpieczeństwa informacji opracowany przez niemieckie stowarzyszenie VDA, oparty na katalogu ISA (Information Security Assessment). Standard ten bazuje na normie ISO/IEC 27001, ale zawiera dodatkowe szczegółowe wymagania dla branży automotive, jak np. ochrona prototypów (części i pojazdów), zabezpieczenie łańcucha dostaw, plany ciągłości działania czy odpowiednia organizacja bezpieczeństwa fizycznego.

TISAX od pewnego czasu staje się podstawowym wymaganiem dla firm współpracujących w ramach łańcucha dostaw z największymi producentami aut, dlatego też wiele firm przeprowadziło już wymagane dostosowania, pozytywnie przeszło audyt certyfikacyjny i uzyskało etykietę w portalu ENX.

Pora odpowiedzieć na najważniejsze pytanie – czy etykieta TISAX oznacza pełną zgodność z przepisami NIS2?

Odpowiedź brzmi: nie. Organizacja posiadająca etykietę TISAX powinna podjąć dodatkowe działania, aby uzyskać pełną zgodność z nowymi przepisami. Zakres koniecznych prac będzie różny, w zależności od rodzaju firmy (produkowanych komponentów, wielkości, wdrożonych rozwiązań), można jednak podsumować je następująco:

Mimo że wymagania TISAX opierają się na normie ISO27001, to nie są jednak tożsame. TISAX dopuszcza różne poziomy wdrożenia wymagań – od samooceny (nieweryfikowanej przez niezależny podmiot), przez tzw. AL2 (wymagający audytu zdalnego, tzw. plausibility check), aż do AL3 (gdzie konieczny jest pełny audyt we wskazanej lokalizacji). Jeśli firma posiada etykietę TISAX na poziomie AL2 lub AL3, należy szczegółowo przeanalizować sposób implementacji poszczególnych wymagań.

TISAX zawiera co prawda konieczność zapewnienia odpowiednich szkoleń z cyberbezpieczeństwa (kontrolka 2.1.3 w obszarze Information security), jednak nie precyzuje ich zakresu. Należy więc zweryfikować, czy szkolenia przewidziane dla kierownictwa spełniają wymagania NIS2. Warto przy tym zwrócić również uwagę na strukturę odpowiedzialności za bezpieczeństwo informacji i zweryfikować, czy rola najwyższego kierownictwa została prawidłowo zdefiniowana. Należy również wyznaczyć dwie osoby, które będą odpowiadały za kontakt z właściwymi organami państwa w przypadku poważnych incydentów.

Jak wspomniano wcześniej, NIS2 wprowadza obowiązek raportowania incydentów bezpieczeństwa informacji do właściwego CSIRT (w przypadku przedsiębiorstw właściwym CSIRT najczęściej jest NASK). W procedurach należy więc uwzględnić:

• aktualizację definicji incydentów zgodnie z polskimi przepisami,
• uwzględnienie w procedurach raportowania transgranicznych efektów incydentów (np. w przypadku funkcjonowania w międzynarodowej grupie kapitałowej),
• komunikację z podmiotami w ramach Krajowego Systemu Cyberbezpieczeństwa,
• przygotowanie szablonów raportów zgodnych z krajowymi wymaganiami.

Wzmocnienie zarządzania kryzysowego jest związane z wcześniejszym punktem, ale dodatkowo oznacza konieczność uwzględniania w planowaniu kryzysowym (w tym ciągłości działania) kwestii związanych z zagrożeniami cyberbezpieczeństwa. W tym miejscu warto zwrócić szczególną uwagę, czy organizacja uaktualniła SZBI do wymagań VDA ISA TISAX w wersji 6 (wcześniejsza wersja zawierała mniej szczegółowe wymagania w zakresie ciągłości działania).

W szczególności działania w tym obszarze powinny objąć:

• utworzenie alternatywnych kanałów komunikacji w sytuacjach kryzysowych (np. przy niedostępności sieci GSM, zakłóceń komunikacji radiowej, braku internetu),
• procedur komunikacji z organami państwowymi (wskazanie osób odpowiedzialnych za kontakt, wcześniejsze określenie sposobów komunikacji),
• planów odtwarzania systemów i usług z uwzględnieniem wymogów czasowych RTO/RPO, przykładowo poprzez zaplanowanie wykorzystania Disaster Recovery Center.

Firma jest zobowiązana samodzielnie ocenić, czy i w jakim zakresie podlega pod przepisy NIS2. Kryteria dla branży automotive obejmują:

• średnie przedsiębiorstwa: zatrudnienie 50-249 osób lub obroty 10-50 mln euro,
• duże przedsiębiorstwa: zatrudnienie 250+ osób i obroty powyżej 50 mln euro,
• działalność w sektorze ważnym: produkcja pojazdów, przyczep, naczep.

Po przeprowadzeniu samoidentyfikacji należy dokonać zgłoszenia Ministrowi Cyfryzacji.

TISAX zapewnia solidny fundament dla spełnienia wymagań NIS2 i KSC. Firmy posiadające ważny certyfikat TISAX są znacznie lepiej przygotowane do nowych regulacji niż organizacje rozpoczynające „od zera”. Nadal konieczne będzie jednak podjęcie dodatkowych działań.

Przy wdrażaniu wymagań NIS2:

1. Wykorzystaj przewagę TISAX – nie traktuj nowych regulacji jako kompletnie nowego wyzwania, ale jako doskonalenie istniejących praktyk i przyjętych sposobów zarządzania bezpieczeństwem informacji (ewolucja, nie rewolucja);
2. Zaplanuj uzupełnienie SZBI z wyprzedzeniem – co prawda nowelizacja przewiduje okres na wdrożenie dodatkowych wymagań, jednak warto wcześniej przeanalizować zakres koniecznych zmian (w dużych organizacjach lub skomplikowanych SZBI wprowadzenie zmian może wymagać więcej czasu);
3. Przygotuj kadrą kierowniczą na nowe wymagania – zaplanuj wymagane szkolenia dla kierownictwa, w tym z zakresu nowych wymagań prawnych i obowiązków w ramach KSC;
4. Skonsultuj się z ekspertami – mimo wysokiej zgodności TISAX z NIS2, specyfika każdej organizacji może wymagać indywidualnego podejścia i zastosowania adekwatnych środków.

Dla branży automotive posiadanie certyfikatu TISAX to już dziś przepustka do spełnienia wymagań cyberbezpieczeństwa nakładanych przez NIS2. Kluczem do sukcesu będzie świadome i planowane uzupełnienie istniejących systemów o elementy wymagane przez krajowe implementacje NIS2.

Artykuł przygotowany na podstawie raportu ENX Association „NIS2 fulfilment through TISAX” oraz analizy aktualnej wersji projektu nowelizacji polskiej ustawy o KSC. Rekomendujemy śledzenie aktualnych zmian legislacyjnych i konsultacje z ekspertami ds. cyberbezpieczeństwa przy planowaniu wdrożeń.

Ramy cyberbezpieczeństwa wszędzie takie same

Rafał Grześkowiak, Manager Obszaru Projektów IT w All for One Poland podsumowuje: "Od 20 lat wspieramy naszych klientów w dziedzinie bezpieczeństwa. Certyfikat ISO/IEC 27001, etykieta TISAX czy wymóg zgodności z NIS2 są elementem codzienności All for One Poland. Jako dostawca krytycznych usług IT jesteśmy świadomi naszej odpowiedzialności wobec klientów, ale i zagrożeń, przed którymi musimy się bronić.

Naszym doświadczeniem i sprawdzonymi rozwiązaniami organizacyjnymi i technologicznymi dzielimy się z organizacjami, które dążą do podniesienia poziomu swojego bezpieczeństwa.

Niezależnie od branży – energetyka, automotive, produkcja przemysłowa i spożywcza, transport, farmacja czy IT – ramy cyberbezpieczeństwa są tożsame. Zaczynają się od zdefiniowania ról i odpowiedzialności. Obejmują bezpieczeństwo fizyczne i osobowe. Wreszcie sięgają technologii. Wspólną częścią – swego rodzaju fundamentem koncepcyjnym – jest analiza ryzyka. To ona pozwala organizacjom poznać i lepiej zrozumieć zagrożenia, a w ślad za tym optymalnie dobrać środki bezpieczeństwa.

W tym miejscu SZBI każdej organizacji staje się już inne od pozostałych i wymaga indywidualnego podejścia wdrożeniowego. Profil działalności, wielkość aktywów informacyjnych i ich wartość, potrzeby w zakresie ciągłości działania i odtwarzania po awarii, specyfika oraz kompetencje zespołu IT, wymagania kontraktowe, wymagania prawne lub normatywne… Istnieją setki podobnych czynników determinujących ostateczny kształt systemu zarządzania. Takiego, który będzie dopasowany do biznesu, a jednocześnie spełni wszystkie wymogi formalne, pozwalając na audytowe potwierdzenie zgodności i ewentualną certyfikację.

System zarządzania to zarówno dokumentacja (polityki, procedury, instrukcje, plany ciągłości działania i in.), jak i szeroki wachlarz rozwiązań organizacyjnych i technicznych. Dotykając jedynie wybranych zagadnień, warto wymienić fundamentalne przykłady: szkolenia dla pracowników, workflow do nadawania i wycofywania uprawnień, szyfrowanie danych, backupy i testy odtwarzania, ochrona sieci (systemy NGFW, IPS), rozwiązania wysokiej dostępności dla aplikacji biznesowych, zapasowe centra przetwarzania danych, wieloskładnikowe uwierzytelnienia, analityka logów (SIEM/SOAR/SOC), zarządzanie podatnościami (patchowanie, skanowanie podatności, testy penetracyjne), ochrona systemów automatyki przemysłowej (OT), bezpieczeństwo fizyczne pomieszczeń, ochrona przed wyciekiem danych (systemy DLP).

Każda z wymienionych pozycji stanowi kolejną „cegiełkę” w budowie muru bezpieczeństwa wokół organizacji. All for One dostarcza wszystkie niezbędne komponenty do budowy kompleksowych rozwiązań bezpieczeństwa – w szczególności dla NIS2, TISAX, ISO 27001".