W styczniu 2023 roku znowelizowano przyjętą w 2016 roku „Dyrektywę w sprawie środków na rzecz wysokiego wspólnego cyberbezpieczeństwa w UE”. Przyjęta dyrektywa NIS2 znacząco wpłynie na polskie przedsiębiorstwa i organy publiczne. Rozszerza listę tzw. podmiotów kluczowych, na które narzucono obowiązki w obszarze bezpieczeństwa IT.

– Wprowadzenie w życie dyrektywy jest wyzwaniem technologicznym, a równocześnie odnoszącym się do zasobów ludzkich. Wymaga odpowiedniej liczby specjalistów z określonymi kompetencjami – komentuje Aleksander Kostuch, inżynier Stormshield.

Zasadne staje się pytanie, co NIS2 w praktyce oznacza dla przedsiębiorstw i podmiotów publicznych? Odpowiedź należy zacząć od wskazania założeń dyrektywy, które obejmują: obowiązek zgłaszania incydentów i zagrożeń, obowiązek zarządzania kryzysowego, opracowanie odpowiednich polityk oraz procedur testowania i audytów, a także implementację rozwiązań technologicznych adekwatnych do ryzyka.

Obowiązek zarządzania kryzysowego sprawia, że należy spodziewać się tworzenia jednostek typu Security Operations Center (SOC), funkcjonujących w formie wewnętrznych działów lub usług zewnętrznych. Nowe przepisy obejmą także wdrażanie procedur w zakresie „testowania i audytów zabezpieczeń” oraz „tworzenia planu ciągłości działania”. Z kolei propozycja, aby systemy zabezpieczeń były najnowsze ze względu na aktualny stan wiedzy i proporcjonalne do ryzyka związanego z konkretną działalnością, oznacza „konieczność wprowadzenia rozwiązań technologicznych adekwatnych do ryzyka wynikającego z profilu podmiotu”. Jakie w takim razie konkretne rozwiązania należałoby zastosować?

– Biorąc pod uwagę wagę detekcji incydentów teleinformatycznych oraz skuteczne reagowanie na nie, sugeruję zastosowanie wewnątrz sieci firewalli Stormshield Network Security, co umożliwia mikrosegmentację razem z głęboką analizą protokołów przemysłowych. Te narzędzia warto uzupełnić systemem SIEM o nazwie Stormshield Log Supervisor, który służy do zbierania informacji z logów, raportowania, korelowania i obsługi incydentów – mówi Aleksander Kostuch.

Ekspert wskazuje, że stosowanie już teraz adekwatnych do ryzyka mechanizmów ochronnych jest dobrym posunięciem.

– Wdrożenie rekomendowanych rozwiązań będzie czasochłonne, a wobec skali wyzwania nawet uwzględnienie czasu przewidzianego w vacatio legis może okazać się niewystarczające. Oczywiście wiąże się to z inwestycjami, jednak zawsze lepiej przeciwdziałać zagrożeniom niż odczuwać skutki udanego ataku – ocenia specjalista Stormshield.