Dyrektywa NIS2, która wejdzie w życie 17 października 2024 r., znacznie poszerza krąg podmiotów objętych unijnymi regulacjami w zakresie bezpieczeństwa cyfrowego, zwiększając przy tym stosowne wymagania. Jednak nadal jeden na czterech przedsiębiorców w Polsce nie zdaje sobie sprawy z tego, że nowe regulacje dotyczą również jego firmy – wynika z badania CSO Council. Dla firm z kanału sprzedaży IT jest to więc szansa na edukację klientów w zakresie regulacji i zapewnienie im odpowiedniego wsparcia. W tym kontekście wszyscy zainteresowani powinni mieć świadomość, że nowa dyrektywa koncentruje się na zabezpieczeniu łańcucha dostaw, usprawnieniu obowiązków sprawozdawczych, zaostrzeniu nadzoru i zarządzaniu ryzykiem.

– Zarządzanie ryzykiem w łańcuchu dostaw może stanowić wyzwanie, zwłaszcza dla małych i średnich firm, które często nie mają wystarczających zasobów IT. Przykładowo, w USA w 2022 roku odnotowano o 40 proc. więcej ataków na łańcuchy dostaw niż opartych na złośliwym oprogramowaniu – zauważa Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

NIS2 obejmuje swoim zakresem organizacje z tak kluczowych sektorów, jak energetyka, transport, administracja publiczna, bankowość, opieka zdrowotna, zaopatrzenie w wodę, odprowadzanie ścieków, infrastruktura cyfrowa, zarządzanie ICT (B2B), przestrzeń kosmiczna. Z kolei do sektorów ważnych zaliczono dostawców usług cyfrowych, przemysł spożywczy, chemiczny, pocztę i usługi kurierskie, gospodarkę odpadami, produkcję oraz badania naukowe. Regulacje dotyczą średnich (od 50 osób i 10 mln euro obrotu) i dużych firm. Za ich naruszenie podmiotom „kluczowym” grozi kara do 10 mln euro lub 2 proc. rocznego obrotu, a tym „ważnym” do 7 mln euro lub 1,4 proc. obrotu.

Trzeba też zdawać sobie sprawę z tego, że ta lista realnie jest o wiele dłuższa – nie tylko podmioty „kluczowe” i „ważne”, ale również te, które znajdują się w ich łańcuchu dostaw, muszą dostosować się do zaostrzonych wymagań.

Według NIS2 konieczne będzie raportowanie ataków, w tym wykorzystania przez przestępców luk w zabezpieczeniach i naruszenia danych. Przedsiębiorstwa muszą wdrożyć polityki zarządzania poszczególnymi incydentami, analizę ryzyka i bezpieczeństwa systemów IT, jak też plany ciągłości działania w razie problemów. Rzecz jasna, długa lista nowych potrzeb wymaga czasu, środków, a przede wszystkim specjalistów.

Sześć pytań, które pozwolą wstępnie ocenić, czy firma jest gotowa na NIS2  
  1. Czy posiadasz aktualny spis wykorzystywanego w firmie sprzętu i oprogramowania?
  2. Czy sprawdzasz dostępność aktualizacji oprogramowania minimum raz w tygodniu?
  3. Czy wiesz, jakie ryzyko wiąże się ze sprzętem i oprogramowaniem używanym w Twojej organizacji?
  4. Czy jesteś świadomy zmian legislacyjnych i dyskusji nad nowymi przepisami?
  5. Czy ustaliłeś, jakie ryzyko podejmuje Twoja organizacja w środowisku cyfrowym i czy podejmujesz przemyślane decyzje, aby określić swoją gotowość do poradzenia sobie z tym ryzykiem?
  6. Czy regularnie oceniasz środki, procedury i narzędzia niezbędne do ograniczania i kontrolowania zidentyfikowanych zagrożeń cybernetycznych pod względem ich przydatności dla Twojej organizacji?
  

Potrzebne są kompleksowe narzędzia

Dla specjalistów ds. cyberbezpieczeństwa, w związku z nadchodzącymi nowymi regulacjami, coraz większego znaczenia nabiera stosowanie zautomatyzowanych, kompleksowych narzędzi. A konkretnie takich, które można implementować w krótkim czasie, by terminowo przybliżyć organizacje do spełnienia wymagań NIS2. W cenie będą choćby rozwiązania zapewniające ciągłość działania, obsługę incydentów, ochronę łańcucha dostaw, analitykę, szyfrowanie, kontrolę dostępu i edukację. Każde z nich znajduje się w ofercie dystrybucyjnej DAGMA Bezpieczeństwo IT.

Jednym z przykładów jest pakiet ESETPROTECT Elite i wchodzące w jego skład narzędzia, w tym ESET Inspect – do rozszerzonego wykrywania i reagowania (XDR). Pozwala ono na identyfikację nietypowego zachowania i naruszeń bezpieczeństwa firmowej sieci, automatycznie reagując na zdarzenia i podejmując działania zaradcze.

Ochronę poprawi również zarządzanie podatnościami w systemach operacyjnych i aplikacjach z pomocą ESET PROTECT Elite, które umożliwia automatyczne (lub ręczne) aktualizacje na stacjach roboczych w przedsiębiorstwie. Koniecznością w firmach staje się też uwierzytelnianie wieloskładnikowe, chroniące je przed używaniem słabych haseł i nieupoważnionym dostępem do systemów.

Dodatkowe informacje: Dodatkowe informacje:  

Bartosz Różalski, Senior Product Manager ESET, DAGMA Bezpieczeństwo IT, Rozalski.b@dagma.pl