Szacunki mówią o nawet kilkunastu tysiącach firm w Polsce, które będą podlegać „Dyrektywie w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa”, znanej w skrócie jako NIS2. Termin implementacji dyrektywy do krajowego porządku prawnego przez państwa członkowskie UE upływa 18 października 2024 r. To oznacza, że przedsiębiorstwa mają stosunkowo niewiele czasu, żeby przygotować się do nowych regulacji.

W artykule „NIS2 jako szansa na biznes” w marcowym wydaniu CRN Polska zapytaliśmy przedstawicieli polskiego rynku IT o ich sprzedażowe oczekiwania związane z wejściem w życie dyrektywy. Tutaj skupimy się na ofercie, z jaką warto wyjść do klientów.

Chociaż każdy sektor, którego dotyczy NIS2, ma własne potrzeby, specyfikę i ograniczenia, to wszystkie firmy objęte dyrektywą będą miały przede wszystkim obowiązek raportowania wszelkich incydentów bezpieczeństwa. A to oznacza, że konieczne stanie się rozwijanie systemów, które je wykrywają. Zwiększą się również wymagania z zakresu ujawniania i obsługi luk bezpieczeństwa, uwierzytelniania, efektywnego szyfrowania oraz testowania zabezpieczeń.

Zgodnie z dyrektywą NIS2 zdefiniowane w niej podejście do bezpieczeństwa powinno bazować na pięciu filarach: zarządzaniu zasobami, kontroli dostępu do nich, segmentacji sieci, rejestrowaniu i monitorowaniu ruchu w sieci oraz zarządzaniu ryzykiem – mówi Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu.

Wszystko zaczyna się od audytu

Nowe przepisy obejmują środki zarządzania ryzykiem, wprowadzenie wytycznych dotyczących bezpieczeństwa informacji, zapewnienie zasobów awaryjnych lub środków zapewniających integralność i autentyczność ich własnych systemów i procesów. Jak to wszystko ogarnąć? Od czego zacząć?

Najbardziej poszukiwaną przez klientów usługą jest tzw. „audyt luki”, który pozwala zidentyfikować obszary, w których organizacja będzie musiała wykonać najwięcej pracy, aby zapewnić zgodność z nowymi przepisami – mówi Cyprian Gutkowski, specjalista ds. bezpieczeństwa procesów IT w ComCERT z Grupy Asseco.

Jego zdaniem obszarami uniwersalnymi dla każdego sektora gospodarki, które powinny zainteresować wszystkie firmy w kontekście NIS2 są przede wszystkim rozwiązania z zakresu zarządzania incydentami (procesy, procedury i narzędzia) oraz monitorujące stan bezpieczeństwa i zabezpieczające (IDS/IPS, SIEM, FW, AV, 2FA, IAM itp.). Dużym wzięciem powinny cieszyć się też usługi Cyber Threat Intelligence (zbieranie, analiza, interpretacja i klasyfikacja zagrożeń) oraz usługi doradztwa, audytu i wsparcia w procesie tworzenia i wdrażania właściwej dokumentacji zgodnej z normami ISO, zarówno 27001, jak i 22301. Ważne będą szkolenia podnoszące świadomość cyberzagrożeń, a w przypadku konkretnych rozwiązań istotna będzie kryptografia (narzędzia szyfrowania w transmisji i spoczynku, zarządzanie kluczami).

W rozmowach z klientami najczęściej omawiane są kwestie zapewnienia odpowiedniej widoczności, bezpiecznego dostępu do sieci i badania podatności, które następnie można wykorzystać do analizy, reagowania i raportowania. Nierzadko najpierw wymagana jest segregacja i segmentacja, szczególnie w obrębie sieci przemysłowej (OT), co otwiera partnerom możliwość oferowania usług z tym związanych – zauważa Artur Madejski, Product Manager w Exclusive Networks.

Większe podmioty stawiają na rozwiązania SIEM i SOAR z rozszerzeniem o narzędzia do testowania i badania podatności oraz usługi zarządzane w celu zwiększenia skuteczności działów ds. bezpieczeństwa informatycznego. Dla firm korzystających z rozległych sieci przemysłowych, kluczowe może okazać się wdrożenie zaawansowanych systemów monitorowania integralności danych i urządzeń, które są w stanie wykrywać nieautoryzowane próby dostępu lub manipulacje w czasie rzeczywistym.

– Współpracę z firmami objętymi dyrektywą rozpoczynamy od usług audytowych. Podczas ich świadczenia sprawdzamy stan organizacji „na dzisiaj”. Od wyników audytu uzależniamy nasze dalsze działania z daną firmą. Dyrektywa wymaga od przedsiębiorców nie tylko posiadania optymalnie dobranych systemów security, ale również spisanych polityk i procedur. Dlatego możemy nie tylko zaproponować i wdrożyć odpowiednie systemy cyberbezpieczeństwa, aby zlikwidować odkryte podatności, ale także pomóc w tworzeniu polityk i procedur bezpieczeństwa – mówi Michał Sroka, Enterprise Account Manager w Dagma Bezpieczeństwo IT.

Szkolenia i usługi konsultingowe

Także usługi szkoleniowe z zakresu zwiększania świadomości o zagrożeniach wraz z kampaniami pozwalającymi na wyrobienie nawyku bezpiecznej pracy w cyfrowej rzeczywistości powinny być istotne dla wielu firm.

Przedsiębiorcy powinni poszukiwać na rynku dostawcy usług i systemów bezpieczeństwa, który zaoferuje im podjęcie komplementarnych działań, których celem jest dostosowanie ich organizacji do nowych przepisów. Chodzi więc nie tylko o konkretne systemy, ale także usługi i szkolenia z zakresu cyberbezpieczeństwa – mówi Michał Sroka.

Dyrektywa wyróżnia obszary, gdzie trzeba wdrożyć środki techniczne, operacyjne i organizacyjne proporcjonalne do zidentyfikowanego ryzyka. NIS2 kładzie również duży nacisk na bezpieczeństwo łańcucha dostaw, które staje się coraz większym wyzwaniem ze względu na rozproszenie zagrożeń.

Wiele przedsiębiorstw, dotychczas nieobjętych regulacjami, będzie potrzebować doradztwa oraz weryfikacji czy spełniają wymagania dyrektywy oraz wsparcia w działaniach implementacyjnych – mówi Michał Bursa, IT Security Senior Consultant z polskiego oddziału Accenture.

W kontekście NIS2 czeka więc integratorów wiele pracy analitycznej i wdrożeniowej w zakresie zarządzania ryzykiem, incydentami oraz ciągłością działania. Powinni oni też dobrze przygotować się do wszelkich działań podnoszących świadomość w obszarze cyberbezpieczeństwa.

Zdaniem specjalisty

.

Grzegorz Świrkowski, CEO, Net Complex Grzegorz Świrkowski, CEO, Net Complex  

Rozwiązania, które szczególnie powinny zainteresować klientów w kontekście dyrektywy NIS2, to przede wszystkim te z obsługą incydentów, czyli SIEM, SOAR, XDR, DLP. Ponadto, istotne będą rozwiązania MFA, ponieważ jednym z wymogów dyrektywy jest stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, co obejmuje również rozwiązania klasy PAM. Rozwiązania tego typu mogą dodatkowo wspomóc przedsiębiorstwa w analizie ryzyka i wdrażaniu polityk bezpieczeństwa. W kontekście zapewnienia ciągłości działania i zarządzania kryzysowego, kluczowe są produkty backup/disaster recovery. Istnieje wiele możliwych rozwiązań, jednak faktyczne zapotrzebowanie zależy od wielu czynników. Dlatego uważamy, że najważniejszym elementem przygotowań do wdrożenia NIS2 jest współpraca z godnym zaufania partnerem, który będzie w stanie przejść przez ten proces razem z nami, pomóc nam dostosować się do wymogów, a jego działania będą oparte na rzeczywistych potrzebach, a nie tylko na pustych frazesach

  
Robert Dąbrowski, szef zespołu inżynierów, Fortinet Robert Dąbrowski, szef zespołu inżynierów, Fortinet  

Celem zapewnienia sobie możliwości wywiązywania się z przepisów NIS2, firmy powinny rozważyć wdrożenie rozwiązań z kategorii SIEM (Security Information and Event Management), SOAR (Security Orchestration, Automation and Response). Umożliwiają one wykrywanie zagrożeń, ich analizowanie i reagowanie na nie, zanim zdążą wyrządzić szkody w firmowej sieci. Dodatkowo zapewniają automatyzację pracy systemów oraz zespołów odpowiedzialnych za bezpieczeństwo organizacji oraz reagowanie na incydenty. Z kolei firewalle nowej generacji, przełączniki sieciowe oraz punkty kontroli dostępu do sieci mają na celu wdrożenie segmentacji oraz współpracę z mechanizmami uwierzytelniania (IAM), autoryzacją dołączenia do infrastruktury (NAC). Skuteczna segmentacja zapewnia nie tylko szczegółową kontrolę, ale daje szansę na wyizolowanie i powstrzymanie ataku. Nowoczesne systemy EDR mają uniemożliwić agresywne działania w postaci ransomware lub wyzerowania repozytoriów konfiguracji czy narzędzi zarządzania DevOps. Widoczność i znajomość procesów infrastruktury krytycznej musi być wsparta skutecznymi systemami blokowania ataków.