Dyrektywa NIS 2 to ważny akt prawny, który ma na celu zwiększenie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Podmioty objęte jej regulacjami zobowiązane są do spełnienia szeregu nowych obowiązków, w tym wdrożenia systemu zarządzania ryzykiem cybernetycznym, zgłaszania incydentów cybernetycznych do odpowiednich organów i stosowania technologii szyfrowania w fizycznej kontroli dostępu, która stanowi istotny element dyrektywy NIS 2 w zakresie cyberbezpieczeństwa.
Najważniejsze informacje na temat dyrektywy NIS 2
W styczniu 2023 roku Unia Europejska wprowadziła nową dyrektywę dotyczącą bezpieczeństwa cybernetycznego — NIS 2. Jej ustalenia oraz wdrożenie stanowią odpowiedź na rosnące zagrożenia cybernetyczne i zmieniający się krajobraz cyfrowy. W Polsce konieczne jest dostosowanie firm do jej wymagań do 17 października 2024. Jest to znaczący krok ku zwiększeniu bezpieczeństwa cybernetycznego w kraju oraz w całej Unii Europejskiej.
Znowelizowana dyrektywa ma na celu zapewnienie bezpieczeństwa cybernetycznego na wysokim poziomie we wszystkich państwach członkowskich Unii Europejskiej. Poprzez określenie nowych wytycznych i zasad dotyczących bezpieczeństwa sieci i informacji, przepisy te ta dążą do zwiększenia odporności systemów informatycznych i sieciowych na terenie całej Unii. Ich celem jest również poprawa szybkości reagowania na incydenty cybernetyczne oraz ochrona społeczeństwa, gospodarki i bezpieczeństwa publicznego.
NIS 2 znacząco rozszerza zakres regulacji w porównaniu z poprzednią wersją dyrektywy Parlamentu Europejskiego i Rady. Objęte nią są teraz różne sektory gospodarki, średnie i duże firmy z określonych branż oraz wybrane małe i mikroprzedsiębiorstwa.
Kogo dotyczy dyrektywa NIS 2?
Dyrektywa NIS 2 obejmuje szeroki zakres podmiotów, z sektora publicznego i prywatnego. Dotyczy ona:
- wszystkich średnich i dużych firm (zatrudniających co najmniej 50 osób lub o rocznym obrocie (albo sumie bilansowej) przekraczającym 10 mln euro działających w sektorach wymienionych w dyrektywie (m.in.: energetyka, transport, bankowość, opieka zdrowotna, produkcja urządzeń elektrycznych, maszyn i urządzeń, dostawcy usług cyfrowych),
- małych i mikroprzedsiębiorstw, które:
- są dostawcami usług zaufania,
- świadczą usługi DNS (z wyłączeniem operatorów głównych serwerów nazw),
- zarządzają rejestrami nazw TLD,
- są częścią administracji publicznej na szczeblu centralnym,
- zaliczają się do podmiotów krytycznych zgodnie z zapisami dyrektywy CER.
Obowiązki wynikające z dyrektywy NIS 2
Dyrektywa NIS 2 nakłada na podmioty objęte jej regulacjami szereg nowych zasad. Konieczne jest spełnienie obowiązków takich jak:
- wdrożenie systemów i środków zarządzania ryzykiem cybernetycznym, w celu identyfikacji, oceny i minimalizacji ryzyka ataku,
- współpraca z właściwymi organami w celu reagowania na incydenty cybernetyczne,
- niezwłoczne zgłaszanie incydentów cybernetycznych powołanym do tego organom nadzorczym,
- dbanie o zabezpieczenie systemów poprzez analizę ryzyka, wdrażanie skutecznych procedur, zabezpieczanie łańcuchów dostaw oraz dbanie o opracowywanie i wdrażanie planów ciągłości działania,
- stosowanie technologii szyfrowania, w szczególności szyfrowania end-to-end
Kary za naruszenie dyrektywy NIS 2
Nowa dyrektywa przewiduje surowe kary za nieprzestrzeganie jej postanowień. Podmiotom kluczowym grożą grzywny sięgające nawet do 10 milionów euro lub 2% łącznego rocznego obrotu, z kolei ważnym do 7 milionów euro i 1,4% łącznego obrotu. Dyrektywa NIS 2 przewiduje również możliwość nałożenia okresowych kar finansowych w celu wymuszenia przestrzegania przepisów dotyczących cyberbezpieczeństwa w Unii Europejskiej.
Fizyczna kontrola dostępu jako element cyberbezpieczeństwa
Podczas przeprowadzania audytu, w firmie lub instytucji publicznej, związanego z przygotowaniem do spełnienia wymagań dyrektywy NIS 2 przez organizację, należy zwróci,ć szczególną uwagę na kontrolowanie fizycznego dostępu. Choć często jest to pomijany aspekt w kontekście cyberbezpieczeństwa, artykuł 79. dyrektywy NIS 2 wskazuje, że zagrożenia dla bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, włączając w to kradzieże, włamania lub inne formy nieuprawnionego dostępu do infrastruktury związanej z informacjami i ich przetwarzaniem.
Fizyczne zagrożenia mają istotny wpływ na cyberbezpieczeństwo. Przykładem jest kradzież laptopa, smartfona lub innych przenośnych urządzeń, które mogą dać dostęp do poufnych danych. Jeśli ten sprzęt nie jest odpowiednio zabezpieczony, intruz może uzyskać dostęp do danych lub je wykorzystać do złamania zabezpieczeń cyfrowych. Dodatkowo, atakujący mogą próbować przejąć kontrolę nad urządzeniami sieciowymi, takimi jak routery, co umożliwia im przechwycenie ruchu sieciowego lub przeprowadzenie ataku typu man-in-the-middle, co z kolei może prowadzić do podsłuchiwania i manipulacji przesyłanymi danymi.
Ataki na serwery, centra danych czy infrastrukturę zasilania oraz chłodzenia mogą również prowadzić do utraty danych, nieprawidłowego funkcjonowania systemów informatycznych, przerw w działaniu systemów komputerowych i wpływając na dostępność usług oraz bezpieczeństwo danych. Ponadto, atakujący mogą próbować fizycznie dostarczyć złośliwe urządzenia lub nośniki danych, takie jak pendrive’y, aby zainfekować sieć lub urządzenia.
Dlatego też, aby spełnić wymogi dyrektywy NIS 2, warto rozważyć instalację odpornego na ataki systemu kontroli dostępu do stref, budynków i pomieszczeń. Takie rozwiązania pozwalają na poprawę bezpieczeństwa oraz elastyczne zarządzanie dostępem. Dzięki integracji z innymi systemami oraz możliwości monitorowania zdarzeń w czasie rzeczywistym, przyspiesza się reakcja w przypadku naruszenia cyberbezpieczeństwa, co pozwala zniwelować efekty ataku.
Ponadto, zgodnie z dyrektywą, ważne jest stosowanie technologii szyfrowania, takich jak szyfrowanie end-to-end, które zapewniają bezpieczeństwo komunikacji między różnymi komponentami systemu kontroli dostępu (karta, czytnik, kontroler, serwer). Rekomenduje się także dodatkowe środki bezpieczeństwa, takie jak saltowanie klucza albo jego hashowanie i użycie bezpiecznych trybów szyfrowania, aby zwiększyć odporność systemu na ataki.
Podsumowując, skuteczne zarządzanie fizycznym dostępem oraz stosowanie zaawansowanych technologii szyfrowania są kluczowe dla zapewnienia wysokiego poziomu cyberbezpieczeństwa i spełnienia wymogów dyrektywy NIS 2.
