silhouette photography of man
a computer chip with the letter a on top of it
15 maja 2025

Dyrektywa NIS2 w praktyce

Organizacje na całym Świecie podejmują liczne działania mające na celu ograniczenie prawdopodobieństwa wystąpienia oraz skutków ataków cybernetycznych. Unia Europejska (UE) od wielu lat realizuje to poprzez wdrażanie przepisów skoncentrowanych na ochronie prywatności oraz propagowanie 'dobrych praktyk'  we wszystkich państwach członkowskich. Jednym z przykładów aktów prawnych ustanowionych prze UE celujących w poprawę bezpieczeństwa w obrębie infrastruktury krytycznej oraz technologii operacyjnej (OT) jest dyrektywa NIS2 (ang. Network and Information Security Directive). 

 

NIS2 jest w ewolucją przyjętej jeszcze w 2016 dyrektywy w sprawie sieci i systemów informatycznych - NIS1, która to była pierwszym unijnym aktem prawnym dotyczącym cyberbezpieczeństwa. Nadrzędnym celem NIS2 jest zwiększenie odporności cybernetycznej szerszego zakresu organizacji, a także uczynienie tego w sposób bardziej kompleksowy i spójny niż w przypadku NIS1. Poza szerszym zakresem, nowa dyrektywa wprowadza również wyższe wymogi odnośnie nadzoru i raportowania oraz surowsze grzywny za nieprzestrzeganie przepisów. Lista kategorii branżowych podlegających nowej dyrektywie dzieli je na dwie grupy: „niezbędne” i „ważne”. Podmioty zdefiniowane jako niezbędne będą podlegać proaktywnemu monitorowaniu zgodności przez organy regulacyjne. Podmioty zdefiniowane jako ważne mogą być sprawdzane pod kątem zgodności z NIS2 w następstwie raportu złożonego przez ważny podmiot lub po incydencie cybernetycznym.

 

                           

 

Pomimo wspomnianych powyżej założeń dyrektywa nie wskazuje wprost, jakie narzędzia i technologie mogą/powinny być wdrożone, aby spełnić narzucone przez nią wymagania. Brak klarownych wytycznych powoduje zamieszanie i często naraża organizacje na ryzyko uciążliwych kar za brak zgodności. Wysokość tych kar została zresztą znacznie zaostrzona, czyniąc je porównywalnymi do tych, które przewiduje brak zgodności z Rozporządzeniem o Ochronie Danych Osobowych (RODO), konkretnie:

 

  • W przypadku podmiotów z sektora niezbędne - kary pieniężne w wysokości do 10 MLN EURO lub co najmniej 2% całkowitego rocznego obrotu przedsiębiorstwa (obowiązuje wyższa kwota) .
  • Dla podmiotów w kategorii ważne - kary pieniężne w wysokości do 7 MLN EURO lub co najmniej 1,4% całkowitego rocznego obrotu spółki, do której należy podmiot (obowiązuje wyższa kwota) .

 

Biorąc pod uwagę, że dużym wyzwaniem jest już sama interpretacja niektórych zapisów (przykład: „podjąć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych”) i następnie przełożenie ich na konkretne, 'audytowalne' rozwiązania, zasadnym jest postawienie pytanie jak przygotować się na NIS2?

 

Do działań jakie organizacje z obu sektorów powinny podjąć w pierwszej kolejności można zaliczyć:

 

Wdrożenie mechanizmów do monitorowania i rejestrowania sesji
Mechanizm nadzorowania użytkowników (taki jak SIEM), mogący wykrywać podejrzane zachowania oraz nagrywać sesje dostępowe, stanowi fundament systemu reagowania na incydenty bezpieczeństwa. 

 

Reakcja oraz obsługa incydentów 
Opracowanie oraz regularne testowanie procedury reagowania na incydenty (z uwzględnieniem scenariusza zakładającego ograniczenie dostępów). 

 

Proces nadawania oraz  odbierania dostępów
Ustanowienie procesu dostarczania nowych kont użytkowników i szybkiego odbierania dostępu pracownikom i zewnętrznym kontrahentom w przypadku rozwiązania stosunku pracy lub zmiany roli.

 

Ograniczenie uprawnień  
Zasada minimalnych uprawnień (eng. Least Privilege) zakłada udzielanie użytkownikom dostępu tylko do potrzebnych zasobów. Jest to szczególnie istotne w przypadku kont uprzywilejowanych, takich jak dostawcy zewnętrzni czy administratorzy systemów krytycznych. Przegląd oraz aktualizacja uprawnień powinna być przeprowadzana cyklicznie w odgórnie określonym harmonogramie. 

 

Uwierzytelnianie wieloskładnikowego (eng. MFA)
Zabezpieczenie wszystkich zasobów (również starszych systemów), za pomocą dodatkowego elementu uwierzytelniającego, ograniczając tym samym ryzyko nieautoryzowanego dostępu. MFA może obejmować czynniki biometryczne, tokeny sprzętowe lub aplikacje uwierzytelniania mobilnego.

 

Stała weryfikacja autoryzacji 
MFA pomaga zabezpieczyć początkowy punkt dostępu, ale aby zapewnić bezpieczeństwo przez cały czas trwania połączenia konieczne jest rozwiązanie umożliwiające stałą weryfikacje. Wykrycie nietypowego zachowania podczas połączenia powinno skutkować natychmiastowym jego przerwaniem. 

 

Zabezpieczenie łańcucha dostaw
Dostawcy zewnętrzni oraz inni partnerzy stanowią kluczowy element funkcjonowania wielu przedsiębiorstw. Ustanowienie systemu kontroli oraz nadzoru and partnerami biznesowymi wpływa na obniżenie ryzyka powiązanego z przerwaniem/ograniczeniem dostaw, a co za tym idzie zachwianiem operacyjności. 

 

Firma ACE dzięki holistycznemu podejściu do cyberbezpieczeństwa, ściśle wpisuje się w etos dyrektywy NIS2 i co za tym idzie jest wstanie pomóc w:

  • zbudowaniu solidnych podstaw wiedzy o bezpieczeństwie informatycznym
  • przeprowadzeniu audytu zgodności z nowymi przepisami 
  • przełożeniu wymagań dyrektywy na działania eliminujące ryzyko kar.

 

Autor: Grzegorz P.

 

Audit          

Consultancy          

Education

Copyright © ACE. All Rights Reserved.