Dyrektywa NIS 2 – obowiązki firm: zarządzanie ryzykiem, zgłaszanie incydentów

trecom.pl 2 miesięcy temu

Obowiązki firm: zarządzanie ryzykiem

NIS 2 wskazuje, iż wszystkie podmioty muszą „podejmować odpowiednie i proporcjonalne środki techniczne i organizacyjne w celu zarządzania zagrożeniami dla bezpieczeństwa cybernetycznego sieci i systemów informatycznych.”

Mówiąc prościej te środki oznaczają zatrudnionych specjalistów, wdrożone procesy i procedury, systemy i rozwiązania techniczne itd.

Opublikowany 23.04.2024 projekt nowelizacji UKSC implementującej w Polsce obowiązki wynikające z dyrektywy NIS 2 podkreśla jak ważne jest podejście oparte na ryzyku. zobowiązując podmioty najważniejsze i ważne do wprowadzenia systemu zarządzania bezpieczeństwem informacji (SZBI) w procesach służących świadczeniu przez nie usług.

1. Analiza Ryzyk

Właściwym podejściem, niezależnie od wielkości firmy czy instytucji, jest przeprowadzenie analizy ryzyk (w tym cybernetycznych) oraz identyfikacja tych najbardziej krytycznych. Wymienione wcześniej środki muszą zapewniać poziom bezpieczeństwa powiązany z i wynikający wprost z występujących w danej organizacji ryzyk.

Dyrektywa NIS 2 wymaga posiadania przez organizację udokumentowanych, aktualizowanych analiz i ewaluacji ryzyk oraz bezpieczeństwa systemów informatycznych:

  1. identyfikację ryzyk, w tym cyber i ich poziomu
  2. analizę tych ryzyk i wybranie tych najistotniejszych
  3. posiadanie planu mitygacji najbardziej krytycznych ryzyk

Dobrze przygotowana, przedyskutowana i uzgodniona z Zarządem oraz udokumentowana analiza cyberryzyk zapewnia nam spełnienie w tym zakresie wymagań NIS 2, ale przede wszystkim jest najlepszym sposobem na przekonanie Zarządu do wagi obszaru cyber w tym potrzebnych nakładów finansowych.

Pamiętajmy by w oszacowaniu budżetu i środków na minimalizację cyber ryzyk wykorzystać specyfikę naszej organizacji, raporty o zagrożeniach czy przypadki cyberataków na podobnych do naszej organizacji.

Należy wziąć pod uwagę koszty przestojów, niedostępności usług, utratę produkcji, dodać odzyskiwanie danych i wysiłki potrzebne do przywrócenia normalnego działania, a także uwzględnić szacunkowe koszty kar NIS 2 i szkody dla powiązanych przedsiębiorstw itp.

2. Polityki Bezpieczeństwa

Kolejny obowiązek to posiadanie udokumentowanej i aktualizowanej polityki bezpieczeństwa organizacji. Polityka bezpieczeństwa organizacji bazuje na analizie ryzyk. To z analizy ryzyk oraz przyjętej na ich podstawie polityki bezpieczeństwa wynikają już konkretne rozwiązania, zabezpieczenia organizacyjne i techniczne.

Z polityki bezpieczeństwa systemów informatycznych powinny wynikać takie procesy jak:

  • inwentaryzacja zasobów i zarządzanie zasobami
  • dostęp użytkowników i zarządzania hasłami
  • zarządzanie zmianami
  • zarządzanie podatnościami i poprawkami
  • wykrywanie, monitorowanie i rejestrowanie incydentów bezpieczeństwa a następnie ich analiza i reagowanie
  • wykorzystywanie rozwiązań do ochrony end pointów, wykorzystanie kryptografii itp
  • segmentacja sieci, tworzenie kopii zapasowych i odzyskiwanie danych

Jak gwałtownie zweryfikować czy obszar zarządzania ryzykiem i polityk bezpieczeństwa jest pod kontrolą?

Rekomenduję by zadać sobie samemu następujące pytania – mini lista kontrolna:

  1. Czy krytyczne procesy i ich zasoby są znane, udokumentowane, określono dla nich najważniejsze ryzyka a środki bezpieczeństwa określone i wdrożone?
  2. Czy zasoby teleinformatyczne objęte zakresem zostały zidentyfikowane, są monitorowane, a podatności i zagrożenia są zarządzane?
  3. Czy polityki bezpieczeństwa, procedury są dokumentowane, komunikowane i cyklicznie oceniane?
  4. Czy wdrożono proces monitorowania i zgłaszania incydentów bezpieczeństwa i reagowania na nie? Czy jest on udokumentowany?
  5. Czy wiem jakich mam dostawców oraz czy zidentyfikowano zagrożenia dla łańcucha dostaw i wdrożono środki minimalizujące je?

Ciągłość działania i zarządzania kryzysowego

Dyrektywa NIS 2 odnosi się do „ciągłości działania i zarządzania kryzysowego” w swoich środkach zarządzania ryzykiem. Liczy się realna gotowość naszej organizacji do przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej czy kryzysowej. najważniejsze jest tu posiadanie planów ciągłości działania i zarządzania kryzysowego. Równie ważne jest cykliczne testowanie planów ciągłości działania i zarządzania kryzysowego. choćby najlepiej opracowany dokument będzie bezużyteczny, jeżeli pracownicy nie będą potrafili skorzystać z niego w sytuacji kryzysowej.

3. Incydenty Bezpieczeństwa

NIS 2 wprowadza dwa rygorystyczne obowiązki dotyczące incydentów bezpieczeństwa:

1. Obowiązek zgłaszania incydentów i raportowanie ich statusu:

  • bez zbędnej zwłoki i co ważne w czasie nie dłuższym niż 24 godziny od powzięcia wiedzy o poważnym incydencie czy zagrożeniu cybernetycznym musimy dokonać wczesnego ostrzeżenia, w którym musimy wskazać, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym, czy działaniem w złym zamiarze oraz czy mógł wywrzeć wpływ transgraniczny
  • czas wczesnego ostrzeżenia dla przedsiębiorców telekomunikacyjnych został w nowelizacji UKSC skrócony do 12 godzin od momentu wykrycia incydentu poważnego,
  • następnie, bez zbędnej zwłoki, w ciągu 72 godzin od powzięcia wiedzy o poważnym incydencie – zgłoszenie incydentu, z aktualizacją wcześniejszych informacji i wskazaniem wstępnej oceny poważnego incydentu, jego dotkliwości i skutków, a tam, gdzie to ma zastosowanie także wskaźników integralności systemu

2. Obowiązek przedstawienia raportu końcowego < 1 miesiąc po złożeniu pierwszego raportu, po zgłoszeniu incydentu:

Raport końcowy powinien zawierać:

  • szczegółowy opis incydentu, jego wagi, wpływu i dotkliwości oraz skutków
  • rodzaj zagrożenia, pierwotna przyczyna, która prawdopodobnie była źródłem incydentu
  • zastosowane i wdrażane środki zaradcze ograniczające ryzyko
  • wskazanie transgranicznych skutków incydentów

Poważny incydent bezpieczeństwa to takie zdarzenie, które:

  • spowodowało lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu
  • wpłynęło lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe
  • mające znaczący wpływ na świadczenie usług
  • wszelkie istotne zidentyfikowane zagrożenia cybernetyczne, które mogły potencjalnie skutkować istotnym incydentem (zdarzenia potencjalnie wypadkowe)

W projekcie nowelizacji UKSC przyjęto, iż Rada Ministrów określi, w drodze rozporządzenia, progi uznania incydentu za poważny według rodzaju zdarzenia w poszczególnych sektorach i podsektorach uwzględniając:

  • liczbę użytkowników, których dotyczy zakłócenie świadczenia usługi
  • czas oddziaływania incydentu na świadczone usługi
  • zasięg geograficzny obszaru, którego dotyczy incydent
  • inne czynniki charakterystyczne dla danego sektora lub podsektora, o ile występują

Do kogo firmy i instytucje mają zgłaszać incydenty bezpieczeństwa?

Incydenty poważne, ich status i raporty musimy zgłaszać do adekwatnego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli CSIRT. W projekcie nowelizacji UKSC przyjęto, iż incydenty poważne zgłaszane będą do adekwatnego dla danego podmiotu CSIRT sektorowego. CSIRT sektorowy z kolei w czasie nie dłuższym niż 8 godzin będzie zgłaszał incydenty poważne do odpowiedniego CSIRT poziomu krajowego, czyli:

  • CSIRT NASK
  • CSIRT GOV
  • CSIRT MON

Dodatkowo w nowelizacji UKSC przyjęto, iż podmioty najważniejsze i ważne będą obowiązane korzystać z systemu S46 służącego wymianie informacji o incydentach, cyberzagrożeniach i podatnościach.

Jak sprawdzić, czy jesteśmy przygotowani do zgłaszania i raportowania incydentów bezpieczeństwa?

Rekomenduję by zadać sobie samemu następujące pytania – mini lista kontrolna:

  1. Czy moja organizacja wykrywa i reaguje na incydenty w trybie operacyjnym, codziennie? Czy jestem odpowiednio szkolony w tym zakresie?
  2. Czy wykrywam na bieżąco podatności, zagrożenia i zdarzenia security. Jaka jest ich jakość? Czy proces ten jest zautomatyzowany?
  3. Czy moja organizacja jest w stanie zidentyfikować przyczynę źródłową incydentu? Czy obejmuje to czas i ścieżkę ataku?
  4. Czy mam zdefiniowany, zakomunikowany i przećwiczony proces komunikacji w zakresie incydentów NIS 2?
  5. Czy jestem w stanie na żądanie uprawnionych organów dostarczyć dowody?

Dowiedz się więcej o Dyrektywie NIS 2 – pobierz pakiet materiałów edukacyjnych przygotowany przez eksperta rynku ICT i cyberbezpieczeństwa Tomasza Matułę.

Pakiet materiałów zawiera:

  1. Video przewodnik po NIS 2 z ekspertem Tomaszem Matułą, który krok po kroku przeprowadzi Cię przez zmiany i wymogi nakładane przez NIS 2.
  2. Ebook Jak przygotować się na NIS 2? autorstwa Tomasza Matuły, zawierający informacje niezbędne do skutecznego wdrożenia obowiązków nakładanych przez dyrektywę oraz praktyczne wskazówki.
  3. Checklistę do samodzielnego audytu cyberbezpieczeństwa w Twojej organizacji.
POBIERAM MATERIAŁY

O AUTORZE

Tomasz Matuła
ekspert i menedżer rynku ICT oraz cyberbezpieczeństwa z ponad 26-letnią praktyką w biznesie. Dyrektor programowy społeczności CIONET Security Excellence. Digital Leader of the Year Polska (2016), finalista European CIO of the Year (2017).

Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Dyrektywa NIS 2 – obowiązki firm: zarządzanie ryzykiem, zgłaszanie incydentów

Powiązane

Czy zapisywanie haseł w przeglądarce jest bezpieczne?

Czy zapisywanie haseł w przeglądarce jest bezpieczne?

8 godzin temu
Uwaga programiści! Ktoś wysyła cwane komunikaty przez GitHuba

Uwaga programiści! Ktoś wysyła cwane komunikaty przez GitHub...

21 godzin temu
Defending liberalism in Bulgaria

Defending liberalism in Bulgaria

21 godzin temu
IMazing 3 to najlepsze narzędzie do zarządzania danymi dla iPhone’a 16

IMazing 3 to najlepsze narzędzie do zarządzania danymi dla i...

1 dzień temu
Programowanie i bezpieczeństwo

Programowanie i bezpieczeństwo

1 dzień temu
Krótkofalówki wybuchły im w rękach. Ktoś znowu użył elektroniki jako broni masowego rażenia

Krótkofalówki wybuchły im w rękach. Ktoś znowu użył elektron...

1 dzień temu
Oszustwa na powódź. CBZC ostrzega, jak nie dać się oszukać

Oszustwa na powódź. CBZC ostrzega, jak nie dać się oszukać

2 dni temu
Konsumenci coraz bardziej boją się o bezpieczeństwo swoich danych

Konsumenci coraz bardziej boją się o bezpieczeństwo swoich d...

2 dni temu
Ciekawy atak na pagery Hezbollahu

Ciekawy atak na pagery Hezbollahu

2 dni temu

Polecane

Po wybuchających pagerach przyszła pora na wybuchające krótkofalówki. Liban znów pogrążony w chaosie

Po wybuchających pagerach przyszła pora na wybuchające krótk...

15 godzin temu
Sprzęt przekazany przez Kuczmierowskiego pomoże policji!

Sprzęt przekazany przez Kuczmierowskiego pomoże policji!

2 dni temu
Niemcy wprowadzają kontrolę na wszystkich granicach.

Niemcy wprowadzają kontrolę na wszystkich granicach.

4 dni temu
Wisznia Mała. Saperzy zabezpieczyli niewybuch z czasów II Wojny Światowej

Wisznia Mała. Saperzy zabezpieczyli niewybuch z czasów II Wo...

1 tydzień temu
ZOR RP uczestniczył w Nowym Dworze Mazowieckim w obchodach jubileuszu 80 – lecia 2 Mazowieckiego pułku saperów

ZOR RP uczestniczył w Nowym Dworze Mazowieckim w obchodach j...

1 tydzień temu
Stalowa Wola:Piknik Patriotyczny z okazji wręczenia chorągwi 18. Pułkowi Saperów

Stalowa Wola:Piknik Patriotyczny z okazji wręczenia chorągwi...

1 tydzień temu
Szef ABW zadecyduje kto jest terrorystą

Szef ABW zadecyduje kto jest terrorystą

2 tygodni temu
Stopnie alarmowe na terenie całego kraju wciąż obowiązują

Stopnie alarmowe na terenie całego kraju wciąż obowiązują

2 tygodni temu
Drugi stopień alarmowy (stopień BRAVO) oraz drugi stopień alarmowy CRP (BRAVO-CRP) na całym terytorium RP

Drugi stopień alarmowy (stopień BRAVO) oraz drugi stopień al...

2 tygodni temu