app.dts
app.dts
app.dts
app.dts

DYREKTYWA NIS 2 CZ. 2

29/10/2024
DTS System - Systemy zabezpieczeń / / DYREKTYWA NIS 2 cz. 2
Kategorie:
Aktualności, Monitoring, Kontrola dostępu, Systemy alarmowe

Szybka powtórka

 

Wzrost zagrożeń cybernetycznych stwarza coraz większe niebezpieczeństwo dla osób prywatnych i firm, co prowadzi do intensywnych zmian w regulacjach dotyczących bezpieczeństwa cyfrowego. Unia Europejska, dążąc do skuteczniejszego przeciwdziałania zagrożeniom, wprowadza nowe przepisy, które podnoszą standardy ochrony danych. Dyrektywa NIS2 (Network and Information Security) stanowi kolejny krok w tej dziedzinie, nakładając na organizacje obowiązki mające na celu minimalizację ryzyka i zwiększenie odporności infrastruktury krytycznej na cyberataki.

 

Dzięki NIS2 przedsiębiorstwa będą musiały wdrożyć bardziej rygorystyczne procedury i technologie ochrony, co nie tylko zabezpieczy je przed stratami finansowymi, ale także zwiększy zaufanie klientów.

 

O wszystkich podstawowych informacjach przypominamy TUTAJ

Kluczowe kroki dla firm objętych dyrektywą

 

Firmy objęte nową dyrektywą muszą dostosować swoje działania do nowych standardów. Dotyczy to nie tylko ochrony danych, ale także zabezpieczeń infrastruktury IT i procesów zarządzania ryzykiem. Wymagania NIS2 stawiają wysokie wymagania. Możemy wyróżnić następujące kroki:

 

  • Ocena ryzyka i polityka bezpieczeństwa IT
    Przedsiębiorstwa  powinny zidentyfikować potencjalne zagrożenia i wdrożyć działania, które zminimalizują ryzyko.

 

  • Tworzenie zasad i procedur bezpieczeństwa
    Zwiększenie efektywności działań ochronnych, obejmując m.in. wytyczne dotyczące kontroli dostępu i reagowania na incydenty.

 

  • Stosowanie kryptografii i szyfrowania
    Zastosowanie technologii kryptograficznych i szyfrowania do ochrony danych wrażliwych, co jest wymagane w sytuacjach krytycznych dla zapewnienia poufności i integralności informacji.

 

  • Plan reagowania na incydenty
    Opracowanie planu działania na wypadek incydentu bezpieczeństwa, obejmującego szybką identyfikację, reakcję oraz analizę końcową w celu uniknięcia podobnych incydentów w przyszłości.

 

  • Bezpieczeństwo procesów zakupowych i operacyjnych
    Zapewnienie bezpieczeństwa w procesach zakupowych i wdrożeniowych, a także regularne zgłaszanie wykrytych luk w zabezpieczeniach odpowiednim organom nadzorującym.

 

  • Szkolenia z zakresu cyberbezpieczeństwa
    Organizacja szkoleń dla pracowników, które podnoszą świadomość i umiejętności.

 

  • Zarządzanie dostępem do danych wrażliwych
    Ograniczenie dostępu do informacji wrażliwych oraz wdrożenie systemów autoryzacji, aby chronić dane przed nieautoryzowanym dostępem.

 

  • Zarządzanie operacjami biznesowymi w trakcie i po wystąpieniu naruszenia bezpieczeństwa, w tym zapewnienie aktualnych kopii zapasowych i dostępu do systemów IT.
    Po wystąpieniu incydentu bardzo ważne jest zapewnienie ciągłości operacyjnej.

 

  • Uwierzytelnianie wieloskładnikowe
    Stosowanie wieloskładnikowego uwierzytelniania oraz szyfrowania, aby zabezpieczyć dane i umożliwić dostęp wyłącznie osobom upoważnionym oraz szyfrowanie głosu, wideo i tekstu.

 

  • Bezpieczeństwo łańcucha dostaw
    Zabezpieczanie łańcuchów dostaw poprzez ocenę luk w zabezpieczeniach i ogólnych poziomów bezpieczeństwa wszystkich dostawców

 

Nowe rozporządzenie wykonawcze do dyrektywy NIS2

 

17 października 2024 roku Komisja Europejska przyjęła pierwsze rozporządzenie wykonawcze na podstawie dyrektywy NIS2, które wyznacza szczegółowe wymagania dla firm świadczących usługi infrastruktury cyfrowej, takie jak:
 

  • dostawców usług centrów danych,
  • rejestrów nazw TLD,
  • dostawców usług przetwarzania w chmurze,
  • dostawców usług DNS,
  • dostawców sieci dostarczania treści,
  • dostawców usług zarządzanych,
  • dostawców zarządzanych usług bezpieczeństwa,
  • dostawców platform e-commerce, wyszukiwarek internetowych,
  • platform usług sieci społecznościowych,
  • dostawców usług zaufania.

 

Nowe regulacje mają na celu wzmocnienie ochrony zasobów cyfrowych i minimalizację ryzyka cybernetycznego, zwłaszcza w kontekście usług kluczowych dla gospodarki i społeczeństwa​.

 

Rozporządzenie wykonawcze definiuje szczegółowo, jakie incydenty będą uznawane za „istotne” i wymagające szybkiego zgłoszenia. Firmy objęte dyrektywą będą musiały zgłaszać takie incydenty do odpowiednich organów krajowych w ciągu 24 godzin od ich wykrycia. ​

 

Warto zwrócić uwagę, że przyjęcie projektu rozporządzenia zbiegło się z terminem transpozycji dyrektywy do prawa krajowego w państwach członkowskich, a pełne wdrożenie przepisów będzie wyzwaniem dla wielu krajów i sektorów, szczególnie ze względu na różnice w prawodawstwach krajowych.

„ISTOTNY incydent”

 

Co Uznaje się za ISTOTNY incydent?

Zgodnie z art. 3 rozporządzenia wykonawczego do dyrektywy NIS2, incydent uznaje się za znaczący, jeśli spełnia jedno lub więcej z poniższych kryteriów:

 

  • Straty finansowe: Incydent spowodował lub może spowodować bezpośrednią stratę finansową dla podmiotu przekraczającą 500 000 EUR lub 5% całkowitych rocznych przychodów tego podmiotu z poprzedniego roku obrotowego, w zależności od tego, która z wartości jest niższa.
  • Ujawnienie tajemnic handlowych: Incydent spowodował lub może spowodować wyciek tajemnic handlowych podmiotu.
  • Utrata życia: Incydent spowodował lub może spowodować śmierć osoby fizycznej.
  • Uszczerbek na zdrowiu: Incydent spowodował lub może spowodować znaczne szkody dla zdrowia jednostki.
  • Nieautoryzowany dostęp: Doszło do udanego, podejrzanego o złośliwe intencje i nieautoryzowanego dostępu do systemów sieciowych lub informatycznych, który może prowadzić do poważnych zakłóceń operacyjnych.
  • Powtarzające się incydenty: W ciągu ostatnich 6 miesięcy doszło do co najmniej dwóch incydentów mających to samo przypuszczalne źródło i powodujących łączne straty finansowe przekraczające 500 000 EUR lub 5% rocznego obrotu podmiotu.

 

Powyższe kryteria mają zastosowanie do wszystkich typów dostawców infrastruktury cyfrowej, zarządzania usługami ICT (Information and Communication Technology – technologie informacyjno-komunikacyjne) oraz dostawców usług cyfrowych objętych dyrektywą NIS2.

 

Wkrótce nowe rozporządzenie wykonawcze do dyrektywy NIS2 zostanie opublikowane w Dzienniku Urzędowym Unii Europejskiej i wejdzie w życie po upływie 20 dni od publikacji. Od tego momentu wszystkie incydenty cybernetyczne będą podlegały nowym zasadom raportowania, które mają na celu szybsze i skuteczniejsze reagowanie na zagrożenia.

 

Warto, aby firmy już teraz zaznajomiły się z tymi nowymi wymogami i dostosowały swoje procedury reagowania na incydenty. Włączenie tych wytycznych do istniejących lub nowych planów zarządzania incydentami umożliwi szybką i zgodną z przepisami reakcję, co będzie szczególnie ważne, nawet jeśli nie wszystkie krajowe organy regulacyjne będą jeszcze w pełni wyznaczone. Takie przygotowanie pomoże firmom skuteczniej reagować na zagrożenia, minimalizując ich wpływ na działalność operacyjną.

 

W ten sposób przedsiębiorstwa będą mogły zapewnić odpowiedni poziom zgodności i bezpieczeństwa, niezależnie od poziomu gotowości regulacyjnej na poziomie krajowym.

NIS 2 a systemy zabezpieczeń

 

Dyrektywa NIS2 oraz jej nowe rozporządzenie wykonawcze nakładają na firmy obowiązek spełniania rygorystycznych standardów w zakresie bezpieczeństwa cyfrowego i fizycznego. Dotyczy to systemów zabezpieczeń, które stanowią kluczowy element ochrony infrastruktury IT i danych wrażliwych. Nowe regulacje stawiają na wdrożenie ścisłej kontroli dostępu, autoryzacji oraz zarządzania tożsamościami.

 

Jednym z głównych wymogów jest wdrożenie zasad zarządzania prawami dostępu, opartych na zasadzie najmniejszych uprawnień (tzw. least privilege). Systemy zabezpieczeń muszą ograniczać dostęp do zasobów tylko do osób, które tego wymagają w ramach swoich obowiązków, a konta uprzywilejowane powinny być chronione przez dodatkowe środki bezpieczeństwa. Zgodnie z nowymi wytycznymi, regularne przeglądy i aktualizacje środków uwierzytelniania są kluczowe, zwłaszcza w przypadku incydentów lub zmian operacyjnych.

"Zgodność z NIS2" – Co to tak naprawdę znaczy?

 

W ostatnich miesiącach wielu producentów rozwiązań zabezpieczeń technicznych deklaruje zgodność swoich produktów z dyrektywą NIS2. Choć brzmi to jak odpowiedź na nowe wyzwania w zakresie cyberbezpieczeństwa, warto spojrzeć głębiej. W rzeczywistości NIS2 nie zawiera szczegółowych wymagań dotyczących konkretnych urządzeń zabezpieczeń technicznych, takich jak kamery czy systemy alarmowe. Co więc oznacza ta „zgodność”?

 

Deklaracje producentów opierają się na zgodności z szeroko przyjętymi międzynarodowymi normami bezpieczeństwa, które pośrednio wspierają wymogi NIS2. Na przykład, urządzenia zgodne z normami takimi jak ISO/IEC 27001 w zakresie zarządzania bezpieczeństwem informacji czy ISO/IEC 22301 dotyczącą zarządzania ciągłością działania, są lepiej przygotowane do funkcjonowania w środowiskach wymagających wysokiego poziomu bezpieczeństwa. Chociaż same te normy nie są bezpośrednio wskazane w NIS2, ich zgodność pokazuje, że rozwiązania techniczne spełniają standardy, które są kluczowe dla budowania bezpiecznej infrastruktury zgodnej z duchem dyrektywy.

 

Innymi słowy, "zgodność z NIS2" oznacza, że dane rozwiązanie spełnia ogólne wymagania bezpieczeństwa i odporności, jakie dyrektywa stawia przed kluczowymi i ważnymi podmiotami. Dzięki zastosowaniu urządzeń i systemów certyfikowanych zgodnie z uznanymi międzynarodowymi standardami, organizacje mogą realnie wzmocnić swoją infrastrukturę i lepiej przygotować się do wymagań NIS2, mimo że sama dyrektywa nie określa szczegółowych norm dla każdego urządzenia.

 

Deklaracje producentów o zgodności z NIS2 można więc potraktować jako gwarancję, że oferowane produkty spełniają wymogi w zakresie bezpieczeństwa, zapewniają ochronę przed zagrożeniami fizycznymi i cyfrowymi, ograniczają dostęp do krytycznych zasobów i ułatwiają reagowanie na incydenty.

System kontroli dostępu RACS 5 oraz system monitorowania i wizualizacji VISO SMS firmy Roger mogą być wdrażane zarówno przez podmioty istotne, jak i kluczowe. Umożliwiają one spełnienie wymagań dyrektywy NIS2 w zakresie zwiększania poziomu bezpieczeństwa systemów IT, szczególnie w obszarze fizycznego dostępu do infrastruktury krytycznej oraz monitorowania zagrożeń.

Systemy wizyjne mogą mieć istotne znaczenie w kontekście zgodności z dyrektywą NIS2, szczególnie jeśli chodzi o zabezpieczenia fizyczne infrastruktury krytycznej, takie jak centra danych, zakłady przemysłowe, czy serwerownie. Chociaż NIS2 koncentruje się głównie na cyberbezpieczeństwie i ochronie danych cyfrowych, obejmuje również szerokie wymagania w zakresie zarządzania ryzykiem i zabezpieczeń fizycznych, które mogą zapobiegać nieautoryzowanemu dostępowi lub zakłóceniom operacyjnym.

 

Systemy wizyjne, takie jak monitoring wideo i systemy analizy obrazu, mogą pomóc w realizacji tych wymagań, umożliwiając nadzorowanie kluczowych obszarów i szybką reakcję na potencjalne zagrożenia fizyczne. Mogą być również zintegrowane z cyfrowymi systemami zarządzania bezpieczeństwem, pozwalając na monitorowanie aktywności w czasie rzeczywistym, wykrywanie podejrzanych działań i szybkie reagowanie na incydenty. 

Firma Bosch, uznany lider w branży technologii bezpieczeństwa, nie tylko dostosowuje swoje rozwiązania do wymogów dyrektywy NIS2, ale również wyznacza nowe standardy w dziedzinie cyberbezpieczeństwa. Bosch przyjmuje kompleksowe podejście do ochrony infrastruktury wideomonitoringu, które obejmuje wszystkie elementy – od kamer i urządzeń pamięci masowej, aż po oprogramowanie do zarządzania wideo. Dzięki temu Bosch pomaga swoim klientom sprostać rosnącym wymaganiom w zakresie zabezpieczeń fizycznych i cyfrowych, zgodnie z najwyższymi standardami bezpieczeństwa i zgodności z NIS2.

 

Firma SATEL oferuje zaawansowane systemy alarmowe, które spełniają normę EN 50131-1 Grade 3. Standard ten przeznaczony jest do ochrony obiektów o średnim i wysokim stopniu ryzyka, co gwarantuje, że systemy SATEL są odpowiednie dla obiektów wymagających podwyższonego poziomu zabezpieczeń. Grade 3 oznacza wysoką odporność systemów alarmowych na próby sabotażu przez intruzów posiadających specjalistyczną wiedzę oraz narzędzia do rozbrajania systemów zabezpieczeń. Dzięki temu rozwiązania SATEL stanowią skuteczną ochronę zarówno dla obiektów komercyjnych, jak i prywatnych, zapewniając zgodność z rygorystycznymi standardami bezpieczeństwa.

 

Firma Ganz Security oferująca system CORTROL, o którym przeczytasz w artykule GANZ CORTROL - Twój klucz do kompleksowej ochrony, stawia na najwyższe standardy bezpieczeństwa danych. System CORTROL oferuje pełne szyfrowanie bazy danych serwera oraz połączeń kamera-serwer i klient-serwer (AES-256), a także bezpieczne połączenia mobilne (HTTPS) i zaszyfrowaną przestrzeń dyskową. Użytkownicy mają dostęp do dwuskładnikowego logowania, a polityka haseł obejmuje wymuszanie ich złożoności i regularną zmianę. CORTROL jest zgodny z NDAA oraz w pełni przygotowany do spełniania wymogów dyrektywy NIS2, oferując zaawansowane narzędzia do audytu ustawień związanych z cyberbezpieczeństwem.

Producenci

Roger Roger
Satel Satel
Bosch Bosch
Ganz Cortrol Ganz Cortrol

Źródła:
1. Benjamin Beck, Ana Hadnes Bruder for Mayer Brown

2. Państwowy Instytut Badawczy NASK; ul. Kolska 12, 01-045 Warszawa

3.  Christian Cockcroft for Shoosmiths LLP 2024 

Chcesz dowiedzieć się więcej?

Interesują Cię systemy spełniające założenia NIS2? Wypełnij formularz, a w ciągu 24h skontaktujemy się z Tobą i odpowiemy na wszystkie pytania.

Chcesz dowiedzieć się więcej?

Administratorem Twoich danych osobowych jest DTS SYSTEM sp. z o.o. z siedzibą w Lublinie, wpisana do Rejestru przedsiębiorców pod nr KRS 0000336083; NIP: 9462319404; REGON: 432286140, która przetwarza podane powyżej dane osobowe w celu odpowiedzi na kontakt lub postawione pytanie. Przysługuje Ci prawo do sprzeciwu wobec przetwarzania danych. Więcej informacji o swoich prawach znajdziesz w Klauzuli informacyjnej.