Bądź czujny! Nadchodzi NIS 2
Computerworld Druga dyrektywa NIS to poważne wyzwanie dla wielu organizacji. Nie tylko dla tych, które objęła pierwsza jej wersja, ale przede wszystkim dla zupełnie nowej grupy firm z wielu rożnych sektorów gospodarki, które zostaną uznane za podmioty kluczowe i ważne. Dlatego warto zawczasu być przygotowanym na jej wejście w życie. Zapewnienie zgodności firmowego programu bezpieczeństwa z dyrektywą NIS jest znacznie łatwiejsze przy wykorzystaniu nowoczesnych, ale zarazem sprawdzonych rozwiązań technologicznych Fortinet.
Komisja Europejska wezwała niedawno Radę EU i Parlament Europejski do szybkiego przyjęcia zaprezentowanej w grudniu ubiegłego roku zrewidowanej wersji Dyrektywy w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, czyli tzw. NIS 2. Przechodząca obecnie przez standardowy proces legislacyjny propozycja stanowić ma kolejny krok na drodze do zwiększenia odporności Europy wobec cyberzagrożeń. Zawiera ona m.in. rozszerzoną listę podmiotów kluczowych, które obejmie dyrektywa m.in. z sektora przemysłu, ścieków, żywności, infrastruktury cyfrowej i administracji publicznej. Oznacza także większe wymagania np. w zakresie analizy ryzyka, obsługi incydentów, wykorzystywania szyfrowania czy zabezpieczania łańcucha dostaw, a przy tym podnosi kary za jej naruszenia, w tym również za niedopełnienie obowiązków w zakresie raportowania. Odpowiedzialność za wypełnianie wymogów zostaje nałożona na kierownictwo firm.
Dyrektywa zobowiązuje państwa członkowskie UE do wprowadzenia rozwiązań, które zapewnią nowy, wyższy poziom zgodności. Wymagania to bardzo wysoko postawiona poprzeczka, zwłaszcza dla organizacji, które dotychczas nie były objęte dyrektywą NIS i których strategie cyberbezpieczeństwa nie znajdują się na odpowiednio wysokim poziomie dojrzałości. Zwłaszcza, że NIS 2 znacznie rozszerza zakres nadzoru właściwych organów państwa.
Zmiany wejdą w życie najwcześniej w 2022 roku, jednak ich zakres, rozszerzenie listy podmiotów, które zostaną objęte dyrektywą i podniesienie kar do 10 mln EUR lub 2% rocznego obrotu globalnego firmy zmuszają do uważnego przyjrzenia się projektowi i zrewidowania własnego podejścia do obowiązującej wciąż dyrektywy NIS. To najlepszy moment, żeby zaplanować wdrożenie rozwiązań, które ograniczą ryzyko i ułatwią zapewnienie zgodności.
Złożone wyzwanie
Pierwsza dyrektywa NIS została wprowadzona na poziomie europejskim w 2016 r. W krajach członkowskich, w tym w Polsce, gdzie jej zapisy zostały zaimplementowane w Ustawie o krajowym systemie cyberbezpieczeństwa, zaczęła obowiązywać od połowy 2018 r. Wprowadzała ona w skali całej EU wspólne ramy dla operatorów usług kluczowych i dostawców usług cyfrowych w zakresie wymiany informacji dotyczących ryzyka oraz reagowania wobec incydentów cyberbezpieczeństwa. Dyrektywa nie określała konkretnych celów ani środków do osiągnięcia, ale skupiała się na ryzyku i dobieraniu odpowiednich środków, które pozwalałyby je minimalizować, przez co zapewniała sporą elastyczność w zakresie projektowania programów cyberbezpieczeństwa dla objętych nią podmiotów.
Zapewnienie zgodności z NIS to złożone wyzwanie. Jest ono tym większe, że obejmuje nie tylko systemy IT, ale także tzw. systemy OT, czyli technologie operacyjne - przemysłowe systemy obsługujące infrastrukturę techniczną, taką jak np. urządzenia pomiarowe, zawory, pasy transmisyjne czy turbiny elektryczne. Z pewnością osiągnięcie sukcesu wymaga posiadania wykwalifikowanych specjalistów, którzy będą w stanie wdrożyć spójne procesy cyberbezpieczeństwa. Niezwykle pomocne są dlatego standardy i architektury referencyjne takie jak Model Purdue, EIC 62443 czy SANS ICS410, standardy ISO/IEC 27001, ISO 22301.
Niemniej na sukces w zapewnieniu zgodności składa się jeszcze jeden nieodzowny element: sprawdzona i niezawodna technologia.
Kompleksowe podejście
Firma Fortinet posiada bogate portfolio produktów z zakresu cyberbezpieczeństwa oferujących pełne spektrum funkcji ochrony systemów cyfrowych. Zastosowanie punktowych rozwiązań, nawet najlepszych, nie wystarczy jednak do zapewnienia zgodności z dyrektywą NIS. Potrzebne jest kompleksowe podejście integrujące różne produkty i technologie. Takim rozwiązaniem jest Centralny system cyberbezpieczeństwa Fortinet Security Fabric, który zapewnia odpowiednio szeroki zakres zintegrowanych, a przy tym działających w sposób zautomatyzowany technologii. Dodając do tego rozwiązania tworzone przez ekosystem partnerów, użytkownik ma do dyspozycji kompletny system cyberbezpieczeństwa, który adresuje praktycznie każde wyzwanie klienta. Fortinet Security Fabric umożliwia nie tylko odpowiednie zabezpieczenie sieci i zapewnienie dostępu do niej zgodnie z podejściem zero-trust, dynamiczną ochronę środowisk cloud, ale także wsparcie prowadzonych operacji przez algorytmy sztucznej inteligencji, czy też uczenia maszynowego.
Z perspektywy NIS, Fortinet Security Fabric pozwala zaadresować kilka kluczowych obszarów m.in. zarządzanie zasobami, w tym identyfikowanie krytycznych zasobów i systemów (produkty FortiSIEM, FortiNAC i FortiGate), kontrolę dostępu/zarządzanie tożsamością (produkty FortiAuthenticator, FortiToken, FortiNAC, FortiClient), logowanie i monitorowanie zapewniające dodatkowe informacje przydatne do wykrywania i analizowania przyczyn incydentów (FortiSIEM) oraz segmentację sieci, która ma absolutnie kluczowe znaczenie w kontekście wspomnianych wyzwań w obszarze OT (produkty FortiGate, FortiSwitch oraz FortiAP).
Całość – wszystkie poszczególne elementy technologiczne, a także całe środowisko firmowe, na które składa się wiele lokalizacji oraz łączące je sieci - spina nowoczesna konsola FortiAnalyzer, która z poziomu jednego ekranu zapewnia dostęp do wszystkich informacji istotnych z punktu widzenia zapewniania zgodności z dyrektywą NIS, realizując również usługi SOC. Umożliwia to nie tylko bieżące operacje cyberbezpieczeństwa, ale jest także niezbędne przy ocenie ryzyka, która stanowi podstawę dyrektywy NIS.
Oczywiście, jak to zostało wspomniane wcześniej, do zapewnienia zgodności potrzeba więcej niż tylko standardów i technologii, niemniej stanowią one fundament, bez którego osiągnięcie sukcesu we współczesnych, złożonych środowiskach IT i OT jest praktycznie niemożliwe. Oferta Fortinet w tym zakresie, wsparta przez doświadczonych ekspertów, którzy wdrożą optymalne procesy, to sprawdzona recepta na zapewnienie zgodności z NIS, a w przyszłości także NIS 2.
| NIS | NIS2 |
|---|---|
| Sektory objęte dyrektywą | Rozszerzony zakres obejmujący więcej sektorów i usług jako kluczowe lub ważne podmioty |
| Ochrona zdrowia | Dostawcy publicznych sieci lub usług komunikacji elektronicznej |
| Transport | Usługi cyfrowe świadczone przez platformy sieci społecznościowych i centra danych |
| Infrastruktura bankowa i rynków finansowych | Zarządzanie wodą i ściekami |
| Infrastruktura cyfrowa | Przestrzeń kosmiczna |
| Wodociągi | Produkcja niektórych krytycznych produktów np. farmaceutyków, urządzeń medycznych i chemikaliów |
| Energetyka | Usługi pocztowe i kurierskie |
| Dostawcy usług cyfrowych | Żywność |
| Administracja publiczna |