Bezpieczeństwo sieciowe kluczowych przedsiębiorstw w kontekście dyrektywy NIS – badanie Computerworld
Materiał promocyjny W 2016 roku Parlament Europejski przyjął dyrektywę Network and Information Systems (NIS), która nałożyła na kraje unijne szereg nowych obowiązków w zakresie ochrony cybernetycznej oraz ustalenia warunków współpracy w tym obszarze na poziomie państw członkowskich. Na mocy krajowych wytycznych operatorzy usług kluczowych np. sektora energetycznego, finansów, ochrony zdrowia oraz dostawcy usług cyfrowych zostali zobligowani do oceny ryzyka informatycznego oraz podjęcia środków mających na celu zapewnienie wymaganego poziomu bezpieczeństwa sieci. Projektowana aktualizacja dyrektywy NIS2 rozszerza listę podmiotów objętych regulacjami o administrację publiczną, przemysł, sektor żywności i inne. Celem jest ograniczenie ryzyka incydentów cyberbezpieczeństwa, aby zapewnić ciągłość działania oraz wymagany, wysoki poziom bezpieczeństwa systemów teleinformatycznych.
Badanie Computerworld, przeprowadzone we współpracy z firmą Fortinet, miało na celu określenie poziomu adopcji dyrektywy NIS/NIS2 wśród przedsiębiorstw działających na polskim rynku. W badaniu wzięły udział największe przedsiębiorstwa działające na polskim rynku, które w kontekście unijnych regulacji dotyczących cyberbezpieczeństwa zostały sklasyfikowane jako podmioty kluczowe (essential entity) lub zgodnie z NIS2 będą traktowane jako podmioty ważne (important entities). Oto najważniejsze wnioski z badania.
Poziom adopcji dyrektywy NIS
Aktualny poziom adopcji dyrektywy NIS w organizacjach należy uznać za wysoki, choć spełnienie wszystkich wynikających z niej zobowiązań będzie wymagać jeszcze czasu. 22% kluczowych podmiotów osiągnęło pełną gotowość w tym obszarze, a kolejne 44% prowadzi zaś zaawansowane działania w kierunku wypełnienia zobowiązań nakładanych dyrektywą. Na wejście w życie regulacji NIS2 intensywnie przygotowują się podmioty, które zostaną nią dopiero objęte. 67% z nich deklaruje zaawansowany poziom adopcji zawartych w niej wytycznych.
Pytanie: Jak oceniają Państwo aktualny poziom adaptacji dyrektywy NIS w swoich organizacjach?
Obszary zarządzania cyberbezpieczeństwem
Zarządzanie cyberbezpieczeństwem zgodnie z dyrektywą NIS/NIS2 opiera się na pięciu kluczowych filarach. Wyniki badania pokazują, że każdy z tych obszarów traktowany jest z należytą uwagą, przy czym w pierwszej kolejności wytyczne dyrektywy NIS wdrażane są w obszarach kontroli dostępu (87% wskazań) oraz zarządzania ryzykiem (85%).
W obszarach zarządzania zasobami oraz rejestrowania i monitorowania systemów teleinformatycznych regulacje NIS wdrożyło lub aktualnie wdraża 76% badanych przedsiębiorstw. Prace nad zapewnieniem ochrony cybernetycznej poprzez segmentację (izolację) zakończyło lub aktualnie prowadzi 74% ankietowanych firm.
Ochrona sieci OT
Systemy sterowania przemysłowego (OT) stanowią fundament funkcjonowania wielu kluczowych przedsiębiorstw gospodarki. Przez dekady najprostszym sposobem zabezpieczania sieci OT była ich izolacja od świata zewnętrznego. Czwarta rewolucja przemysłowa wprowadziła na szeroką skalę automatyzację i cyfryzację procesów, co wymusiło otwarcie sieci OT na świat IT, a w konsekwencji konieczność zmiany sposobu myślenia o sposobie ich zabezpieczania. Wszystko to w kontekście nowych technologii łączności bezprzewodowych oraz nowych wyzwań i zagrożeń.
Odsetek firm, w których regulacje NIS rozszerzono na obszar OT sięga 63%. W kierunku spełnienia zobowiązań większość przedsiębiorstw stosuje szereg komplementarnych rozwiązań i środków zapewniających szeroką ochronę cybernetyczną swoich systemów sterowania przemysłowego. 82% ankietowanych firm ma zdefiniowane i wdrożone plany zapewnienia ciągłości działania, w tym przywracania systemów po ataku. Dla 64% ankietowanych przedsiębiorstw bardziej istotna niż izolacja i kontrola ruchu ICT-OT okazuje się być stosowanie szczegółowych wytycznych bezpieczeństwa w zakresie dopuszczenia zewnętrznych podmiotów, np. serwisowych, do zasobów sieci OT (79% wskazań).
Jak przedsiębiorstwa zarządzają ryzykiem w cyberprzestrzeni?
Jakie rozwiązania techniczne z zakresu bezpieczeństwa sieciowego stosują?
Zachęcamy do pobrania raportu „Bezpieczeństwo sieciowe kluczowych przedsiębiorstw w kontekście dyrektywy NIS”, w którym szczegółowo omawiamy i komentujemy wyniki badania.