NIS2 (Network and Information Security Directive 2)

(DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) [Network and Information Security])

Został ogłoszony przez Unię Europejską i będzie obowiązywał od 18 października 2024 roku. NIS2 stanowi aktualizację pierwotnej dyrektywy NIS z 2016 roku i ma na celu wzmocnienie bezpieczeństwa cybernetycznego w całej Unii Europejskiej. NIS2 obejmuje rozszerzenie zakresu regulacji na nowe sektory, takie jak np. dostawcy usług chmurowych oraz wprowadzenie nowych wymogów dotyczących raportowania incydentów cybernetycznych, współpracy między państwami członkowskimi oraz zwiększenia sankcji za naruszenia bezpieczeństwa IT. Celem NIS2 jest poprawa odporności infrastruktury cyfrowej na zagrożenia cybernetyczne i zwiększenie gotowości państw członkowskich do przeciwdziałania atakom w cyberprzestrzeni.

Odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne są niezbędne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych wykorzystywanych przez te podmioty do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

1. Polityka analizy ryzyka i bezpieczeństwa systemów informatycznych
2. Obsługa incydentu
3. Ciągłość działania (np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej) i zarządzanie kryzysowe;
4. Bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków pomiędzy każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami
5. Bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnianie;
6. Polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie
7. Podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa
8. Polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania
9. Bezpieczeństwo zasobów ludzkich, polityka kontroli dostępu i zarządzanie aktywami
10. W stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Znamy atrybuty informacji w Systemie Zarządzania Bezpieczeństwem Informacji zwane Triadą CIA (Confidentiality, Integrity, Availability). Istotne jest również, aby informacja wykorzystywana w procesach cyberbezpieczeństwa obejmujących zagadnienia dotyczące ciągłości działania czy zarządzania incydentem posiadała trzy dodatkowe cechy decydujące o jej przydatności co oznacza, że musi ona być:

1. Prawdziwa/rzetelna
2. Dostępna szybko
3. Możliwa do natychmiastowego wykorzystania

Zespoły OpenBIZ preferują oprogramowanie Tenable^® ponieważ ono zapewnia, że informacja te cechy posiada.

Podobnie jak w przypadku rozporządzenia DORA jeśli wdrożenie  NIS2 ma zostać przeprowadzone w odpowiedni sposób, zespoły techniczne powinny współpracować  z zespołami prawnymi. Połącznie tych dwóch różniących się od siebie światów nie jest łatwe ale przy pomocy odpowiednich narzędzi, możliwe.

Przeprowadzenie odpowiedniej inwentaryzacji bezpieczeństwa jest kluczowe przy ustalaniu w jakim punkcie znajduje się organizacja oraz na czym skupić się w pierwszej kolejności implementując wymagania NIS2. Dzięki połączeniu S.C.+ oraz RIG otrzymujemy zarówno dane  techniczne pochodzące z systemów Tenable jak i informację biznesowe gromadzone w systemie RIG. Pomaga to zebrać informacje o najważniejszych zagrożeniach technicznych oraz kluczowych procesach biznesowych.