W odpowiedzi na rosnące zagrożenia cybernetyczne, Unia Europejska zaktualizowała dyrektywę NIS (Network and Information Systems Directive) z 2016 r., sprawiając, że w 2023 r. pojawiła się dyrektywa NIS 2.
Dyrektywa NIS 2 nakłada nowe wymogi dotyczące bezpieczeństwa sieci i informacji oraz rozszerza listę objętych nią sektorów. Celem NIS 2 jest wzmocnienie odporności cyfrowej w całej UE poprzez bardziej rygorystyczne środki bezpieczeństwa i zasady zgłaszania incydentów.
Podmioty objęte dyrektywą NIS 2 #
Dyrektywa NIS obejmowała tzw. OUK (operatorów usług kluczowych), czyli podmioty z takich sektorów, jak:
- Energetyka (podmioty odpowiedzialne za dostarczanie prądu, ogrzewania oraz paliw),
- Transport (w tym lotniska, przewoźnicy, kontrolerzy ruchu, podmioty zarządzające infrastrukturą transportu powietrznego, wodnego i naziemnego),
- Opieka zdrowotna (wszystkie podmioty świadczące usługi zdrowotne oraz laboratoria czy producenci leków)
- Infrastruktura rynków finansowych,
- Bankowość,
- Infrastruktura cyfrowa,
- Sektor wody pitnej,
- Administracja publiczna.
NIS 2 dzieli podmioty na kluczowe i ważne oraz rozszerza powyższą listę o dodatkowe obszary:
- Zarządzanie usługami ICT,
- Operatorzy infrastruktury związanej z przestrzenią kosmiczną,
- Usługi pocztowe i kurierskie,
- Przetwarzanie i dystrybucja żywności,
- Gospodarowanie odpadami,
- Usługi cyfrowe (w tym sklepy online),
- Produkcja (w szczególności urządzeń medycznych i diagnostycznych, sprzętu komputerowego, elektronicznego, optycznego, urządzeń elektrycznych, pojazdów),
- Przetwarzanie i dystrybucja chemikaliów.
Co więcej, dyrektywa NIS 2 obejmuje podmioty publiczne oraz prywatne – jeśli prowadzą one działalność na terenie UE i można zakwalifikować je co najmniej jako średnie przedsiębiorstwa.
Cele dyrektywy NIS 2 #
Głównym powodem wprowadzenia NIS 2 jest zwiększenie odporności na cyberzagrożenia w dobie postępującej transformacji cyfrowej, która znacznie przyspieszyła w reakcji na pandemię COVID-19.
Z tego powodu do najważniejszych celów dyrektywy NIS 2 należą:
- Zwiększenie odporności przedsiębiorstw w całej Unii na cyberataki;
- Wprowadzenie skutecznych systemów reagowania na sytuacje kryzysowe;
- Ujednolicenie poziomu ochrony i świadomości społecznej w zakresie cyberbezpieczeństwa pośród państw UE;
- Rozpowszechnienie rozwiązań pozwalających usunąć skutki incydentów bezpieczeństwa.
- Obowiązki wynikające z NIS 2
Wymogi wprowadzone przez NIS 2 obowiązują zarówno podmioty kluczowe, jak i ważne. Należą do nich m.in.:
- Rejestracja w systemie podmiotów kluczowych i ważnych, Prowadzenie analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,
- Wdrożenie polityk i rozwiązań bezpieczeństwa proporcjonalnych do skali ryzyka, wielkości organizacji i stopnia dotkliwości potencjalnych skutków incydentów,
- Dbałość o zachowanie ciągłości działania,
- Przeprowadzanie regularnych audytów bezpieczeństwa systemów informacyjnych,
- Obsługa incydentów – zapobieganie, wykrywanie i reagowanie,
- Raportowanie poważnych incydentów według określonych zasad, m.in. 24 godz. na przesłanie wczesnego ostrzeżenia oraz 72 godz. na zgłoszenie incydentu do odpowiedniego CSIRT,
- Prowadzenie szkoleń z zakresu cyberbezpieczeństwa dla zarządzających i pracowników.
Konsekwencje #
Dyrektywa NIS 2 określa również wymiar kar administracyjnych za jej nieprzestrzeganie:
- Podmioty kluczowe – co najmniej 10 mln EUR lub co najmniej 2% rocznego obrotu;
- Podmioty ważne – co najmniej 7 mln EUR lub co najmniej 1,4% rocznego obrotu.
Usługi MAIN pomagają spełniać wymogi NIS 2 #
Korzystanie z usług MAIN pomaga zachować zgodność z wymogami stawianymi podmiotom kluczowym i ważnym przez NIS 2. W jaki sposób?
- Chmura MAIN jest oparta na infrastrukturze o wysokiej dostępności i poddawana stałemu monitoringowi.
- Zarządzamy bezpieczeństwem informacji zgodnie z wytycznymi normy ISO 27001.
- W zakresie wydajności, niezawodności i odporności na nieplanowane przerwy w działaniu nasze Data Center (w Warszawie przy ul. Giełdowej 7/9) spełnia wymogi TIER III.
- Świadczone przez MAIN usługi Backup as a Service i i Disaster Recovery as a Service są natomiast kluczowe w zachowaniu ciągłości działania, jednego z wymogów dyrektywy NIS2.
Backup i Disaster Recovery w MAIN #
Zarówno Backup (kopie zapasowe), jak i Disaster Recovery (replikacja) pozwalają szybko zminimalizować negatywny wpływ incydentów bezpieczeństwa na działalność organizacji. Dzięki wykorzystaniu wiodących technologii VMware i Veeam, nasze rozwiązania BaaS i DRaaS zapewniają wysokie standardy bezpieczeństwa i zgodność z wymogami NIS 2 w zakresie ciągłości działania oraz ochrony danych.
Usługi Backupu i Disaster Recovery oferowane przez MAIN są kluczowe dla spełnienia wymogów Dyrektywy NIS 2, gdyż zapewniają:
- Ochronę danych: Regularne tworzenie kopii zapasowych danych minimalizuje ryzyko ich utraty w przypadku awarii czy cyberataku, co jest zgodne z wymogami NIS 2 dotyczącymi ciągłości działania i szybkiej reakcji na incydenty.
- Pracę bez przestojów: W przypadku awarii środowiska IT, usługa Disaster Recovery umożliwia szybkie przełączenie do zreplikowanego środowiska zapasowego, dzięki czemu zachowana zostaje ciągłość działania w organizacji.
- Zgodność regulacyjną: Utrzymanie i archiwizacja danych zgodnie z określonymi standardami regulacyjnymi pomaga w spełnieniu prawnych i operacyjnych wymogów dotyczących bezpieczeństwa danych.