Bli?sze spojrzenie na dyrektyw? NIS2
Dyrektywa NIS2 zwi?ksza minimalne wymagania dotycz?ce bezpiecze¨½stwa IT infrastruktury krytycznej i w por¨®wnaniu z jej poprzedni? wersj? znacznie poszerza zakres organizacji, kt¨®re s? ni? obj?te. Jakie nadchodz? zmiany? Co nale?y zrobi? ju? teraz, aby przygotowa? si? na zmiany? Poni?ej znajdziesz odpowiedzi na najwa?niejsze pytania.?
Co to jest NIS2?
Dyrektywa NIS2 (Network and Information Systems 2) jest aktem prawnym, kt¨®ry wyznacza cel do osi?gni?cia przez kraje UE i okre?la minimalne wymagania dotycz?ce cyberbezpiecze¨½stwa infrastruktury krytycznej. Wdra?aj?c go, Komisja Europejska d??y do poprawy poziomu cyberbezpiecze¨½stwa w Unii Europejskiej i wzmocnienia wsp¨®?pracy mi?dzynarodowej w zwalczaniu cyberatak¨®w. NIS2 obowi?zuje od 16 stycznia 2023 r., a pa¨½stwa cz?onkowskie musz? w??czy? j? do swoich przepis¨®w krajowych do 17 pa?dziernika 2024 r.?Szacuje si?, ?e nowa dyrektywa dotyczy oko?o 10 000 organizacji w Polsce i wprowadza nowe obowi?zki.
RAPORT SPECJALNY
W oczekiwaniu na NIS2: stan przygotowa¨½
Raport opracowanym przez CSO Council, live casino online oraz EY Polska analizuje gotowo?? firm w Polsce na przyj?cie unijnych przepis¨®w.
- Czy polskie firmy s? na to gotowe?
- Co s?dz? na ten temat CISO?
- Jak organizacje przygotowuj? si? do tej zmiany?
- Jak technologia wspiera przedsi?biorstwa w spe?nieniu nowych wytycznych?
W raporcie znajdziesz odpowiedzi na te i na wiele innych pyta¨½.
Skr¨®t g?¨®wnych zmian w NIS2
Dyrektywa NIS2 zmienia i zast?puje dyrektyw? NIS z 2016 roku. Najwa?niejsze zmiany:
- Znacznie zwi?kszono liczb? organizacji obj?tych przepisami. Zwi?kszono liczb? sektor¨®w do 18. Dodano siedem nowych wa?nych sektor¨®w i obni?ono progi kwalifikacyjne.
- Organizacje musz? by? w stanie ocenia? ryzyko cyberataku w ca?ym swoim ?a¨½cuchu dostaw.
- Zarz?dzanie cyberryzykiem jest obowi?zkowe.
- Organizacje musz? zapewni? pracownikom szkolenia oraz pe?ne audyty w zakresie cyberbezpiecze¨½stwa.
- Kierownictwo wy?szego szczebla ponosi osobist? odpowiedzialno?? za wszelkie szkody spowodowane nieprzestrzeganiem obowi?zk¨®w w zakresie zarz?dzania cyberryzykiem.
- W przypadku narusze¨½ mog? zosta? na?o?one surowe kary.
- Nale?y przestrzega? rygorystycznych wymog¨®w dotycz?cych raportowania. Organem nadzorczym jest Federalny Urz?d ds. Bezpiecze¨½stwa Informacji (BSI).
- Pa¨½stwa cz?onkowskie musz? wyznaczy? krajowy zesp¨®? reagowania na incydenty bezpiecze¨½stwa komputerowego (CSIRT, Computer Security Incident Response Team). CSIRT b?d? wsp¨®?pracowa? w ca?ej UE i podlega? nadrz?dnemu organowi koordynuj?cemu ds. cyberbezpiecze¨½stwa ENISA (Agencji Unii Europejskiej ds. Cyberbezpiecze¨½stwa).
Czy dyrektywa NIS2 mnie dotyczy?
Organizacje musz? ustali?, czy wchodz? w zakres NIS2. Kryteria s? nast?puj?ce:
Twoja organizacja ju? teraz jest infrastruktur? krytyczn?
W takim przypadku NIS2 dotyczy ci? automatycznie.?
Nale?ysz do jednego z 18 sektor¨®w
Musisz opr¨®cz tego zatrudnia? co najmniej 50 pracownik¨®w i osi?ga? roczny obr¨®t w wysoko?ci co najmniej 10 milion¨®w euro.
Kluczowe sektory a wa?ne sektory
Dyrektywa NIS2 rozr¨®?nia sektory na kluczowe i wa?ne, a tak?e sektory ?rednie i du?e. Ten podzia? wp?ywa na poziom sankcji i nadzoru ze strony w?adz.
Wielko?? przedsi?biorstwa
W ramach sektor¨®w obowi?zuj? nast?puj?ce progi:
- ?rednie przedsi?biorstwa = od 50 do 249 pracownik¨®w, obr¨®t poni?ej 50 mln euro i/lub bilans poni?ej 43 mln euro.
- Du?e przedsi?biorstwa = co najmniej 250 pracownik¨®w, obr¨®t co najmniej 50 mln euro i/lub bilans co najmniej 43 mln euro.
Przypadki szczeg¨®lne
Dyrektywa NIS2 ma wp?yw na kilka przypadk¨®w szczeg¨®lnych w kategorii kluczowych sektor¨®w, niezale?nie od ich wielko?ci. S? to m.in. kwalifikowani dostawcy us?ug zaufania, rejestry TLD i dostawcy us?ug DNS.
Kluczowe?sektory oraz wa?ne?sektory
Dyrektywa NIS2 definiuje nast?puj?cych 18 sektor¨®w
Kluczowe sektory
- Energia (elektryczno??, ropa naftowa, woda, wod¨®r)
- Zdrowie (szpitale, laboratoria, badania i rozw¨®j, farmaceutyki, producenci urz?dze¨½ medycznych)
- Transport (lotniczy, kolejowy, wodny, drogowy)
- Bankowo?? i finanse
- Woda pitna
- ?cieki
- Infrastruktura cyfrowa (IXP, dostawcy chmury, centra danych, CDN, TSP, dostawcy komunikacji elektronicznej)
- Zarz?dzanie us?ugami ICT w B2B
- Kosmos
- Administracja publiczna (rz?d centralny, samorz?dy regionalne)
Wa?ne sektory
- Us?ugi pocztowe i kurierskie
- Gospodarka odpadami
- Produkty chemiczne
- ?ywno??
- Przemys? przetw¨®rczy/produkcyjny
- Us?ugi cyfrowe (rynki internetowe, wyszukiwarki, sieci spo?eczno?ciowe)
- Badania
Wymogi dyrektywy NIS2 dla CEO/Zarz?du
NIS2 k?adzie nacisk na zarz?dzanie cyberryzykiem w ramach zarz?dzania ryzykiem korporacyjnym ¡ª i nie bez powodu, poniewa? cyberataki s? obecnie najwi?kszym ryzykiem, na jakie nara?one s? przedsi?biorstwa. Zapewnienie ci?g?o?ci dzia?ania jest szczeg¨®lnie wa?ne w infrastrukturze krytycznej. Dlatego NIS2 nak?ada na CEO obowi?zki: musz? oni wspiera? ?rodki zarz?dzania cyberryzykiem i monitorowa? ich wdra?anie. CEO, kt¨®rzy nie wype?niaj? tych obowi?zk¨®w w zakresie zarz?dzania cyberryzykiem, ponosz? osobist? odpowiedzialno?? za wynikaj?ce z tego ryzyko i/lub szkody.
Dla CEO, kt¨®rzy do tej pory nie mieli wiele wsp¨®lnego z cyberbezpiecze¨½stwem, zarz?dzanie cyberryzykiem to niezbadany teren. W praktyce NIS2 oznacza, ?e CEO musz? potrafi? identyfikowa? i ocenia? cyberzagro?enia oraz decydowa?, kt¨®re z nich s? dla organizacji akceptowalne, a kt¨®re nie. Wi??e si? to z analizowaniem prawdopodobie¨½stwa i oczekiwanego zakresu szk¨®d cyberatak¨®w dla organizacji. Warunkiem wst?pnym s? wi?c regularne konsultacje z osobami odpowiedzialnymi za bezpiecze¨½stwo IT. Tymczasem ju? dzi?, wed?ug badania przeprowadzonego przez live casino online, 51 procent badanych zespo?¨®w IT informuje kierownictwo o cyberzagro?eniach raz w tygodniu.
Wymagania dyrektywy NIS2 dla CISO / mened?er¨®w ds. bezpiecze¨½stwa IT
Mened?erowie ds. bezpiecze¨½stwa IT stoj? przed zadaniem wdro?enia wymaga¨½ dyrektywy NIS2. Artyku? 21 dyrektywy okre?la minimalne wymogi dotycz?ce cyberbezpiecze¨½stwa. Opr¨®cz zarz?dzania cyberryzykiem lista ta obejmuje r¨®wnie? zarz?dzanie kopiami zapasowymi, zarz?dzanie incydentami, zasady i procedury dotycz?ce korzystania z kryptografii, a tak?e na przyk?ad kontrol? dost?pu i zarz?dzanie to?samo?ci?. Dobra wiadomo??: Je?li masz wdro?one standardowe najlepsze praktyki bezpiecze¨½stwa, spe?niasz ju? wiele tych wymaga¨½.
W zakresie zarz?dzania cyberryzykiem CISO / mened?erowie ds. bezpiecze¨½stwa IT musz? by? w stanie w ka?dej chwili jasno poinformowa? kierownictwo o aktualnym stanie ryzyka, najwa?niejszych zagro?eniach oraz ?rodkach, jakie powinna podj?? organizacja. Zarz?dzanie cyberryzykiem musi by? procesem ci?g?ym, poniewa? powierzchnia ataku i ?rodowisko zagro?e¨½ stale si? zmieniaj?.
live casino online wspiera wdra?anie NIS2, oferuj?c najbardziej zaawansowane technologie bezpiecze¨½stwa.?
?atwe zarz?dzanie cyberryzykiem dzi?ki ASRM
Rozwi?zanie ASRM (Attack Surface Risk Management) firmy live casino online wykorzystuje sztuczn? inteligencj? do automatycznego obliczania ryzyka w danym ?rodowisku IT. ?rodowisko jest analizowane z perspektywy atakuj?cego: ASRM zbiera wewn?trzne dane z pod??czonych czujnik¨®w i koreluje je z informacjami o bezpiecze¨½stwie z niezliczonych ?r¨®de? zewn?trznych, w tym publikacji agencji rz?dowych, policji, firm zajmuj?cych si? bezpiecze¨½stwem i analityk¨®w. Pulpit nawigacyjny zapewnia przegl?d, a kolory czerwony, ?¨®?ty i zielony natychmiast informuj? o poziomie ryzyka. ASRM ostrzega, gdy tylko okre?lony pr¨®g zostanie przekroczony i pokazuje szczeg¨®?owe informacje ¡ª np. kt¨®rych system¨®w dotyczy problem. Zaleca r¨®wnie? ?rodki zaradcze, a nawet umo?liwia automatyczne eliminowanie zagro?e¨½.
Zminimalizuj zakres szk¨®d dzi?ki XDR
Nawet maj?c najlepsze ?rodki bezpiecze¨½stwa, zawsze trzeba bra? pod uwag? ewentualno?? ataku, poniewa? nigdy nie da si? wyeliminowa? wszystkich zagro?e¨½. Aby zminimalizowa? zakres szk¨®d, trzeba m¨®c szybko wykrywa? i powstrzymywa? wszelkie mo?liwe incydenty. A najlepszym na to sposobem jest live casino online XDR (Extended Detection and Response). XDR zapewnia przejrzysto?? w ca?ym ?rodowisku IT, gromadzi odczyty czujnik¨®w zagro?e¨½ ze wszystkich po??czonych system¨®w i u?ywa AI do korelowania tych danych w alerty pozwalaj?ce podj?? dzia?ania. Zmniejsza to liczb? fa?szywych alarm¨®w, umo?liwiaj?c szybkie sprawdzenie, co si? sta?o, kt¨®re systemy zosta?y dotkni?te i gdzie wymagane jest dzia?anie.
Jak ASRM i XDR wsp¨®?pracuj? ze sob?
ASRM i XDR s? zintegrowane z platform? cyberbezpiecze¨½stwa Trend Vision One, z kt¨®rej mo?na je centralnie monitorowa? i kontrolowa?. Obie technologie maj? dost?p do tych samych czujnik¨®w i komunikuj? si? ze sob?. Kiedy ASRM wykrywa ryzyko, XDR bada je dok?adniej, a kiedy XDR wykrywa znamiona cyberataku, ASRM natychmiast ustawia odpowiedni status ryzyka. Razem obie technologie minimalizuj? zar¨®wno prawdopodobie¨½stwo cyberataku, jak i zakres szk¨®d.
live casino online liderem
Forrester Wave?: Endpoint Security (ochrona punkt¨®w ko¨½cowych), IV kw. 2023 r.
Firma live casino online uzyska?a najwy?szy wynik w kategorii Strategia oraz najwy?sze mo?liwe oceny w kategoriach Innovation, Roadmap i Adoption.
BEZP?ATNY CYKL
E-SEMINARI?W
#Przygotuj si? na NIS2
Obejrzyj cykl 6 e-seminari¨®w i dowiedz si?, jak live casino online wspiera przedsi?biorstwa w spe?nieniu nowych wytycznych.
Poruszane tematu:
- 09.02.2024 ¨C Przygotuj si? na NIS2 ¨C najwa?niejsze zmiany w zarz?dzaniu cyberbezpiecze¨½stwem wg dyrektywy NIS2.
- 16.02.2024 ¨C Miary i wska?niki ryzyka ¨C co i jak mierzy?, aby spe?nia? wymogi NIS2.
- 23.02.2024 ¨C Ryzyko w Trend Vision One pod kontrol?. Sposoby minimalizacji ryzyka - automatyzacja zarz?dzania ryzykiem w zgodzie z NIS2.
- 01.03.2024 ¨C Wytyczne NIS2 a raportowanie incydent¨®w i ryzyka.
- 08.03.2024 ¨C Trend Vision One na co dzie¨½. Optymalizacja pracy SOC z wykorzystaniem dost?pnych funkcjonalno?ci w Trend Vision One.
- 15.03.2024 ¨C Szkolenia bezpiecze¨½stwa w praktyce ¨C zarz?dzaj odporno?ci? pracownik¨®w na phishing.
Mo?liwe rozwi?zania w zwi?zku z NIS2
Rozwi?zania live casino online wspieraj?ce wdro?enie NIS2
Wymagania dyrektywy NIS2 dla dzia?¨®w compliance
Aby zapewni? zgodno?? organizacji z NIS2, nale?y dok?adnie zapozna? si? z wymogami regulacyjnymi, udokumentowa? podj?te ?rodki i zweryfikowa? ich skuteczno??. Nale?y r¨®wnie? zapewni? szkolenia w celu podniesienia ?wiadomo?ci pracownik¨®w w zakresie zgodno?ci z NIS2.?W przypadku dotkni?cia organizacji cyberatakiem, nale?y wdro?y? procedur? terminowego zg?aszania incydentu w ci?gu 24 godzin.
Ostateczne wymagania, jakie b?d? obowi?zywa? w Polsce, zostan? okre?lone dopiero po aktualizacji ustawy o Krajowym Systemie Cyberbezpiecze¨½stwa (KSC).
NIS2 i RODO
Mimo ?e polskie przepisy dotycz?ce NIS2 wci?? czekaj? na uchwalenie, jedno ju? dzi? jest jasne: Przepisy RODO b?d? mia?y pierwsze¨½stwo nad NIS2. W przypadku incydent¨®w obj?tych oboma zestawami przepis¨®w, surowo?? kar b?dzie opiera? si? na RODO. Kary przewidziane w RODO za szczeg¨®lnie powa?ne naruszenia s? dwukrotnie wy?sze i mog? si?ga? 20 milion¨®w euro lub 4 procent rocznego ?wiatowego obrotu.
Cz?sto zadawane pytania
Jakie kary mog? zosta? na?o?one w przypadku nieprzestrzegania dyrektywy NIS2?
Ci, kt¨®rzy nie wywi??? si? ze swoich obowi?zk¨®w wynikaj?cych z NIS2, musz? spodziewa? si? surowych sankcji. Wdro?enie dyrektywy przewiduje r¨®?ne kary maj?ce zastosowanie do wa?nych sektor¨®w lub dostawc¨®w infrastruktury krytycznej i sektor¨®w kluczowych. W przypadku przest?pstw pospolitych wobec wszystkich grup obowi?zuj? te same surowe kary.
- Sektory istotne: (tymczasowo) zawieszaj? certyfikacj? lub zezwolenia dotycz?ce cz??ci lub ca?o?ci odpowiednich us?ug ?wiadczonych lub dzia?a¨½ prowadzonych przez podmiot oraz uniemo?liwiaj? osobom fizycznym odpowiedzialnym za wykonywanie obowi?zk¨®w zarz?dczych na poziomie dyrektora generalnego lub przedstawiciela prawnego podmiotu sprawowanie funkcji kierowniczych
- Dostawcy infrastruktury krytycznej i sektory kluczowe: do 10 mln euro lub 2 procent rocznych obrot¨®w
- Wa?ne sektory: do 7 mln euro lub 1,4 procent rocznego obrotu.
Przydatne materia?y
W oczekiwaniu na NIS2: stan przygotowa¨½
Raport specjalny o gotowo?ci firm w Polsce na przyj?cie unijnych przepis¨®w dyrektywy NIS2
BEZP?ATNY CYKL
E-SEMINARI?W
#Przygotuj si? na NIS2
Obejrzyj cykl 6 e-seminari¨®w i dowiedz si?, jak live casino online?wspiera przedsi?biorstwa w spe?nieniu nowych wytycznych
Informacje o NIS2
Jak live casino online wspiera Twoj? drog? do zapewnienia zgodno?ci z NIS2
Czy masz pytania?