Czym jest dyrektywa NIS2?: Praktyczny przewodnik dla organizacji

Dyrektywa NIS2 to zaktualizowane ramy cyberbezpieczeństwa Unii Europejskiej, opracowane w celu zwiększenia cyberodporności w sektorach krytycznych. Bazując na swojej poprzedniczce – dyrektywie w sprawie bezpieczeństwa sieci i systemów informacyjnych (NIS) – NIS2 znacząco rozszerza zakres zastosowania, obejmując takie branże jak ochrona zdrowia, produkcja przemysłowa, energetyka, transport oraz usługi zarządzane. NIS2 wprowadza również bardziej rygorystyczne wymagania w zakresie cyberbezpieczeństwa, bezpośrednią odpowiedzialność kadry kierowniczej oraz określone terminy zgłaszania incydentów. Organizacje działające na terenie UE muszą nie tylko rozumieć te obowiązki, lecz także wdrażać konkretne środki bezpieczeństwa w celu spełnienia wymagań dotyczących zgodności.

Kluczowe wnioski

• NIS2 to zaktualizowane unijne ramy cyberbezpieczeństwa, wprowadzające bardziej rygorystyczne wymagania, szerszy zakres sektorów objętych regulacją oraz większą odpowiedzialność kadry kierowniczej w organizacjach działających na terenie UE.
• NIS2 zastąpiła pierwotną dyrektywę NIS, ponieważ wcześniejsze ramy nie były w stanie nadążyć za współczesnymi zagrożeniami, takimi jak ransomware, ataki na łańcuch dostaw oraz zaawansowane cyberataki wymierzone w infrastrukturę krytyczną.
• NIS2 dotyczy głównie średnich i dużych organizacji działających w objętych regulacją sektorach, jednak niektóre podmioty muszą spełniać jej wymagania niezależnie od swojej wielkości ze względu na krytyczny charakter świadczonych usług.
• Artykuł 21 określa siedem podstawowych środków bezpieczeństwa, które organizacje muszą wdrożyć – od zarządzania ryzykiem po reagowanie na incydenty i bezpieczeństwo łańcucha dostaw.
• Do najczęstszych luk w zgodności z NIS2 należą niespójne egzekwowanie MFA, ograniczona widoczność dostawców oraz niewystarczające zarządzanie dostępem uprzywilejowanym (PAM).
• Konsekwencje nieprzestrzegania przepisów mogą obejmować kary finansowe sięgające 10 000 000 EUR lub 2% globalnego rocznego obrotu (w zależności od tego, która wartość jest wyższa) dla podmiotów kluczowych, a także obowiązek raportowania znaczących incydentów w terminie 24 godzin, 72 godzin oraz jednego miesiąca.

Dlaczego NIS2 zastąpiła pierwotną dyrektywę NIS?

Pierwotna dyrektywa NIS obejmowała głównie tradycyjną infrastrukturę krytyczną i koncentrowała się na zabezpieczeniach perymetrycznych. Brakowało w niej jasno określonych obowiązków raportowych, a sposób jej wdrażania różnił się pomiędzy państwami członkowskimi UE, co ograniczało jej skuteczność. NIS2 rozszerza zakres na sektory określone w załącznikach I i II, wprowadza bardziej rygorystyczne terminy raportowania incydentów oraz nakłada większą odpowiedzialność na kadrę kierowniczą, w tym odpowiedzialność osobistą w niektórych krajowych implementacjach przepisów. Zmiana ta oznacza przejście od minimalnych wymagań bezpieczeństwa do bardziej proaktywnego podejścia do budowania cyberodporności.

Kto musi przestrzegać wymagań NIS2?

NIS2 dzieli organizacje na dwie główne grupy: podmioty kluczowe oraz podmioty ważne. Obie grupy muszą spełniać wymagania NIS2 dotyczące cyberbezpieczeństwa i raportowania, jednak podmioty kluczowe podlegają bardziej rygorystycznemu nadzorowi i potencjalnie surowszym sankcjom.

Co do zasady NIS2 ma zastosowanie do średnich i dużych organizacji działających w objętych regulacją sektorach. Zgodnie z definicją UE, średnie przedsiębiorstwa to podmioty zatrudniające co najmniej 50 pracowników i osiągające roczny obrót przekraczający 10 000 000 EUR – oba kryteria są rozpatrywane łącznie, a nie alternatywnie. Sektory objęte dyrektywą NIS2 obejmują różnorodne branże, w tym ochronę zdrowia, produkcję przemysłową, usługi finansowe, energetykę, transport, gospodarkę wodną, infrastrukturę cyfrową, sektor kosmiczny oraz gospodarkę odpadami.

Jednak wielkość organizacji nie jest jedynym kryterium decydującym o objęciu zakresem NIS2. Niektóre podmioty podlegają dyrektywie ze względu na krytyczne znaczenie świadczonych usług dla stabilności społecznej lub gospodarczej. W przypadku organizacji działających w wielu państwach członkowskich UE NIS2 obowiązuje na poziomie krajowym, dlatego wymagania dotyczące zgodności mogą różnić się w zależności od sposobu wdrożenia dyrektywy do prawa krajowego.

7 środków bezpieczeństwa wymaganych do zgodności z NIS2

Artykuł 21 dyrektywy NIS2 określa środki cyberbezpieczeństwa, które organizacje powinny wdrożyć. Środki bezpieczeństwa określone w NIS2 w dużej mierze odzwierciedlają elementy dobrze zarządzanego programu bezpieczeństwa, jednak wiele organizacji ma trudności z ich wdrożeniem ze względu na złożoność języka prawnego dyrektywy. Poniżej przedstawiono siedem głównych obszarów objętych tymi wymaganiami.

1. Zarządzanie ryzykiem

Zgodnie z NIS2 organizacje muszą ustanowić ciągły proces zarządzania ryzykiem zamiast polegać na jednorazowych ocenach. Organizacje powinny stale identyfikować obszary podatności, oceniać potencjalne skutki ryzyka i regularnie podejmować działania ograniczające. Oznacza to przeprowadzanie częstych ocen ryzyka, utrzymywanie udokumentowanych planów ograniczania ryzyka oraz ciągłe monitorowanie aktywności w celu wykrywania nowych zagrożeń. Ostatecznie każdemu zidentyfikowanemu ryzyku musi zostać przypisana osoba odpowiedzialna za jego ograniczenie.

2. Zdolność reagowania na incydenty

NIS2 wymaga od organizacji posiadania formalnych procedur reagowania na incydenty jeszcze przed wystąpieniem incydentu bezpieczeństwa, aby uniknąć chaosu w trakcie jego obsługi. Oznacza to konieczność posiadania udokumentowanego planu reagowania na incydenty z jasno określonym zakresem odpowiedzialności oraz wyeliminowanie niejasności dotyczących wykonywania poszczególnych zadań. Równie ważne jak opracowanie planów jest ich regularne testowanie. Przykładowo, jeśli ransomware zostanie wykryty w części sieci organizacji w środku nocy, różnica między szybkim opanowaniem sytuacji a poważną awarią może zależeć od tego, czy zespół wcześniej przećwiczył odpowiednie procedury.

3. Ciągłość działania

NIS2 wymaga od organizacji utrzymania odporności zarówno podczas incydentów cyberbezpieczeństwa, jak i po ich wystąpieniu; obejmuje to procesy tworzenia kopii zapasowych i odzyskiwania danych, zapewnienie dostępności danych w przypadku kompromitacji systemów oraz możliwość przywrócenia działania systemów w określonych ramach czasowych. Planowanie odzyskiwania po awarii powinno określać jasne cele dotyczące czasu przywrócenia działania oraz definiować, jak długo organizacja może realnie funkcjonować przy zakłóceniach operacyjnych. Regularne testowanie odporności pozwala zweryfikować skuteczność tych planów, a tam, gdzie jest to uzasadnione operacyjnie, redundancja krytycznych systemów i infrastruktury zapewnia dodatkową warstwę ochrony. Kluczowym elementem ciągłości działania jest zabezpieczenie danych uwierzytelniających i dostępu do systemów krytycznych, ponieważ proces odzyskiwania staje się znacznie trudniejszy, gdy przejęte zostaną również „klucze” do infrastruktury.

4. Bezpieczeństwo łańcucha dostaw

NIS2 kładzie duży nacisk na zarządzanie ryzykiem związanym z podmiotami trzecimi. Dyrektywa jednoznacznie wskazuje, że organizacje odpowiadają za zarządzanie ryzykiem wprowadzanym przez dostawców, usługodawców i partnerów biznesowych. Kluczowe znaczenie ma tutaj widoczność – organizacje powinny wiedzieć, które podmioty trzecie mają dostęp do ich systemów, jaki poziom dostępu posiadają oraz czy stosują odpowiednie mechanizmy bezpieczeństwa. Oceny ryzyka dostawców, przeglądy uprawnień dostępowych oraz ciągłe monitorowanie powinny stać się standardowymi procesami operacyjnymi. Współczesne ataki na łańcuch dostaw pokazały, że ekspozycja na ryzyko związane z podmiotami trzecimi może bardzo szybko przekształcić się w poważne zagrożenie dla całej organizacji.

5. Kontrola dostępu i zarządzanie tożsamością

Organizacje muszą być w stanie kontrolować, kto ma dostęp do ich systemów i jakie działania może wykonywać w ramach przyznanych uprawnień, aby ograniczyć powierzchnię ataku. W ramach podstawowych wymagań dyrektywy NIS2 przyznawanie dostępu powinno opierać się na zasadzie najmniejszych uprawnień (PoLP), zgodnie z którą użytkownicy i systemy otrzymują dostęp wyłącznie do zasobów niezbędnych do wykonywania swoich zadań. Kontrola dostępu oparta na rolach (RBAC) zapewnia strukturę umożliwiającą konsekwentne egzekwowanie tych zasad na dużą skalę, a zarządzanie cyklem życia użytkowników pomaga eliminować nieaktywne lub osierocone konta, które w przyszłości mogą stać się podatnościami bezpieczeństwa możliwymi do wykorzystania przez atakujących. Jest to szczególnie istotne w przypadku kont uprzywilejowanych, ponieważ konta administratorów i konta usługowe z podwyższonymi uprawnieniami stanowią cenny cel dla cyberprzestępców. PAM w połączeniu z silnym zabezpieczeniem danych uwierzytelniających w całej organizacji pomaga zapewnić ochronę tych kont, ich monitorowanie oraz audytowanie.

6. Szyfrowanie i kryptografia

Nawet najlepiej przygotowane organizacje mogą paść ofiarą naruszenia bezpieczeństwa danych, a szyfrowanie odgrywa kluczową rolę w ograniczaniu skali szkód wynikających z takiego incydentu. NIS2 wymaga od organizacji szyfrowania danych zarówno przechowywanych, jak i przesyłanych, ochrony danych uwierzytelniających oraz informacji wrażliwych, a także stosowania bezpiecznych standardów kryptograficznych. Chociaż NIS2 nie narzuca konkretnej architektury szyfrowania, szyfrowanie zero-knowledge wykracza poza podstawowe wymagania i może zapewnić dodatkową ochronę organizacjom przetwarzającym wrażliwe dane uwierzytelniające i dane. W środowisku zero-knowledge dane są szyfrowane i odszyfrowywane na poziomie urządzenia, co oznacza, że nawet dostawca usługi nie ma do nich dostępu.

7. MFA i bezpieczne uwierzytelnianie

Ponieważ przejęte dane uwierzytelniające stanowią jeden z najczęstszych punktów wejścia dla cyberprzestępców, NIS2 wymaga od organizacji wdrożenia silnych mechanizmów uwierzytelniania dla systemów i użytkowników. Obejmuje to egzekwowanie uwierzytelniania wieloskładnikowego (MFA), które dodaje dodatkową warstwę weryfikacji i ogranicza skutki przejęcia danych uwierzytelniających. W miarę możliwości organizacje powinny wdrażać odporne na phishing metody uwierzytelniania bezhasłowego, aby wyeliminować ryzyko nakłonienia użytkowników do ujawnienia danych uwierzytelniających lub zatwierdzenia nieuprawnionych żądań uwierzytelnienia. Mechanizmy te znacznie utrudniają cyberprzestępcom uzyskanie nieuprawnionego dostępu i znacząco ograniczają skutki kompromitacji danych uwierzytelniających.

Organizacje poszukujące praktycznych wskazówek dotyczących kolejnych działań mogą zapoznać się z naszym przewodnikiem opisującym skuteczne przygotowanie organizacji do spełnienia wymagań dyrektywy NIS2.

Najczęstsze luki w zgodności z NIS2

Większość organizacji posiada już pewne zabezpieczenia, jednak słabości operacyjne często uniemożliwiają osiągnięcie pełnej zgodności z wymaganiami dyrektywy NIS2. Zarówno niezrozumienie wymagań dyrektywy, jak i brak ich wdrożenia mogą prowadzić do konsekwencji dla organizacji.

Niepełne wdrożenie MFA

Wiele organizacji wdraża MFA w sposób niespójny. Choć konta użytkowników mogą być chronione, luki często pozostają w starszych systemach lub rozwiązaniach VPN, które nadal opierają się wyłącznie na tradycyjnych hasłach. Częściowe wdrożenie MFA tworzy podatne na wykorzystanie punkty wejścia dla cyberprzestępców i osłabia szersze działania związane z bezpieczeństwem poprzez niezabezpieczony dostęp uprzywilejowany lub zdalny.

Ograniczona widoczność dostawców

Wymagania NIS2 dotyczące łańcucha dostaw ujawniają niewygodną prawdę dla wielu organizacji: nie mają one pełnego obrazu tego, kto posiada dostęp do ich środowisk ani jakie ryzyka wnoszą podmioty trzecie. Dostępy dostawców są często nadmiernie przyznawane, lecz rzadko poddawane przeglądowi. Bez pełnej widoczności organizacje nie są w stanie skutecznie zarządzać ryzykiem związanym z podmiotami trzecimi zgodnie z wymaganiami NIS2.

Słaba kontrola dostępu uprzywilejowanego

Konta uprzywilejowane należą do zasobów o najwyższym poziomie ryzyka w każdej organizacji, jednak zabezpieczenia wokół nich są często niewystarczające. Współdzielone dane uwierzytelniające administratorów i stałe uprawnienia nadal są powszechne, mimo że zwiększają powierzchnię ataku oraz ryzyko niewłaściwego wykorzystania danych uwierzytelniających. NIS2 wymaga silniejszego nadzoru nad dostępem uprzywilejowanym, monitorowania sesji i prowadzenia audytów.

Terminy raportowania incydentów zgodnie z NIS2

NIS2 wprowadza ustrukturyzowane obowiązki raportowania po wystąpieniu znaczących incydentów cyberbezpieczeństwa. Od momentu wykrycia znaczącego incydentu organizacje powinny postępować zgodnie z określonym, wieloetapowym procesem raportowania:

1. W ciągu 24 godzin: Przekazać właściwym organom krajowym wstępne ostrzeżenie potwierdzające wystąpienie znaczącego incydentu.
2. W ciągu 72 godzin: Przekazać bardziej szczegółowe informacje o incydencie, obejmujące znane okoliczności dotyczące jego charakteru i skutków.
3. W ciągu jednego miesiąca: Przedłożyć raport końcowy zawierający pełny opis zdarzenia, sposobu postępowania w związku z incydentem oraz środków, które zostaną wdrożone, aby zapobiec jego ponownemu wystąpieniu.

Aby dotrzymać wymaganych terminów, organizacje muszą monitorować i rejestrować incydenty bezpieczeństwa w czasie rzeczywistym, zamiast próbować odtworzyć przebieg zdarzeń po fakcie. Ostatecznie zgodność z NIS2 wymaga od organizacji wdrożenia dojrzałych praktyk cyberbezpieczeństwa, zwiększenia odporności operacyjnej oraz utrzymania pełnej widoczności użytkowników i systemów w celu ograniczania ryzyka bezpieczeństwa.

Jak Keeper pomaga wspierać zgodność z NIS2

Spełnienie wymagań NIS2 wymaga niezawodnej infrastruktury bezpieczeństwa zdolnej do egzekwowania szczegółowych zasad kontroli dostępu, ochrony danych uwierzytelniających oraz zapewnienia pełnej widoczności niezbędnej do zarządzania ryzykiem na dużą skalę. Platforma bezpieczeństwa tożsamości Keeper oparta na architekturze zero-knowledge wspiera organizacje poprzez konsolidację wielu rozwiązań bezpieczeństwa, w tym PAM, zarządzania hasłami, zarządzania tajnymi danymi, Menedżera Uprawnień Punktów Końcowych oraz bezpiecznego dostępu zdalnego. Aby pomóc spełnić najbardziej wymagające wymogi NIS2, Keeper oferuje zaawansowane funkcje, takie jak RBAC, egzekwowanie MFA, audyt danych uwierzytelniających, monitorowanie sesji oraz bezpieczeństwo zero-trust. Bez względu na to, czy organizacja dopiero rozpoczyna wdrażanie wymagań NIS2, czy chce wzmocnić istniejące mechanizmy bezpieczeństwa, Keeper zapewnia narzędzia umożliwiające pewne spełnienie wymagań NIS2.

Warto już dziś rozpocząć darmowy okres próbny Keeper i wzmocnić gotowość swojej organizacji do spełnienia wymagań NIS2