W dniu 16 stycznia 2023 r. wchodzi w życie Dyrektyra NIS2 (Network and Information Security), której celem jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii Europejskiej (państwa UE mają czas na jej implementację do dnia 17 października 2024). Jej głównymi celami są zapewnienie bezpieczeństwa łańcucha dostaw, obowiązki informacyjne oraz mechanizmy kontrolno-nadzorcze ze strony organów państwowych w kwstiach cyberbezpieczeństwa.
Dyrektywa NIS2 jest modyfikacją dyrektywy NIS1, która weszła w w życie w 2016 roku I poszerza zakres podmiotów, których będzie dotyczyć w tym także definiuje nowe a zasady raportowania incydentów bezpieczeństwa.
Najnowsza wersja dyrektywy dotyczy 18 sektorów gospodarki w Polsce, w szczególności obejmujących:
-> Energia
-> Transport
-> Bankowość
-> Finansowe
-> Zdrowie
-> Woda pitna
-> Ścieki
-> Infrastruktura cyfrowa
-> Zarządzanie ICT (business-to-business)
-> Administracja publiczna
-> Przestrzeń
-> Usługi pocztowe i kurierskie
-> Gospodarka odpadami
-> Produkcja, dystrybucja chemikaliów
-> Produkcja, przetwarzanie i dystrybucja żywności
-> Produkcja
-> Dostawcy cyfrowi
-> Badania
Dyrektywa NIS2 wprowadza dwie kategorie podmiotów regulowanych, są to podmioty kluczowe oraz podmioty ważne. Najważniejszym kryterium wg. którego następuje określenie kategorii podmiotu jest jego wielkość.
W zakresie podejmowanych działań mających na celu zapewnienie cybrebezpieczeństwa określono minimalne wymogi bezpieczeństwa, które pomioty funkcjonujące na rynku muszą wdrożyć aby zapewnić efektywne zarządzanie ryzykiem.
Monitorowanie oraz reagowanie na potencjalne zagrożenia powinno obejmować:
-> Bezpieczeństwo sieci, sprzętu oraz systemów informacyjnych
-> Bezpieczeństwo zasobów ludzkich, zarządzanie dostępami
-> Zapobieganie, nadzorowanie, wykrywanie i reagowanie na incydenty
-> Zapewnienie ciągłości działania i zarządzanie kryzysowe
-> Bezpieczeństwo łańcucha dostaw
-> Informowanie uczestników oraz szkolenia
-> Uwierzytelnianie wielopoziomowe
-> Wykorzystanie kryptografii i szyfrowania
Jednocześnie Dyrektywa NIS2 określa również zasady raportowania incydentów poważnych: 24 godz. na przesłanie wczesnego ostrzeżenia oraz 72 godz. na zgłoszenie incydentu.
W przypadkach niespełnienia wymagań Dyrektywy NIS2 wprowadzone zostały surowe kary pieniężne i sankcje karne UE w wysokości nawet 10 mln euro lub 2% światowych obrotów dla podmiotów kluczowych.
Tym samym Dyrektywa NIS2 nie ogranicza się wyłącznie do średnich i dużych firm oraz instytucji. Na przykład firmy prowadzące hosting serwerów, obsługujące klientów z różnych branż, należą do kategorii podmiotów ważnych, bo ich ewentualne opóźnione działania mogą mieć bardzo negatywne konsekwencje dla szerokiej grupy ich klientów. Właśnie ta grupa ’Dostawców cyfrowych’ została wprowadzona wraz z modyfikacją Dyrektywy NIS2.
W przeszłości ataki na systemy informatyczne dotyczyły nie tylko firm lub instytucji, ale wręcz całych organizacji co skutkowało na przykład wyciekiem danych osobowych lub prowadziły do zablokowania systemów komputerowych w firmach, i w konsekwencji niemożnością kontynuowania działalności biznesowej.
Dyrektywa NIS2 zaleca prowadzanie proaktywnych analiz potencjalnych ryzyk, dla których powinny zostać podjęte środki bezpieczeństwa majce na celu zapewnienie efektywnego zarządzanie ryzykiem.
Każdego dnia firmowe skrzynki mailowe bombardowane są przez różne niepożądane i często niebezpieczne maile, które bazują na coraz bardziej wyrachowanych treściach i jednocześnie są pierwszym krokiem do złamania zabezpieczeń firmowych. Oczywiście ciężko będzie nam zupełnie wykluczyć takie niebezpieczne wiadomości, jednakże każdorazowo przed kliknięciem na link warto upewnić się, czy nadawca nie ma wobec nas złych intencji.
Tak więc wzmożona ostrożność powinna występować na poziomie każdej firmy, która posiada bazy danych klientów z adresami, numerami telefonów oraz innymi danymi wrażliwymi. Ostrożność powinna się przejawiać nieklikaniem na linki lub otwieranie załączników z nieznanych źródeł. Taka ostrożność powinna być również przekazywana każdemu pracownikowi zatrudnionemu w firmie. Tym bardziej, że aktualnie nawet sprawdzając dane adresowe skrzynki email z której został wysłany podejrzany email, nie możemy mieć pewności, że jest on prawdziwy.
