W poprzednim artykule mówiliśmy o tym jakie podmioty podlegają pod dyrektywę NIS2 i o nowym podejściu do sektorów. Jeśli Twoja firma, lub firma dla której świadczysz usługi spełnia omówione tam warunki (a nawet jeśli nie spełnia – jeśli zależy Ci na wysokich standardach cyberbezpieczeństwa) musisz wiedzieć jakie nowe obowiązki nakłada NIS2. Warto zauważyć, że wiele z nich pokrywa się z istniejącymi normami takimi jak ISO 27001, Cyber Essentials czy rekomendacjami NIST, więc stają się podstawą działania każdego biznesu.

Odpowiedzialność zarządu

NIS w ogóle nie standaryzował kar, podczas gdy NIS2 nie tylko przewiduje surowe kary dla podmiotu gospodarczego, ale też wprowadza odpowiedzialność karną dla osób fizycznych zasiadających w zarządzie. Rażące zaniedbania mogą być podstawą do odpowiedzialności karnej wynikającej z dyrektywy NIS2 i przepisów wykonawczych. To właśnie na zarządzie spoczywa odpowiedzialność za wprowadzenie i przestrzeganie odpowiednich polityk.

Zarządzanie ryzykiem

Zarządzanie ryzykiem jest podstawowym mechanizmem NIS2, na bazie którego ustalane powinny być odpowiednie priorytety i środki zaradcze. Każda branża i każde przedsiębiorstwo ma swoje własne zagrożenia, więc trzeba je osobno przeanalizować, aby ustalić, jakie kroki należy podjąć.

Procedury zamówień i kontrola łańcucha dostaw

Konsekwencją znacznie większego nacisku na kontrolę dostawców jest konieczność przeprowadzania szczegółowej analizy ryzyka, również w przypadku podejmowania współpracy z dostawcami. Na nas ciąży odpowiedzialność, by upewnić się, że podmiot któremu powierzamy dane, dostarczenie i obsługę systemów informatycznych spełnia odpowiednie wytyczne i jest w stanie to udowodnić, zarówno podczas procesu zakupowego jak i w sposób ciągły.

Szkolenia

Szkolenia z zakresu cyberbezpieczeństwa, rozpoznawania zagrożeń i dobrych praktyk muszą przede wszystkim obejmować zarząd, ale również pracowników mających dostęp do systemów informatycznych i ogólnie danych wrażliwych. W swojej ofercie posiadamy ogólne szkolenie odpowiednie dla pracowników każdego sektora.

Dostęp do danych

Dostęp do danych powinien być odpowiednio limitowany, zarówno na poziomie procedur jak i mechanizmów bezpieczeństwa takich autentykacja wieloetapowa. Procedury obejmować muszą dane cyfrowe, w tym konieczność szyfrowania, ale również fizyczne środki ochrony.

Nadzór

NIS2 wprowadza organy uprawnione do przeprowadzania audytów podmiotów objętych dyrektywą, zarówno cyklicznych jak i wyrywkowych, zdalnych i w siedzibie podmiotu kontrolowanego. Odpowiedzialność ta spada na kraje członkowskie, o szczegółach w przypadku Polski informować będziemy na bieżąco, możemy natomiast spodziewać się wprowadzenia CSIRTów (ang. Cyber Security Incident Response Team, tj. zespołu reagowania na incydenty) sektorowych.

Stały monitoring i obsługa incydentów

Dyrektywa wymusza powołanie lub outsourcowanie dedykowanego zespołu ds. cyberbezpieczeństwa (SOC czyli Security Operations Center), który w sposób ciągły wspierać będzie organizację w zapewnieniu bezpieczeństwa. Obejmuje to monitoring, analizę incydentów, reagowanie na nie oraz raportowanie ich przebiegu i skutków. Plan działania w razie incydentu musi też być sporządzony z wyprzedzeniem i poddany testom poprzez symulacje. Odpowiednie procedury muszą zapewnić ciągłość działania nawet w razie wystąpienia incydentu.

Raportowanie i dokumentacja

Obowiązek raportowania incydentów wprowadza już RODO (mamy 72 godziny na poinformowanie odpowiednich organów i użytkowników dotkniętych wyciekiem), jednak NIS2 zaostrza zarówno terminy jak i formę raportów – na zgłoszenie poważnego incydentu będziemy mieli już tylko 24 godziny. Raporty muszą obejmować również działania naprawcze.