Dyrektywa NIS 2 to unijna regulacja mająca na celu wzmocnienie poziomu cyberbezpieczeństwa w państwach członkowskich. Więcej na temat założeń dyrektywy oraz podmiotów przeczytają Państwo w pierwszym artykule z cyklu: "Dyrektywa NIS 2 – czym jest i kogo dotyczy?".
Dyrektywa wprowadza szereg zmian, które mają na celu wzmocnienie mechanizmów zarządzania bezpieczeństwem informacyjnym przedsiębiorstw. Wśród obszarów, które mogą mieć bezpośredni wpływ na funkcjonowanie organizacji znajdują się:
1. Odpowiedzialność organów zarządczych
NIS 2 wprowadza mechanizm, w ramach którego za kwestie zarządzania ryzykiem technologicznym odpowiadają i mogą być pociągnięci do osobistej odpowiedzialności kierownicy, w szczególności członkowie zarządów spółek podmiotów kluczowych lub ważnych.
Według projektu polskiej ustawy wdrażającej dyrektywę, kara pieniężna, której może podlegać członek zarządu takiej spółki wynosi do 600% otrzymywanego przez niego wynagrodzenia (obliczanego według zasad obowiązujących przy wyliczaniu ekwiwalentu pieniężnego za urlop). Kara ta jest niezależna od kar nakładanych na sam podmiot.
2. Środki techniczne i organizacyjne
NIS 2 kładzie duży nacisk na wprowadzenie zaawansowanych środków technicznych oraz organizacyjnych. Należą do nich m.in.:
- zaawansowany system detekcji zagrożeń (IDS/IPS) i systemy zarządzania tożsamością, które chronią przed nieautoryzowanym dostępem do zasobów;
- regularne testy penetracyjne i audyty bezpieczeństwa, które pozwalają na identyfikację słabych punktów w infrastrukturze informatycznej;
- zarządzanie dostępem, w tym wdrożenie uwierzytelniania wieloskładnikowego oraz ograniczenie dostępu do systemów jedynie dla autoryzowanych użytkowników;
- szyfrowanie danych wrażliwych, zarówno podczas przesyłania, jak i przechowywania informacji.
Organizacje muszą przyjąć holistyczne podejście do cyberbezpieczeństwa, gdzie wdrożone środki techniczne są regularnie aktualizowane i testowane, aby nadążyć za dynamicznie zmieniającymi się zagrożeniami.
3. Proces zgłaszania incydentów cyberbezpieczeństwa
Sam proces zgłaszania wszelkich incydentów bezpieczeństwa i nieprawidłowości jest bardziej szczegółowy i rygorystyczny. Organizacje będą zobowiązane do:
- zgłaszania istotnych incydentów cyberbezpieczeństwa w ciągu 24 godzin od ich wykrycia, co ma na celu szybsze reagowanie na potencjalne zagrożenia;
- zapewnienie pełnego raportu dotyczącego incydentu w ciągu 72 godzin, w którym znajdą się szczegóły dotyczące charakteru incydentu, jego skutków oraz działań naprawczych podjętych przez organizację.
4. Polityki oraz procedury funkcjonujące w organizacji
Dyrektywa Network and Information Systems 2 wymaga, aby organizacje wdrożyły i utrzymywały skuteczne polityki oraz procedury związane z cyberbezpieczeństwem, które obejmują:
- politykę zarządzania ryzykiem, która definiuje sposób identyfikacji, oceny i zarządzania ryzykiem związanym z cyberbezpieczeństwem.
- procedury reakcji na incydenty, które określają działania podejmowane w przypadku wykrycia incydentu.
- regularne szkolenia pracowników z zakresu cyberbezpieczeństwa oraz podnoszenie świadomości zagrożeń związanych z atakami na systemy informacyjne.