Dyrektwa NIS 2 – Co to jest, kiedy wchodzi i kto pod nią podlega?

W dobie postępującej digitalizacji priorytetem jest zapewnienie bezpieczeństwa danych i systemów informatycznych. Dyrektywa NIS 2 stanowi kolejny krok Unii Europejskiej w kierunku wzmocnienia ochrony infrastruktury krytycznej. Czym dokładnie jest wprowadzona w 2023 roku dyrektywa NIS 2? Jakie zmiany wprowadza i jakie obowiązki nakłada na operatorów usług kluczowych? Przyjrzyjmy się bliżej nowym przepisom i zadaniom, które czekają przedsiębiorstwa działające w cyfrowym świecie

Co to jest i co zmienia dyrektywa NIS 2?

Dyrektywa NIS 2 to regulacja prawna, która weszła w życie 16 stycznia 2023 roku. Stanowi bardzo istotną regulację prawną w Unii Europejskiej, która ma na celu poprawę cyberbezpieczeństwa w kluczowych sektorach gospodarki. Wprowadza ona szereg nowych obowiązków dla podmiotów działających w tych sektorach, między innymi:

• Wdrożenie systemów zarządzania ryzykiem cyberbezpieczeństwa: Podmioty zobowiązane są do identyfikacji i oceny ryzyka cyberbezpieczeństwa, a także do wdrożenia odpowiednich środków ochrony.
• Zgłaszanie incydentów cyberbezpieczeństwa: Podmioty zobowiązane są do zgłaszania poważnych incydentów cyberbezpieczeństwa do właściwych organów.
• Stosowanie środków technicznych i organizacyjnych: Podmioty zobowiązane są do stosowania odpowiednich środków technicznych i organizacyjnych w celu ochrony swoich systemów i danych.

Nowe wymogi mają być spełnione do 17 października 2024 roku. Ich celem jest zapewnić spójność i wysoki standard ochrony informacji oraz systemów sieciowych.

Rozszerzenie zakresu podmiotowego i nowe kryteria kwalifikacji

W ramach dyrektywy NIS 2 wprowadzono bardziej restrykcyjne wymogi dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także rozszerzono zakres regulacji na nowe branże. Konsekwencje nieprzestrzegania tych przepisów obejmują surowe kary, które mają zmotywować podmioty objęte regulacją do bardziej skutecznego stosowania środków ochronnych.

Kogo dotyczy dyrektywa NIS 2?

Zanim podejmiesz dalsze działania, warto sprawdzić, czy Twoja firma podlega przepisom Dyrektywy NIS 2. W ramach tej regulacji wyróżniamy sektory kluczowe oraz ważne. Istotnym obowiązkiem każdej organizacji jest dokładne zidentyfikowanie, czy znajduje się w którymś z tych sektorów oraz odpowiednie dostosowanie się do wymogów wynikających z dyrektywy.

Sektory kluczowe, których dotyczy dyrektywa NIS 2 to:

• Energetyka
  • Operatorzy sieci elektroenergetycznych: Istotność tej grupy wynika z krytycznej roli dostaw energii dla społeczeństwa. Przykładem potwierdzającym zagrożenie jest atak na ukraińską sieć energetyczną w 2015 (i 2016), który spowodował przerwy w dostawie prądu.
  • Operatorzy systemów ciepłowniczych lub chłodniczych: Przerwy w działaniu tych systemów mogą wpływać na komfort życia oraz działanie np. szpitali, podkreślił to incydent związany z cyberatakiem na dostawcę energii cieplnej w Finlandii (2016).
  • Przedsiębiorstwa naftowe i gazowe: Zabezpieczenie tych podmiotów jest ważne, ze względu na potencjalny wpływ zakłóceń dostaw surowców na gospodarkę i społeczeństwo. Do historycznych ataków należał incydent "Shamoon" wymierzony w Saudi Aramco (2012), mający na celu zakłócenie produkcji ropy.
• Transport:
  • Lotniska: Są krytyczne ze względu na liczbę pasażerów i rolę w globalnym łańcuchu dostaw. Przykładem ryzyka był cyberatak na lotnisko Boryspol w Kijowie (2015) oraz zakłócenia spowodowane atakiem na firmę handlingową Swissport (2020).
  • Porty morskie: Zakłócenia w ich pracy wpływają na łańcuchy dostaw. W 2017 r. atak "NotPetya" sparaliżował duński port Maersk (A.P. Moller – Maersk), podkreślając poziom ryzyka.
  • Operatorzy systemów zarządzania ruchem lotniczym: Bezpieczeństwo i płynność lotów zależą od sprawnego działania tych systemów. Istotna awaria z powodu cyberataku dotknęła systemy kontroli ruchu lotniczego w Szwecji (2019).
  • Zarządcy infrastruktury drogowej, kolejowej i wodnej: Przykładem ryzyka związanego z tą kategorią może być incydent z 2017 w którym atak ransomware "NotPetya"wpłynął na firmę Deutsche Bahn, zakłócając ruch pasażerski i towarowy.
• Opieka zdrowotna:
  • Szpitale: Atak ransomware WannaCry w 2017 roku dotknął systemów brytyjskiego NHS, pokazując, jak cyberataki mogą utrudniać świadczenie usług medycznych.
  • Kliniki: Te podmioty przechowują wrażliwe dane pacjentów. Ważne jest ich zabezpieczenie przed wyciekami czy atakami, które mogłyby wpłynąć na prywatność i zdrowie osób.
  • Producenci wyrobów medycznych: Ryzyko dotyczy nie tylko samych urządzeń, ale i zakłóceń produkcji i potencjalnych błędów w sprzęcie wprowadzonych celowo przez atakujących.
• Administracja publiczna:
  • Organy rządowe i agencje: Gromadzą wrażliwe dane państwowe i osobiste. Cyberataki zagrażają ich poufności i mogą zaszkodzić bezpieczeństwu narodowemu. Ataki ransomware w ostatnich latach, np. incydenty z 2023 we Włoszech i 2020 w USA (Baltimore), potwierdzają te obawy.
  • Dostawcy usług publicznych online: Ich systemy warunkują dostępność zasobów i komunikacji z państwem, a awarie mogą wpływać na życie obywateli.
• Bankowość i infrastruktura rynku finansowego:
  • Banki: Przechowują ogromne ilości kapitału. Ataki, choćby w celu kradzieży, mogą prowadzić do strat finansowych i destabilizacji rynków.
  • Instytucje finansowe: Pełnią istotną rolę w gospodarce, atak na nie może mieć szerokie reperkusje.
  • Giełdy: Zakłócenia ich działania wpływają na rynki. Przykładem może być (potencjalnie) wrogi atak, na który padł Euronext (2023).
  • Systemy rozliczeniowe: Pełnią rolę krytyczną w finalizacji transakcji finansowych. Atak na te mechanizmy może podważyć zaufanie do rynków.
• Infrastruktura cyfrowa:
  • Operatorzy rejestrów DNS i TLD: Odpowiadają za prawidłowe funkcjonowanie internetu. Zakłócenie ich działań może poważnie wpłynąć na komunikację online.
  • Dostawcy usług internetowych: Bezpieczeństwo dostawcy warunkuje dostępność zasobów internetowych dla użytkowników.
• Woda pitna i ścieki:
  • Przedsiębiorstwa wodociągowe i kanalizacyjne: Zagrożenie obejmuje potencjalne skażenie wody lub zakłócenia dostaw, wpływając na zdrowie publiczne. Atak na izraelskie systemy wodne z 2020 pokazuje, że jest to realistyczny problem.
• Przestrzeń kosmiczna:
  • Operatorzy satelitów i infrastruktury kosmicznej: Satelity pełnią funkcje telekomunikacyjne, nawigacyjne i obserwacyjne. Cyberataki mogą poważnie zakłócić te dziedziny, wpływając na obronność i wiele dziedzin cywilnych.Energetyka: operatorzy sieci elektroenergetycznych, operatorzy systemów ciepłowniczych lub chłodniczych, przedsiębiorstwa naftowe i gazowe.

Sektory ważne, których dotyczy dyrektywa NIS 2 to:

• Dostawcy usług cyfrowych:
  • Platformy internetowe:
    • Zagrożenia: rozpowszechnianie dezinformacji, mowy nienawiści, treści ekstremistycznych, manipulacja opinią publiczną, cyberataki na infrastrukturę platform.
    • Przykłady: kampanie dezinformacyjne na Facebooku przed wyborami w USA w 2016 roku, atak na platformę Twitch w 2021 roku.
    • Skutki: podziały społeczne, destabilizacja demokracji, straty finansowe dla platform.
  • Chmury obliczeniowe:
    • Zagrożenia: włamania do systemów chmurowych, kradzież danych, ataki typu ransomware, przerwy w świadczeniu usług.
    • Przykłady: atak na firmę Dropbox w 2016 roku, atak na Microsoft Azure w 2020 roku.
    • Skutki: straty finansowe dla firm korzystających z chmury, utrata danych, zakłócenia w działalności.
  • Silniki wyszukiwania:
    • Zagrożenia: manipulacja wynikami wyszukiwania, rozpowszechnianie dezinformacji, wpływ na wybory i opinie publiczne.
    • Przykłady: promowanie stron internetowych z fake newsami w wynikach wyszukiwania Google, manipulowanie wynikami wyszukiwania w Chinach.
    • Skutki: ograniczony dostęp do informacji, dezinformacja, podziały społeczne.
  • ‍Przemysł spożywczy:

• Producenci żywności:
  • Zagrożenia: cyberataki na infrastrukturę produkcyjną, włamania do systemów informatycznych, skażenie żywności, ataki typu ransomware.
  • Przykłady: atak na firmę Mondelez International w 2017 roku, atak na JBS SA w 2021 roku.
  • Skutki: wycofanie produktów z rynku, straty finansowe dla firm, zagrożenie dla zdrowia publicznego
• Dystrybutorzy żywności:
  • Zagrożenia: cyberataki na systemy logistyczne, włamania do systemów informatycznych, kradzież danych, ataki typu ransomware.
  • Przykłady: atak na firmę Cargill w 2021 roku, atak na Colonial Pipeline w 2021 roku.
  • Skutki: zakłócenia w łańcuchu dostaw żywności, straty finansowe dla firm, wzrost cen żywności.

‍Przemysł chemiczny:

• Producenci chemikaliów:
  • Zagrożenia: cyberataki na infrastrukturę produkcyjną, włamania do systemów informatycznych, awarie instalacji chemicznych, uwolnienie substancji niebezpiecznych.
  • Przykłady: atak na firmę Saudi Aramco w 2012 roku, atak na BASF w 2018 roku.
  • Skutki: katastrofy ekologiczne, zagrożenie dla zdrowia publicznego, straty finansowe dla firm.
• Dystrybutorzy chemikaliów:
  • Zagrożenia: cyberataki na systemy logistyczne, włamania do systemów informatycznych, kradzież danych, ataki typu ransomware.
  • Przykłady: atak na firmę Brenntag w 2019 roku, atak na CMA CGM w 2021 roku.
  • Skutki: zakłócenia w łańcuchu dostaw chemikaliów, straty finansowe dla firm, zagrożenie dla środowiska
• Badania naukowe:
  • Laboratoria badawcze:
  • • Zagrożenia: cyberataki na infrastrukturę badawczą, włamania do systemów informatycznych, kradzież danych naukowych, ataki typu ransomware.
    • Przykłady: atak na Narodowe Laboratorium Oak Ridge w 2014 roku, atak na Uniwersytet w Calgary w 2020 roku.
    • Skutki: opóźnienia w badaniach naukowych, straty finansowe dla instytucji badawczych, utrata konkurencyjności.
  • Uniwersytety:
  • • Zagrożenia: cyberataki na infrastrukturę informatyczną, włamania do systemów informatycznych, kradzież danych osobowych studentów i pracowników, ataki typu ransomware.
    • Przykłady: atak na Uniwersytet Kalifornijski w Berkeley w 2016 roku, atak na Uniwersytet w Maryland w 2021 roku.
    • Skutki: zakłócenia w działalności dydaktycznej i naukowej, straty finansowe dla uniwersytetów, utrata zaufania studentów i pracowników.
• Gospodarka odpadami:
  • • Przedsiębiorstwa zajmujące się zbiórką i przetwarzaniem odpadów:
      • Zagrożenia: cyberataki na infrastrukturę informatyczną, włamania do systemów informatycznych, kradzież danych osobowych i poufnych, ataki typu ransomware.
      • Przykłady: atak na firmę Veolia w 2019 roku, atak na Republic Services w 2021 roku.
      • Skutki: zakłócenia w odbiorze i przetwarzaniu odpadów, straty finansowe dla firm, zagrożenie dla środowiska.
• Usługi pocztowe i kurierskie:
  • • Operatorzy pocztowi:
      • Zagrożenia: cyberataki na infrastrukturę informatyczną, włamania do systemów informatycznych, kradzież danych osobowych i poufnych, ataki typu ransomware.
      • Przykłady: atak na Deutsche Post w 2018 roku, atak na Pocztę Polską w 2021 roku.
      • Skutki: opóźnienia w dostawach przesyłek, straty finansowe dla operatorów pocztowych, utrata zaufania klientów.
    • Firmy kurierskie:
      • Zagrożenia: cyberataki na infrastrukturę informatyczną, włamania do systemów informatycznych, kradzież danych osobowych i poufnych, ataki typu ransomware.
      • Przykłady: atak na FedEx w 2017 roku, atak na DHL w 2020 roku.
      • Skutki: opóźnienia w dostawach przesyłek, straty finansowe dla firm kurierskich, utrata zaufania klientów.
• Produkcja:
  • Ogólna charakterystyka sektora:
    • Sektor produkcji obejmuje szeroki zakres działalności, od produkcji maszyn i elektroniki po produkcję żywności i tekstyliów.
    • Jest to jeden z najważniejszych sektorów gospodarki, mający znaczący wpływ na jej PKB i zatrudnienie.
    • Produkcja jest coraz bardziej zautomatyzowana i cyfrowa, co wiąże się z nowymi wyzwaniami w zakresie cyberbezpieczeństwa.
  • Zagrożenia:
  • • Cyberataki na infrastrukturę produkcyjną:
      • Włamania do systemów sterowania maszynami, co może prowadzić do zakłóceń w procesach produkcyjnych, awarii maszyn, a nawet wypadków.
      • Ataki typu ransomware, które szyfrują dane i żądają okupu za ich odszyfrowanie, co może prowadzić do przestojów w produkcji i strat finansowych.
      • Przykłady:
        • Atak na firmę Sandvik w 2018 roku, który spowodował zakłócenia w produkcji maszyn górniczych.
        • Atak na firmę Norsk Hydro w 2019 roku, który spowodował straty finansowe w wysokości 70 milionów dolarów.
    • Włamania do systemów informatycznych:
      • Kradzież danych projektowych i technologicznych, danych o klientach, danych finansowych.
      • Atak na firmę ThyssenKrupp w 2018 roku, który doprowadził do kradzieży danych projektowych i technologicznych.
    • Ataki na łańcuchy dostaw:
      • Atak na jednego z dostawców może zakłócić działalność wielu firm w sektorze.
      • Przykładem jest atak na firmę SolarWinds w 2020 roku, który dotknął między innymi sektora produkcji.
    • Ataki na infrastrukturę krytyczną:
      • Atak na infrastrukturę energetyczną lub transportową może negatywnie wpłynąć na działanie całego sektora.
      • Przykładem jest atak na ukraińską sieć energetyczną w 2015 roku.

Uwaga:

Należy pamiętać, że lista sektorów ważnych w dyrektywie NIS 2 nie jest wyczerpująca. Dyrektywa może zostać rozszerzona o inne sektory w przyszłości.

NIS 2 ma na celu:

• Zwiększenie odporności sektorów kluczowych na cyberataki.
• Ochronę infrastruktury krytycznej przed cyberzagrożeniami.
• Zapewnienie bezpieczeństwa danych osobowych.

Dyrektywa NIS 2 jest ważnym krokiem w kierunku wzmocnienia cyberbezpieczeństwa w Unii Europejskiej.

Co trzeba zrobić?

Firma, aby spełnić wymogi dyrektywy powinna podjąć działania w najbardziej kluczowych punktach:

Analiza i identyfikacja ryzyka: Firma powinna przeprowadzić kompleksową analizę zagrożeń dla swoich systemów informatycznych i sieciowych. Należy zidentyfikować potencjalne słabe punkty i ryzyka związane z cyberatakami. Polityka bezpieczeństwa: Wdrożenie jasnej i spójnej polityki bezpieczeństwa systemów informatycznych jest kluczowe. Powinna ona określać zasady dotyczące zarządzania dostępem, monitorowania, zabezpieczeń sieciowych itp.

Narzędzia i systemy bezpieczeństwa: Firma powinna zainwestować w odpowiednie narzędzia i systemy bezpieczeństwa, które umożliwią wykrywanie, reagowanie i analizowanie incydentów bezpieczeństwa w czasie rzeczywistym.

Ciągłość działania i zarządzanie kryzysowe: Istotne jest, aby firma posiadała plany kontynuacji działania i zarządzania kryzysowego w przypadku poważnych incydentów bezpieczeństwa. Należy przeprowadzić regularne testy i ćwiczenia, aby upewnić się, że te plany są skuteczne. Bezpieczeństwo łańcucha dostaw: Firma powinna zadbać o bezpieczeństwo całego łańcucha dostaw, w tym dostawców oprogramowania i sprzętu, aby uniknąć potencjalnych luk w zabezpieczeniach.

Szkolenia dla pracowników: Regularne szkolenia z zakresu cyberbezpieczeństwa dla wszystkich pracowników są kluczowe. Pracownicy powinni być świadomi zagrożeń oraz procedur postępowania w przypadku incydentów.

Oprogramowanie do szyfrowania i kryptografii: Firma powinna zainstalować i skonfigurować odpowiednie oprogramowanie do szyfrowania danych oraz kryptografii w celu zabezpieczenia poufności informacji.

Uwierzytelnianie wieloskładnikowe: Stosowanie uwierzytelniania wieloskładnikowego lub ciągłego może znacznie zwiększyć bezpieczeństwo dostępu do systemów firmy.

Polityka kontroli dostępu i zarządzania aktywami: Firma powinna mieć spójną politykę dotyczącą zarządzania dostępem do zasobów informatycznych oraz zarządzania aktywami, takimi jak urządzenia i oprogramowanie.

Kary pieniężne i sankcje karne

Dyrektywa NIS 2 wprowadza szczegółowe przepisy dotyczące kar finansowych oraz sankcji za łamanie jej zasad. Jeśli podmioty kluczowe nie przestrzegają wytycznych dotyczących zarządzania ryzykiem lub zgłaszania incydentów, grożą im kary administracyjne finansowe, sięgające nawet 10 milionów euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa. Firmy ważne również mogą ponieść grzywnę w wysokości do 7 milionów euro lub 1,4% całkowitego rocznego obrotu. Dyrektywa NIS2 przewiduje także możliwość nałożenia sankcji.

Jakie działania musi podjąć Twoja firma w związku NIS2?

Pierwszym krokiem audyt bezpieczeństwa sieci i systemów informatycznych

Wiem, że wprowadzenie tych wymagań to proces, który może wydawać się skomplikowany i trudny do ogarnięcia. Dlatego nie musisz tego robić sam. Mamy dla Ciebie zespół doświadczonych ekspertów, gotowych udzielić Ci wsparcia.

Oferujemy kompleksowe wsparcie w tym zakresie, obejmujące:

• Analizę luk w zabezpieczeniach: Przeprowadzimy audyt zgodności z dyrektywą NIS 2 i zidentyfikujemy obszary, które wymagają poprawy.
• Opracowanie planu wdrożenia: Pomożemy Ci w opracowaniu planu wdrożenia dyrektywy NIS 2, uwzględniającego specyfikę Twojej organizacji.
• Wdrożenie rozwiązań bezpieczeństwa: Zapewnimy Ci dostęp do sprawdzonych rozwiązań bezpieczeństwa, które pomogą Ci w spełnieniu wymagań dyrektywy NIS 2.
• Szkolenia dla personelu: Zapewnimy szkolenia dla Twojego personelu w zakresie cyberbezpieczeństwa i dyrektywy NIS 2.

Przygotujemy Twoją firmę na te zmiany, dostosowując ją do wymagań dyrektywy NIS2. Niezależnie od branży oraz poziomu zaawansowania zabezpieczeń, nasze rozwiązania idealnie wpiszą się w budżet oraz potrzeby Twojej firmy.

Sprawdź jak możemy wesprzeć Cię w zakresie spełnienia wymagań dyrektywy NIS2

Pozostało już kilka miesięcy, dlatego jeśli chcesz zacząć działać i przygotować swoją firmę na te zmiany, to jesteśmy gotowi Ci pomóc.

Skontaktuj się ze mną pod adresem hubert.bednarczyk@engave.pl lub wypełnij formularz kontaktowy na naszej stronie.

Pomożemy w całym procesie oraz przeprowadzimy audyt zgodności

Działaj z nami, a osiągniesz bezpieczeństwo, na jakie zasługujesz!