Dyrektywa NIS2 – europejska strategia bezpieczeństwa cybernetycznego

 

Co to jest Dyrektywa NIS2?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to unijne przepisy dotyczące cyberbezpieczeństwa. Weszły w życie w 2023 roku i mają na celu zwiększenie ogólnego poziomu bezpieczeństwa sieci i systemów informatycznych w Unii Europejskiej. Dyrektywa nakłada na przedsiębiorstwa obowiązki wzmacniające odporność na cyberzagrożenia, związane głównie z zarządzaniem ryzykiem, zgłaszaniem incydentów, ochroną systemów IT i zapewnieniem ciągłości działania.

Dyrektywa NIS2 – kogo dotyczy?

Dyrektywa NIS2 obejmuje szeroką grupę organizacji, zarówno ze względu na wielkość jak i na rodzaj/zakres działalności. Jeśli chodzi o próg wielkości przedsiębiorstwa, dyrektywa jest jasna: ma ona zastosowanie do podmiotów, które spełniają lub przekraczają progi dla średnich przedsiębiorstw*. W związku z tym mikroprzedsiębiorstwa i małe przedsiębiorstwa są zasadniczo wyłączone z jego zakresu, chyba że zostaną uznane za podmiot kluczowy lub ważny.

* Zgodnie z definicją podaną przez Eurostat małe przedsiębiorstwa definiuje się jako podmioty zatrudniające mniej niż 50 pracowników i osiągające roczny obrót nie przekraczający 10 mln euro. Z kolei przedsiębiorstwa średniej wielkości definiuje się jako zatrudniające maksymalnie 250 pracowników i osiągające roczne obroty nie większe niż 50 mln euro. Ponadto za mikroprzedsiębiorstwa uznaje się podmioty zatrudniające mniej niż 10 pracowników i których roczny obrót nie przekracza 2 mln euro.

Oprócz kryterium wielkości, NIS 2 wprowadza w miejsce dotychczasowego podziału na operatorów usług kluczowych i dostawców usług cyfrowych (NIS1) podział na dwie, nowe kategorie:

• podmioty kluczowe (essential entities) 
• podmioty ważne (important entities)

Podmioty kluczowe – jakie to firmy?

Podmioty kluczowe są to podmioty, które dostarczają usługi niezbędne do funkcjonowania społeczeństwa i gospodarki, których działanie ma bezpośredni wpływ na stabilność i bezpieczeństwo społeczne i gospodarcze. Dyrektywa NIS2 wskazuje 10 sektorów kluczowych, w których działają podmioty kluczowe:

• energetyki,
• transportu, 
• bankowości i rynków finansowych, 
• ochrony zdrowia,
• wody pitnej, ścieków,
• infrastruktury cyfrowej,
• zarządzania usługami ICT, 
• administracji publicznej,
• przestrzeni kosmicznej.

Prowadzenie działalność w ramach ww. Sektorów to nie jedyne kryterium, uznania podmiotu za kluczowy. Drugim kryterium jest wielkość, wg. którego podmiotami kluczowymi będą (z pewnymi wyjątkami) podmioty duże (zatrudnienie powyżej 250 osób, obroty roczne powyżej 50 mln euro).

Podmioty ważne – jakie to firmy?

Podmioty ważne to takie, których działalność na istotny wpływ na funkcjonowanie gospodarki UE oraz w dużej mierze pozostają zależne od bezpieczeństwa sieci i systemów informatycznych. Innymi słowy, jeśli ich sieci lub systemy informatyczne zostaną naruszone lub zaatakowane, może to mieć poważne konsekwencje nie tylko dla samej firmy, ale także dla szerszej społeczności. Podmiotami ważnymi są podmioty średnie działające we wskazanych wyżej sektorach kluczowych oraz podmioty średnie lub duże działające w sektorach ważnych czyli:

• usług pocztowych i kurierskich
• gospodarowania odpadami 
• produkcji, przetwarzania i dystrybucji chemikaliów
• produkcji, przetwarzania i dystrybucji żywności
• szeroko pojętej) produkcji
• dostawców usług cyfrowych
• badań naukowych

Termin wdrożenia regulacji NIS2

Dyrektywa NIS2 oficjalnie weszła w życie 16 stycznia 2023 roku. Zgodnie z postanowieniami tej dyrektywy, państwa członkowskie Unii Europejskiej zobowiązane są do wdrożenia nowych przepisów do swojego krajowego porządku prawnego, na przykład poprzez ustanowienie odpowiednich ustaw. Termin na dokonanie implementacji tych nowych wymagań upływa 17 października 2024 roku.

24 kwietnia polskie Ministerstwo Cyfryzacji zaprezentowało projekt nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), która ma na celu wdrożenie dyrektywy NIS2 i wzmocnienie odporności na cyberzagrożenia. Jest to szczególnie istotne, ponieważ obecnie Polska jest w czołówce najczęściej atakowanych w cyberprzestrzeni państw NATO.

Nowelizacja ustawy o KSC polega w szczególności na:

• rozszerzeniu katalogu podmiotów krajowego systemu cyberbezpieczeństwa o nowe sektory gospodarki;
• nałożeniu obowiązków z zakresu środków zarządzania ryzykiem na podmioty kluczowe i podmioty ważne w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2;
• nałożeniu obowiązków z zakresu środków zarządzania ryzykiem w cyberbezpieczeństwie, zgodne z dyrektywą NIS 2
• wprowadzeniu możliwości zgłaszania incydentów przez podmioty kluczowe i podmioty ważne, za pomocą systemu teleinformatycznego ministra właściwego do spraw informatyzacji, do właściwych zespołów CSIRT
• utworzeniu zespołów CSIRT sektorowych, które będą wspierać podmioty kluczowe i podmioty ważne w obsłudze incydentów cyberbezpieczeństwa
• wzmocnieniu kompetencji nadzorczych organów właściwych do spraw cyberbezpieczeństwa
• wprowadzeniu nowych administracyjnych kar pieniężnych za niewykonanie obowiązków ustawowych przez podmioty kluczowe i podmioty ważne 
• wprowadzeniu Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę

W projektowanej regulacji podstawą ma być mechanizm samoidentyfikacji – podmioty kluczowe i ważne będą zobowiązane zarejestrować się w nowym systemie (np. poprzez stronę internetową). Umożliwi to identyfikację firm podlagających dyrektywie, wsparcie ich przez zespoły CSIRT oraz zapewni możliwość nadzoru przez organy właściwe do spraw cyberbezpieczeństwa.

Dyrektywa NIS2 – podstawowe obowiązki

NIS2 stanowi, że należy przyjąć środki bezpieczeństwa w celu zarządzania ryzykiem stwarzanym dla bezpieczeństwa sieci i systemów informatycznych oraz ograniczania tego ryzyka, zapobiegania incydentom i minimalizowania ich skutków (Art. 21 ust. 2 dyrektywy zawiera szczegółowy wykaz minimalnych środków, które podmioty muszą przyjąć).

Wymagane środki bezpieczeństwa cybernetycznego obejmują:

• przeprowadzanie analizy ryzyka i opracowywanie polityk dotyczących systemów informatycznych
• przygotowanie procedur postępowania w przypadku incydentów
• wdrożenie planów awaryjnych i zarządzania kryzysowego
• zapewnienie odzyskiwania danych po awarii w celu utrzymania ciągłości działania
• zabezpieczenie łańcucha dostaw 
• zapewnienie bezpieczeństwa sieci i systemów informatycznych podczas pozyskiwania rozwoju i konserwacji, w tym postępowanie z lukami w zabezpieczeniach
• ustanawianie polityk i procedur oceny skuteczności środków zarządzania ryzykiem w cyberprzestrzeni
• promowanie podstawowych praktyk w zakresie higieny cybernetycznej
• wdrażanie polityk i procedur dotyczących stosowania kryptografii i szyfrowania
• bezpieczeństwo zasobów ludzkich
• uwierzytelnianie wieloskładnikowe

Zgodnie z nowelizacją ustawy o KSC podmioty kluczowe i ważne będą zobowiązane do wprowadzenia systemu zarządzania bezpieczeństwem informacji w procesach służących świadczeniu przez nie usług. Za realizację tych zadań będzie odpowiedzialny kierownik podmiotu kluczowego lub ważnego, który będzie musiał odbyć odpowiednie szkolenia z zakresu cyberbezpieczeństwa. Obowiązkowe nadal będzie przeprowadzanie audytu bezpieczeństwa systemów informacyjnych co dwa lata. Podmioty objęte KSC będą zobligowane do korzystania z systemu S46, służącego do komunikacji i wymiany informacji o incydentach, cyberzagrożeniach i podatnościach.

Dyrektywa NIS2 – kary i środki egzekucyjne

W art. 34 dyrektywy NIS 2 wprowadzono system sankcji, który przewiduje wysokie kary za nieprzestrzeganie obowiązków wynikających z dyrektywy, podobnie jak ma to już miejsce w przypadku RODO. Z kolei poprzednia dyrektywa upoważniała państwa członkowskie do przyjmowania przepisów zgodnie z regulacjami krajowymi i nakładała ogólny wymóg, aby środki te były skuteczne, przekonujące i odstraszające. Jak wspomniano powyżej, kary za nieprzestrzeganie dyrektywy w sprawie bezpieczeństwa sieci i informacji różniły się znacznie w poszczególnych państwach członkowskich zarówno pod względem cech, jak i surowości.

NIS2 - wsparcie SAP

SAP stale ocenia/śledzi zmiany regulacyjne mające wpływ na podmioty kluczowe lub ważne oraz usługi SAP. SAP współpracuje z organami nadzoru, konsultantami i ekspertami branżowymi w celu identyfikacji i spełnienia wymagań NIS2 w ramach działań na rzecz zgodności z przepisami. SAP stosuje najlepsze praktyki w zakresie bezpieczeństwa, by zapewnić klientom wysoką odporność na cyberataki oraz zgodność z wymaganiami NIS2.

Zabezpieczenia aplikacji SAP Business One

Niezależnie od tego, czy NIS2 ma bezpośrednie zastosowanie w Twojej organizacji, system ERP jest kluczowym elementem cyfrowej transformacji biznesowej i musi być bezpieczny, aby firma mogła działać sprawnie i bez zakłóceń. Cyberataki są coraz częstsze, więc zabezpieczenie aplikacji jest niezbędne, nie tylko ze względu na przepisy NIS2, ale dla ogólnego bezpieczeństwa firmy.

SAP Business One, jako system ERP (Enterprise Resource Planning) używany przez małe i średnie przedsiębiorstwa, również musi być zgodny z wymaganiami NIS2. SAP podejmuje działania, aby zapewnić zgodność swoich systemów, w tym SAP Business One, z wymaganiami dyrektywy NIS2 oraz innymi przepisami dotyczącymi cyberbezpieczeństwa. Oto niektóre z kluczowych inicjatyw i funkcji, które SAP wprowadza, aby dostosować swoje produkty do tych wymagań:

• regularne aktualizacje i poprawki bezpieczeństwa - SAP regularnie publikuje aktualizacje i poprawki bezpieczeństwa/zabezpieczeń dla swoich systemów. Te aktualizacje pomagają w eliminowaniu znanych luk w zabezpieczeniach i są kluczowe dla utrzymania zgodności z wymaganiami NIS2  zaawansowane funkcje bezpieczeństwa - SAP Business One zawiera szereg zaawansowanych funkcji bezpieczeństwa, które pomagają w ochronie danych, m.in.: zarządzanie elektroniczną tożsamością i kontrola dostępu (Identity Access Management) 
• monitorowanie i raportowanie - SAP oferuje narzędzia do monitorowania systemów oraz raportowania incydentów bezpieczeństwa (Remote Support Platform – RSP)
• kopie zapasowe i odzyskiwanie danych - SAP Business One wspiera regularne tworzenie kopii zapasowych i oferuje funkcje odzyskiwania danych po awarii, co jest kluczowe dla zapewnienia ciągłości działania systemu  audyt i zgodność - SAP przeprowadza regularne audyty bezpieczeństwa i zgodności swoich produktów. Firma także współpracuje z zewnętrznymi audytorami, aby zapewnić, że jej systemy spełniają najnowsze standardy i przepisy dotyczące cyberbezpieczeństwa 
• szkolenia i zasoby edukacyjne - SAP oferuje szkolenia i zasoby edukacyjne dla swoich klientów, aby pomóc im zrozumieć i wdrożyć najlepsze praktyki w zakresie bezpieczeństwa
• współpraca z organami regulacyjnymi - SAP współpracuje z organami regulacyjnymi i uczestniczy w inicjatywach branżowych mających na celu poprawę standardów bezpieczeństwa. Firma aktywnie angażuje się w dialog na temat wymagań NIS2 i innych przepisów, aby lepiej dostosować swoje produkty do tych wymagań.

Podsumowując, SAP podejmuje szereg działań, aby zapewnić, że SAP Business One jest zgodny z dyrektywą NIS2 oraz innymi przepisami dotyczącymi cyberbezpieczeństwa. Te inicjatywy obejmują zarówno techniczne środki ochrony, jak i procedury organizacyjne, które pomagają firmom skutecznie zarządzać ryzykiem i chronić swoje systemy oraz dane.

Podsumowując, dyrektywa NIS2 jest częścią unijnego prawa mającego na celu wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej. NIS2 nakłada nowe obowiązki zarówno na duże firmy, jak i część sektora MŚP, z wyłączeniem małych i mikroprzedsiębiorstw (pod warunkiem, że nie są one uznane za „podmioty kluczowe” lub „ważne”). Należy podkreślić, że dyrektywa NIS2 musi jeszcze zostać wdrożona przez państwa członkowskie na szczeblu krajowym, zgodnie z wymogami prawa europejskiego.

Źródło: www.altab.pl