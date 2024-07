Pierwszą z istotnych zmian, jakie przynosi nam NIS2, jest rozszerzenie kręgu podmiotów objętych regulacjami. Do dotychczasowych branż (takich jak energetyka czy też służba zdrowia) dołączono w szczególności platformy internetowe, centra danych czy dostawców usług chmurowych. Podmioty podzielono na kluczowe i ważne, co ma znaczenie w kontekście zakresu obowiązków oraz poziomu odpowiedzialności. W uzasadnionych przypadkach przewidziano możliwość przypisywania wyższej kategorii lub obejmowania podmiotów zasięgiem regulacji.

Dalej usystematyzowano zakres dokumentów, jakie musi wprowadzić oraz utrzymywać każdy podmiot objęty NIS2. Wśród nich wymienia się politykę analizy ryzyka i bezpieczeństwa systemów ICT, procedury oceniające skuteczność zarządzania ryzykiem, procedury stosowania kryptografii czy też politykę kontroli dostępu i zarządzania aktywami.

Finalnie postawiono nacisk na zarządzanie incydentami, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczeństwo rozwoju sieci, cyberhigienę, szkolenia personelu (w tym zarządzającego) pod kątem cyberbezpieczeństwa i odpowiednie zabezpieczenia techniczne. Co istotne, to na podmiotach ma spoczywać wymóg udowodnienia, że obowiązki wypełniły należycie.

Biorąc pod uwagę zakres wymogów oraz poziom możliwych kar (do 7 mln EUR), każdy podmiot, który może być objęty nowymi przepisami, powinien już dziś rozważyć przeprowadzenie u siebie audytu dostosowania się do nowych kryteriów, a następnie wprowadzić odpowiednie zmiany. Paradoksalnie, największym wyzwaniem będzie zrozumienie, że ten obszar przestaje być domeną technologiczną i staje się bieżącym zarządzaniem ryzykiem, w którym czynnik ludzki będzie pełnił kluczową rolę.

Jeśli organizacja dąży do zgodności z NIS2, to powinna wprowadzić tzw. środki zarządzania ryzykiem w cyberbezpieczeństwie zdefiniowane w tej dyrektywie. Kluczem do efektywnego wdrożenia wspomnianych środków jest przemyślany dobór rozwiązań, produktów oraz technologii pozwalających na osiągnięcie założonych celów dla każdego z dziesięciu wymienionych w nich obszarów. Obszary te dotyczą m.in. implementacji odpowiednich procedur, szacowania ryzyka, prowadzenia szkoleń oraz zastosowania nowoczesnych technologii i produktów z zakresu cyberbezpieczeństwa. Firma Fortinet jest od ponad 20 lat liderem branży cyberbezpieczeństwa na świecie i uznanym dostawcą ww. rozwiązań. Doskonałym przykładem produktu idealnie wpisującego się w wymagania dyrektywy NIS2 jest firewall nowej generacji – FortiGate, który pozwala na kontrolę ruchu sieciowego wewnątrz organizacji w celu zapewnienia jej bezpieczeństwa cybernetycznego w procesie utrzymania sieci i systemów informatycznych, nawet w przypadku wystąpienia w nich podatności.

Wśród podmiotów wykonujących ekspertyzy z zakresu NIS2 jest spółka ICT2B, doradzająca w praktycznej poprawie bezpieczeństwa ICT/ OT. ICT2B analizuje obszar cyberbezpieczeństwa, zarówno od strony technicznej jak i formalnoprawnej. Weryfikuje wdrożone rozwiązania IT/ OT pod kątem luk i rekomenduje wdrożenie brakujących rozwiązań. ICT2B przeprowadza badanie w oparciu o obowiązujące wymogi regulacyjne, przygotowując organizację do spełnienia wymogów NIS2. Proces ten ogranicza ryzyka wystąpień incydentów z obszaru cyberbezpieczeństwa oraz umożliwia zarządzanie nimi. Elementem prowadzonych projektów jest wypracowanie draftu polityki, strategii bezpieczeństwa ICT/ OT, pozwalającego na zdefiniowanie incydentów i wskazanie ścieżki ich obsługi. To właśnie obsługę incydentów, obok podniesienia świadomości pracowników, ICT2B stawia na pierwszym miejscu w procesie przygotowania do spełnienia wymogów wpisanych w NIS2.

