Dyrektywa NIS 2: bezpieczeństwo łańcucha dostaw

traple.pl 11 miesięcy temu

W naszym ostatnim artykule dotyczącym dyrektywy NIS 2[1], pt. „Dyrektywa NIS 2: środki zarządzania ryzykiem” wskazaliśmy, iż podmioty najważniejsze oraz ważne w ramach obowiązków związanych ze środkami zarządzania ryzykiem mają obowiązek zapewnienia odpowiednich środków w zakresie bezpieczeństwa łańcucha dostaw. Poniżej szerzej omawiamy zagadnienie zapewnienia bezpieczeństwa łańcucha dostaw.

Bezpieczeństwo łańcucha dostaw – dlaczego jest ważne?

Cyberbezpieczeństwo organizacji jest tak silne jak jego najsłabsze ogniwo. Coraz częściej sieć powiązań między organizacjami sprawia, iż czynniki wpływające na bezpieczeństwo organizacji są poza jej bezpośrednią kontrolą i należą do podmiotów trzecich – jej dostawców czy usługodawców.

Sprawia to, iż incydenty bezpieczeństwa informatycznego w jednej organizacji wpływają na działalność oraz bezpieczeństwo innych. W badaniach ankietowych, przeprowadzonych w 2022 r., aż 62% zapytanych organizacji stwierdziło, iż odczuło skutki incydentów cybernetycznych, które wystąpiły u podmiotów trzecich, w ostatnich 12 miesiącach poprzedzających badanie[2].

Skuteczne ataki na dostawców rozwiązań ICT, takich jak SolarWinds czy Kaseya, pokazują, iż łańcuch dostaw stanowi atrakcyjny cel dla cyberprzestępców. Dlatego niezwykle ważne jest wprowadzenie odpowiednich środków– technicznych oraz organizacyjnych – aby odpowiednio zabezpieczyć elementy łańcucha dostaw (zarówno w zakresie produktów, jak i usług) przed różnego rodzaju cyberzagrożeniami i ich skutkami.

Bezpieczeństwo łańcucha dostaw w obecnych regulacjach prawnych

Dotychczasowe regulacje prawne zarówno na szczeblu unijnym, jak i krajowym nie poświęcały bezpieczeństwu łańcucha dostaw specjalnej uwagi.

Dyrektywa NIS[3] wymaga jedynie na bardzo ogólnym poziomie, żeby podmioty ją stosujące – operatorzy usług kluczowych (OUK) oraz dostawcy usług cyfrowych (DUC) – podejmowali odpowiednie środki zarządzania ryzykami, na jakie narażone są wykorzystywane przez nich sieci i systemy informatyczne (odpowiednio art. 14 ust. 1 dla OUK oraz art. 16 ust. 1 dla DUC).

Polski ustawodawca, implementując NIS w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[4] (ustawa o KSC), w zakresie uregulowania kwestii bezpieczeństwa łańcucha dostaw poszedł o niewielki krok dalej.

Obecnie obowiązująca ustawa o KSC zobowiązuje OUK, aby w ramach systemu zarządzania bezpieczeństwem informatycznym wdrożyli odpowiednie i proporcjonalne środki techniczne i organizacyjne, w tym w zakresie bezpieczeństwa i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej (art. 8 pkt 2 lit. c).

Warto jednak wskazać, iż inne podmioty – dostawcy usług cyfrowych czy podmioty publiczne – nie mają już takiego obowiązku. Przy względnie niewielkiej liczbie OUK (wg informacji z lutego 2023 r. było ich 395) powoduje to, iż bezpieczeństwo łańcucha dostaw dotychczas było kwestią dość niszową, na którą zwracało się niewielką uwagę.

Bezpieczeństwo łańcucha dostaw w NIS 2

W dyrektywie NIS 2 położono zdecydowanie mocniejszy akcent na konieczność zapewnienia bezpieczeństwa łańcucha dostaw – część środków w tym zakresie wyrażonych jest wprost, natomiast część wynika z innych obowiązków podmiotów kluczowych i ważnych.

NIS 2 reguluje bezpieczeństwo łańcucha dostaw na dwóch płaszczyznach:

  1. wprowadzając konieczność uregulowania przez podmioty ważne i najważniejsze kwestii ich relacji z dostawcami oraz
  2. traktując wybranych dostawców usług IT jako podmioty najważniejsze i ważne.

NIS 2 w ramach pierwszej płaszczyzny wprowadza konkretne regulacje dotyczące szacowania i zarządzania ryzykiem związanym z bezpieczeństwem dostaw.

Zgodnie z postanowieniami dyrektywy NIS 2, podmioty najważniejsze oraz ważne będą zobowiązane do wprowadzenia adekwatnych środków technicznych, operacyjnych i organizacyjnych w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych, wykorzystywanych przez nie do prowadzenia działalności lub świadczenia usług oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług lub na inne usługi bądź minimalizowania takiego wpływu.

Co jednak istotne, wskazane środki muszą obejmować także bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami (art. 21 ust. 2 lit d NIS 2).

Artykuł 21 NIS 2 określa także kryteria, jakie muszą spełnić implementowane środki zarządzania ryzykiem. Zgodnie z tym przepisem, powinny one:

  • uwzględniać wszystkie możliwe zagrożenia,
  • zapewniać ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami,
  • zapewniać poziom bezpieczeństwa odpowiedni do istniejącego ryzyka (przy uwzględnieniu m.in. stopnia narażenia podmiotu na ryzyko, koszt wdrożenia środków),
  • uwzględniać najnowszy stan wiedzy oraz w stosownych przypadkach – odpowiednie normy europejskie i międzynarodowe.

Warto wskazać, iż w zakresie najnowszego stanu wiedzy bardzo przydatne mogą być dokumenty publikowane przez ENISA. Jeden z ostatnich dokumentów, opublikowanych 13 czerwca 2023 r. pod tytułem „Zestaw Dobrych Praktyk w Zakresie Bezpieczeństwa Łańcucha Dostaw” („Good Practices For Supply Chain Cybersecurity”)[5], stanowi swoisty przewodnik, jak prawidłowo wprowadzać środki zarządzania ryzykiem związane z łańcuchem dostaw.

Wskazane wyżej obowiązki zostały uregulowane w części normatywnej NIS 2, co oznacza, iż muszą one zostać wprowadzone do krajowego porządku prawnego w ramach implementacji dyrektywy. Oprócz nich, NIS 2 w preambule wskazuje na pewne rekomendacje, które mogą być zaimplementowane przez państwa członkowskie, według ich uznania.

Jedna z takich rekomendacji wyrażona jest w motywie 85 dyrektywy NIS 2. Dotyczy ona relacji podmiotów stosujących NIS 2 z ich dostawcami, w szczególności dostawców usług przechowywania i przetwarzania danych, dostawców usług zarządzanych w zakresie bezpieczeństwa oraz edytorów oprogramowania. Zgodnie z rekomendacją, podmioty najważniejsze i ważne powinny oceniać i uwzględniać ogólną jakość i odporność produktów i usług, a także praktyki dotyczące cyberbezpieczeństwa stosowane przez poszczególnych dostawców rozwiązań ICT, w tym ich procedury bezpiecznego opracowywania.

W praktyce oznacza to, iż podmioty najważniejsze oraz ważne, przed podjęciem decyzji o współpracy z danym dostawcą, powinny dokonać oceny jego praktyk w zakresie cyberbezpieczeństwa oraz zgodności oferowanych produktów z obowiązującymi standardami, mając na uwadze koszty tego typu środków oraz aktualną wiedzę branżową.

Motyw 85 zaleca również, aby podmioty najważniejsze i ważne w umowach z dostawcami uwzględniały zapewnienie odpowiednich środków zarządzania ryzykiem w cyberbezpieczeństwie.

Dopóki jednak Dyrektywa NIS 2 nie zostanie w pełni wdrożona w prawie krajowym, trudno ocenić czy zawarte w motywie 85 zalecenia staną się faktycznymi, egzekwowalnymi obowiązkami.

Bardzo możliwe, iż w związku z obowiązkami nałożonymi na podmioty najważniejsze oraz ważne troska o cyberbezpieczeństwo przeniesie się także na ich dostawców. Dostawcy nie będą co prawda zobligowani prawnie (chyba, iż sami będą podmiotem kluczowym lub ważnym) do zapewniania odpowiednich środków w zakresie cyberbezpieczeństwa, mogą natomiast spotykać się z takimi wymaganiami ze strony zamawiających. W praktyce może to doprowadzić, iż dostawcy niespełniający określonych wymagań cyberbezpieczeństwa będą pomijani przez takich zamawiających.

Konieczność uwzględnienia skoordynowanego oszacowania ryzyka dla bezpieczeństwa

Ważną zmianą, jaką wprowadza Dyrektywa NIS 2, jest konieczność uwzględniania skoordynowanego oszacowania ryzyka dla bezpieczeństwa krytycznych łańcuchów dostaw. Artykuł 22 NIS 2 zakłada stworzenie mechanizmu przeprowadzenia takiej oceny, która ma na celu wzmocnienie cyberbezpieczeństwa w całej Unii Europejskiej, zwracając uwagę na sektory szczególnie narażone na cyberzagrożenia.

Skoordynowane oszacowanie ryzyka to procedura, która zostanie przeprowadzona przez Grupę Współpracy w ścisłej współpracy z państwami członkowskimi na wzór procedury przeprowadzonej podczas szacowania ryzyka sieci 5G. Końcowym efektem prac tej grupy ma być dokument, który będzie nie tylko identyfikował krytyczne usługi, systemy lub produkty ICT, główne zagrożenia i podatności związane z tymi elementami, ale także rekomendacje dotyczące przeciwdziałania tym zagrożeniom.

W praktyce, dokument przygotowany w ramach skoordynowanego oszacowania ryzyka może objawiać się konkretnymi wytycznymi dotyczącymi usług, systemów lub produktów ICT oraz ich dostawców.

Nieuwzględnienie rekomendacji wynikających z oszacowania ryzyka przy wyborze środków zapewniających cyberbezpieczeństwo może być uznane za naruszenie obowiązków z NIS 2 oraz skutkować nałożeniem administracyjnej kary pieniężnej na podmiot najważniejszy lub ważny.

Prace nad regulacjami implementacyjnymi w Niemczech i Czechach

Państwa członkowskie UE mają częściową swobodę we wdrażaniu przepisów dyrektyw. W przypadku Dyrektywy NIS 2, decyzje te mogą mieć duże znaczenie dla obowiązków podmiotów kluczowych i ważnych, w tym w zakresie zapewnienia bezpieczeństwa łańcucha dostaw.

Nasi sąsiedzi – Niemcy oraz Czesi – jakiś czas temu rozpoczęli prace legislacyjne nad implementacją NIS 2 do krajowych porządków prawnych. Na uchwalenie wiążących przepisów prawdopodobnie jeszcze przyjdzie nam czekać, jednak już dziś możemy przyjrzeć się propozycjom rozwiązań w zakresie bezpieczeństwa łańcucha dostaw.

W Niemczech projekt ustawy roboczo nazwanej „ustawą o implementacji NIS-2 i wzmocnieniu cyberbezpieczeństwa” (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz[6]) z 3 lipca 2023 r.[7] tylko w niewielkim stopniu doprecyzowuje i wychodzi poza normy wynikające z NIS 2.

W zakresie bezpieczeństwa łańcucha dostaw wskazuje m.in., iż podmioty stosujące przepisy regulacji mają obowiązek uwzględniać:

  • specyficzne słabości poszczególnych bezpośrednich dostawców i usługodawców,
  • ogólną jakość produktów i praktyk związanych z cyberbezpieczeństwem ich dostawców i usługodawców oraz
  • wyniki skoordynowanych ocen ryzyka krytycznych łańcuchów dostaw zgodnie z art. 22 ust. 1 NIS 2.

Natomiast czeska propozycja ustawy (Návrh zákona o kybernetické bezpečnosti – ustawa o bezpieczeństwie cybernetycznym) z 19 czerwca 2023 r.[8] w zakresie środków zarządzania ryzykiem przewiduje bardziej konkretne wymagania. Wymieniono w niej obszary, w których objęte regulacją podmioty będą zobowiązane wdrożyć techniczne i organizacyjne środki zarządzania ryzykiem w cyberbezpieczeństwie. Kwestie relacji z dostawcami zostały określone w osobnym § 24, gdzie wskazano m.in., iż podmioty te mają obowiązek uwzględnić wymagania związane ze środkami bezpieczeństwa przy wyborze dostawców, a tam „gdzie jest to możliwe” uwzględnić te wymagania także w umowach zawieranych z dostawcami.

Środki w zakresie bezpieczeństwa łańcucha dostaw – jak je wdrożyć?

W naszej ocenie środki w zakresie bezpieczeństwa łańcucha dostaw powinny być podejmowane co najmniej na czterech etapach:

  1. przygotowania organizacyjnego – poprzez określenie wewnętrznych praktyk działania,
  2. wyboru dostawcy – poprzez analizę i szacowanie ryzyka z tym związanego,
  3. zawierania umów – poprzez wprowadzenie odpowiednich postanowień umownych,
  4. egzekwowania postanowień umownych oraz monitorowania dostawców.

Przed przystąpieniem do kontraktowania podmiot najważniejszy lub istotny powinien podjąć działania wewnętrzne w celu opracowania własnych strategii i reguł postępowania z dostawcami czy przydzielenia odpowiednich zasobów do działań związanych z dostawcami.

Przed podjęciem decyzji o współpracy z dostawcą, niezbędne jest gruntowne zrozumienie poziomu ryzyka, jakie niesie ze sobą taka współpraca. Ankiety dotyczące bezpieczeństwa, sprawdzenie referencji dostawcy, ustalenie warunków udziału w postępowaniu, a także analiza przeprowadzonych wcześniej testów penetracyjnych (pentestów) – to wszystko pozwoli lepiej ocenić potencjalne ryzyka i oszacować zdolność dostawcy w radzeniu sobie z zagrożeniami cyberbezpieczeństwa.

Umowy z wybranymi dostawcami powinny być tak skonstruowane, aby jasno określały wymagania w zakresie cyberbezpieczeństwa dostawców (np. polityki bezpieczeństwa oraz wymagania techniczne). najważniejsze jest również wprowadzenie postanowień dotyczących sankcji za nieprzestrzeganie tych wymagań, a także zabezpieczenie prawa do wcześniejszego rozwiązania umowy w przypadku naruszeń. Ważne jest też, aby zastrzec sobie prawo do przeprowadzania audytów samodzielnie lub z udziałem podmiotów profesjonalnych. Umowa powinna też określać wymagania dla podwykonawców, jeżeli ich udział jest przewidziany w umowie.

Podpisanie umowy to nie koniec. Ważne jest bowiem, żeby przez cały okres jej obowiązywania monitorować na bieżąco działalność dostawcy oraz dostarczane przez niego rozwiązania ICT. jeżeli zapewniliśmy sobie możliwość przeprowadzenia audytu, to możemy z niej skorzystać. Przeprowadzenie kontroli pozwoli gwałtownie wykryć ewentualne nieprawidłowości i zareagować zanim przerodzą się one w poważne zagrożenie dla bezpieczeństwa.

Ostateczny dobór środków będzie zależał jednak od wielu czynników – wielkości organizacji, stopnia narażenia na zagrożenia cyberbezpieczeństwa, charakteru relacji z dostawcami, przedmiot umowy itp.

Chcesz wiedzieć więcej o dyrektywie NIS 2?

Zajrzyj do naszych artykułów na temat:

  • ogólnych zasad wynikających z regulacji – dostępny tutaj;
  • zakresu podmiotowego regulacji – dostępny tutaj;
  • obowiązków w zakresie zarządzania ryzykiem – dostępny tutaj;
  • obowiązków w zakresie zgłaszania incydentów – niedługo dostępny;
  • uprawnień organów nadzorczych – niedługo dostępny;
  • kar i dodatkowych wymagań organizacyjnych – niedługo dostępny;
  • sposobu implementacji i stosunku do innych regulacji z zakresu cyberbezpieczeństwa – niedługo dostępny.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148

[2] https://anchore.com/blog/2022-security-trends-software-supply-chain-survey/

[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dz. U. UE. L. z 2016 r. Nr 194, str. 1).

[4] Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2023 r. poz. 913).

[5] https://www.enisa.europa.eu/publications/good-practices-for-supply-chain-cybersecurity.

[6] https://intrapol.org/wp-content/uploads/2023/07/230703_BMI_RefE_NIS2UmsuCG.pdf

[7] Na dzień publikacji artykułu jest to ostatnia publicznie dostępna wersja projektu.

[8] https://odok.cz/portal/veklep/material/ALBSCSSG44YX/

Idź do oryginalnego materiału