W jednym z wcześniejszych artykułów (DORA i AIM) opisaliśmy, w jaki sposób można spojrzeć na rozwiązania zarządzania tożsamością i dostępem w kontekście regulacji, które mają obowiązywać europejskie firmy i instytucje z obszaru finansów oraz ubezpieczeń. Dziś spróbujemy wykonać podobne ćwiczenie, ale dla regulacji NIS2, która w Polsce powinna obowiązywać już w trzecim kwartale bieżącego roku.
Jakie mamy podstawowe fakty na temat NIS2?
Dyrektywa NIS2 (Network and Information Security) to najważniejszy element nowej strategii Unii Europejskiej, mający na celu wzmocnienie bezpieczeństwa sieci i systemów informacyjnych. Przyjęta 14 grudnia 2022 roku dyrektywa zobowiązuje państwa członkowskie do jej implementacji do 18 października 2024 roku. W Polsce projekt ustawy regulującej wymagania NIS2 został opublikowany 24 maja 2024 roku, koncentrując się na zapewnieniu operacyjnej odporności cyfrowej sektora finansowego oraz innych kluczowych sektorów gospodarki. Dyrektywa NIS2 wprowadza surowsze wymogi i kary za naruszenia bezpieczeństwa cybernetycznego. Na przykład przedsiębiorstwa energetyczne będą musiały wdrożyć bardziej zaawansowane środki ochrony, aby zapobiegać atakom, które mogłyby zakłócić dostawy energii. Z kolei firmy z sektora zdrowia, które przechowują wrażliwe dane pacjentów, będą musiały wprowadzić dodatkowe zabezpieczenia, aby chronić te informacje przed kradzieżą i nieautoryzowanym dostępem. Dyrektywa NIS2, która zastępuje wcześniejszą dyrektywę NIS, znacząco rozszerza zakres sektorów i typów podmiotów objętych jej regulacjami, a także wprowadza podział na „podmioty niezbędne” i „podmioty istotne”:
- Podmioty niezbędne (Essential Entities): Obejmują najważniejsze sektory, takie jak energia, transport, zdrowie, wodociągi, administracja publiczna i infrastruktura cyfrowa. Podmioty te są poddane bardziej rygorystycznym nadzorom i muszą spełniać zaawansowane wymogi bezpieczeństwa.
- Podmioty istotne (Important Entities): Obejmują sektory takie jak produkcja żywności, chemikalia, usługi pocztowe i kurierskie oraz produkcja farmaceutyczna. Podmioty te podlegają nadzorowi reaktywnemu, tj. nadzorowi po wystąpieniu incydentu.
Kary za nieprzestrzeganie wymagań NIS2 są znaczne. W przypadku podmiotów istotnych (important entities) kara może wynosić do 7 milionów euro lub 1,4% rocznego obrotu globalnego, w zależności od tego, która kwota jest wyższa. Dla podmiotów niezbędnych (essential entities) kary są jeszcze surowsze i mogą sięgać do 10 milionów euro lub 2% rocznego obrotu globalnego, w zależności od tego, która kwota jest wyższa. (https://nis2directive.eu/nis2-fines/).
Gdzie są zawarte główne wymagania NIS2?
Dyrektywa NIS2 stawia na kompleksowe zarządzanie ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych. Większość kluczowych wymagań dyrektywy NIS2 znajduje się w artykułach 21 i 23. Ich opis jest następujący:
- Artykuł 21 – Środki zarządzania ryzykiem cyberbezpieczeństwa
Artykuł 21 określa obowiązki podmiotów dotyczące zarządzania ryzykiem cyberbezpieczeństwa. Podmioty te muszą podjąć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych oraz zapobiegać incydentom lub minimalizować ich wpływ. W szczególności artykuł 21 wymaga:
- Prowadzenia analiz ryzyka i tworzenia polityk bezpieczeństwa systemów informacyjnych.
- Zarządzania incydentami, w tym procedurami reagowania na incydenty.
- Utrzymania ciągłości działania, planowania awaryjnego oraz zarządzania kryzysowego.
- Zabezpieczenia łańcucha dostaw.
- Zabezpieczenia systemów informacyjnych w procesach nabywania, rozwoju i utrzymania.
- Regularnej oceny skuteczności środków zarządzania ryzykiem.
- Promowania podstawowych praktyk cyberhigieny oraz szkoleń z zakresu cyberbezpieczeństwa.
- Stosowania kryptografii i szyfrowania, gdzie jest to stosowne.
- Ochrony zasobów ludzkich, polityk dostępu i zarządzania zasobami.
- Stosowania uwierzytelniania wieloskładnikowego i bezpiecznej komunikacji.
(https://www.nis2-info.eu/article-21-cybersecurity-risk-management-measures/)
- Artykuł 23 – Obowiązki raportowania
Artykuł 23 określa obowiązki związane z raportowaniem incydentów. Podmioty muszą zgłaszać wszelkie istotne incydenty cyberbezpieczeństwa do odpowiednich organów w ciągu 24 godzin od ich wykrycia. Dodatkowo w ciągu 72 godzin od zgłoszenia incydentu podmioty muszą dostarczyć bardziej szczegółowy raport, zawierający wstępną ocenę wpływu incydentu, jego nasilenia oraz dostępne wskaźniki naruszenia. Ostateczny raport powinien być dostarczony w ciągu miesiąca od zgłoszenia i zawierać szczegółowy opis incydentu, jego wpływ oraz zastosowane środki zaradcze.
Jak możemy zaadresować wymagania NIS2 dzięki rozwiązań klasy IGA, AM i PAM?
Wymagania dyrektywy NIS2 można zaadresować, wdrażając rozwiązania, które wprost oferują funkcjonalność pozwalającą zredukować ryzyka związane z atakami cybernetycznymi. Możemy tutaj wymienić systemy, o których pisaliśmy już w różnych artykułach poświęconych zagadnieniom zarządzania tożsamością, dostępem i uprawnieniami w organizacjach. Przykładowe zestawienie dla wybranych zagadnień artykułu 21 i 23 możemy znaleźć poniżej:
- Identity Governance and Administration (IGA):
- Kontrola dostępu oparta na rolach (RBAC): Definiowanie i egzekwowanie polityk dostępu na podstawie ról w organizacji.
RBAC umożliwia definiowanie i egzekwowanie polityk, które regulują dostęp użytkowników do zasobów na podstawie ich roli w organizacji. Jest to najważniejsze dla zmniejszenia złożoności zarządzania uprawnieniami oraz zapewnienia, iż użytkownicy mają tylko te prawa dostępu, które są niezbędne do wykonywania ich obowiązków zawodowych. Implementacja RBAC w ramach IGA jest zgodna z wymogami artykułu 21 dyrektywy NIS2, który nakazuje odpowiednie zarządzanie ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych.
- Zautomatyzowane kontrole dostępu: Minimalizacja ryzyka nieautoryzowanego dostępu.
Automatyzacja procesów związanych z kontrolą dostępu minimalizuje ryzyko nieautoryzowanego dostępu oraz naruszeń danych. Dzięki temu organizacje mogą lepiej zarządzać dostępem do wrażliwych informacji i zasobów, co jest zgodne z zaleceniami NIS2 dotyczącymi zarządzania ryzykiem.
- Przeglądy i recertyfikacje dostępu: Ciągła zgodność z politykami dostępu.
Regularne przeglądy i ponowne certyfikacje uprawnień dostępu są najważniejsze dla zapewnienia ciągłej zgodności z politykami dostępu oraz identyfikowania i korygowania niezgodności. Te działania wspierają ciągłą ocenę ryzyka i jego łagodzenie, co jest wymagane przez artykuł 21 NIS2.
- Segregacja obowiązków (SoD): Zapobieganie nadużyciom i nieodpowiedniemu dostępowi.
Segregacja obowiązków jest niezbędna do zarządzania ryzykiem operacyjnym i bezpieczeństwa, zapobiegając możliwości nadużyć lub nieodpowiedniego dostępu. Implementacja kontroli SoD jest zgodna z kompleksowymi strategiami zarządzania ryzykiem, które są zalecane w artykule 21.
- Access Management (AM):
- Wieloskładnikowe uwierzytelnianie (MFA): Dodanie warstwy zabezpieczeń weryfikacji dostępu.
MFA dodaje dodatkową warstwę zabezpieczeń, wymagając wielu form weryfikacji przed udzieleniem dostępu. To znacząco obniża ryzyko nieautoryzowanego dostępu i jest najważniejsze dla skutecznego zarządzania ryzykiem, co jest zgodne z wymogami NIS2 dotyczącymi zarządzania ryzykiem i bezpieczeństwa systemów.
- Privileged Access Management (PAM):
- Bezpieczne przechowywanie danych uwierzytelniających: Ochrona przed kradzieżą i niewłaściwym wykorzystaniem danych.
Zapewnienie bezpiecznego przechowywania danych uwierzytelniających zapobiega ich kradzieży i niewłaściwemu wykorzystaniu, co znacząco poprawia zarządzanie ryzykiem związanym z dostępem. Bezpieczne przechowywanie danych jest najważniejsze dla ochrony wrażliwych informacji i zasobów.
- Automatyczne zakończenie sesji: Reakcja na potencjalne zagrożenia i minimalizacja ryzyka.
Automatyczna reakcja na potencjalne zagrożenia poprzez zakończenie sesji pomaga w zarządzaniu i minimalizowaniu ryzyka związanego z błędami ludzkimi lub działaniami złośliwymi. To działanie jest zgodne z zaleceniami NIS2 dotyczącymi zarządzania ryzykiem.
Czy to wystarczy, żeby być zgodnym z NIS2?
Opisane w poprzedniej części artykułu powiązania wymagań dyrektywy NIS2 są tylko próbą zwrócenia uwagi na aspekty technologiczne, które mogą być wykorzystane przy planowaniu procesu zapewniania zgodności organizacji z tą regulacją. Nie możemy zapominać o pozostałych aspektach, takich jak na przykład:
- szczegółowa ocena ryzyka, aby zidentyfikować i ocenić potencjalne zagrożenia dla bezpieczeństwa sieci i informacji,
- polityka zarządzania incydentami bezpieczeństwa, która obejmuje procedury wykrywania, raportowania i reagowania na incydenty,
- regularne testy i ćwiczenia scenariuszy incydentów, aby upewnić się, iż personel jest dobrze przygotowany do reagowania,
- szkolenia dla pracowników w zakresie bezpieczeństwa informacji i dobrych praktyk cyberbezpieczeństwa,
- podnoszenie świadomości na temat zagrożeń cybernetycznych i zachęcanie do zgłaszania podejrzanych aktywności,
- opracowanie planu zarządzania ciągłością działania, który zapewni utrzymanie kluczowych funkcji i usług w przypadku wystąpienia incydentu,
- regularne testowanie i aktualizowanie planu ciągłości działania.
Jak widzimy, adresowanie wymagań NIS2 wymaga holistycznego podejścia do zarządzania bezpieczeństwem informacji, angażującego zarówno aspekty technologiczne, jak i organizacyjne. Regularne przeglądy i aktualizacje polityk oraz procedur są najważniejsze dla utrzymania zgodności i ochrony przed nowymi zagrożeniami. Wierzymy, iż wejście w życie nowej ustawy, której projekt został opublikowany 24 maja 2024, rozwieje wątpliwości związane z NIS2 w środowisku polskich firm.