0

NIS2, CISO, cyberbezpieczeństwo – are you ready?

Cyberbezpieczeństwo z Senetic

W 2016 roku Unia Europejska wprowadziła dyrektywę o bezpieczeństwie systemów sieciowych i informacyjnych (EU) 2022/2555, znana również jako dyrektywa NIS. NIS2 jest jej drugą wersją i skupia się na dalszym rozwijaniu podejścia zainicjowanego przez Komisję w pierwszej wersji. W skrócie NIS2 wprowadza trzy kluczowe zmiany w porównaniu do swojego poprzednika: poszerzenie zakresu działania, zwiększenie wymogów dotyczących dbałości o bezpieczeństwo oraz dostosowanie obowiązków raportowania incydentów przez podmioty.

Poszerzenie zakresu działania

Nowa dyrektywa rozszerza listę sektorów objętych jej zakresem, wymagając od średnich i dużych przedsiębiorstw wdrożenia środków bezpieczeństwa. Państwa członkowskie mogą również wskazywać mniejsze firmy o wysokim ryzyku.

Zwiększenie wymogów dbałości

Wymogi dbałości oznaczają, że firmy objęte dyrektywą muszą utrzymywać swoją infrastrukturę cyfrową w należytym porządku, zapewniając odpowiednie monitorowanie bezpieczeństwa.

Obowiązek raportowania

Obowiązek raportowania oznacza, że firmy muszą samodzielnie zgłaszać incydenty bezpieczeństwa. Obowiązkowe zgłaszanie dotyczy już wycieków danych, ale będzie także obejmować konieczność raportowania ataków ransomware czy nadużyć w zakresie luk w bezpieczeństwie. Firmy będą również musiały szybciej informować publicznie o incydentach bezpieczeństwa, aby poszkodowane strony mogły podjąć działania. Nowością w porównaniu do dyrektywy NIS jest to, że naruszenie obowiązku raportowania będzie skutkować nałożeniem kary.

Działania CISO

Jako CISO ważne jest, aby zrozumieć wymagania dyrektywy NIS2 i zapewnić zgodność firmy w odpowiednim czasie. Ten artykuł wyjaśnia, czym jest NIS2 i jak przygotować się do niej jako firma. Poniżej przedstawiamy kilka wskazówek dla CISO i osób odpowiedzialnych za bezpieczeństwo w firmie.

Kim jest CISO?

Skrót CISO oznacza Chief Information Security Officer, co w polskim tłumaczeniu oznacza Dyrektora ds. Bezpieczeństwa Informacji. CISO jest odpowiedzialny za całościową strategię bezpieczeństwa informacji w organizacji, w tym za ochronę danych i infrastruktury IT przed cyberatakami, wyciekami danych oraz innymi zagrożeniami dla bezpieczeństwa informacji. Do jego zadań należy również zarządzanie ryzykiem, przestrzeganie przepisów dotyczących ochrony danych i bezpieczeństwa informacji, a także edukacja i podnoszenie świadomości w zakresie bezpieczeństwa cyfrowego wśród pracowników organizacji.

Procesy i procedury

Każda firma, na którą rozciąga się zakres dyrektywy NIS2, musi posiadać techniczne i organizacyjne środki w zakresie cyberbezpieczeństwa. Jeśli są one już wdrożone, należy jedynie sprawdzić, czy będą one zgodne z nowym prawodawstwem. Jeśli środki te nie są jeszcze wdrożone, należy rozpocząć prace. Można na przykład opracować procedury raportowania incydentów i plan ciągłego dostosowywania się do tych procedur. Ponieważ NIS2 dotyczy całej firmy, chodzi również o współpracę między działami i interesariuszami; każdy musi rozumieć swoje obowiązki i pracować nad zgodnością.

Firmy muszą również zapewnić szkolenia z zakresu świadomości pracowników w tym zakresie. Obejmuje to wiedzę, na co zwracać uwagę w e-mailach phishingowych, co robić, gdy ktoś przez przypadek kliknie niewłaściwy link, i jak postępować z nieznanymi osobami bez widocznego identyfikatora na terenie firmy.

Planet WiFi6 VPN switch

Odpowiedzialność i egzekwowanie

Odpowiedzialność za zapewnienie dobrej postawy bezpieczeństwa spoczywa na zarządzie firmy. Jeśli nie jest to jeszcze zrealizowane, ważne jest, aby znalazło się to w agendzie zarządu. W tym kontekście istotne jest posiadanie odpowiednich uprawnień do podejmowania działań. Jeszcze nie wiadomo, jak będzie wyglądać egzekwowanie dyrektywy. Legislacja jest w trakcie opracowywania i ma zostać zakończona do 17 października 2024 roku, dzięki czemu firmy mają czas na przeprowadzenie analizy podatności i opracowanie planu na odpowiednie zabezpieczenie swojej infrastruktury.

Wdrażanie wytycznych NIS

Ocena systemów jest kluczowa dla CISO, aby zrozumieć aktualny stan bezpieczeństwa systemów sieciowych i informacyjnych. Pozwala to na ustalenie obszarów wymagających poprawy i szybkie działanie w celu zabezpieczenia najważniejszych obszarów.

Współpraca z interesariuszami jest niezbędna, jak wspomniano wcześniej. Dotyczy to różnych osób, na przykład pracowników w firmie, którzy muszą być zaznajomieni z procedurami bezpieczeństwa, aby mogli zgłosić incydent bezpieczeństwa odpowiedniej osobie. Klienci i firmy współpracujące w ekosystemie danego przedsiębiorstwa muszą również być świadome wymagań dyrektywy NIS oraz możliwych konsekwencji.

Bitdefender

Przykłady rozwiązań dla Twojej firmy

W ramach dyrektywy NIS2 można wdrożyć różne produkty: zapory sieciowe, rozwiązania VPN dla zdalnego dostępu, rozwiązania antywirusowe czy systemy kopii zapasowych. Jeżeli chcesz zwiększyć poziom bezpieczeństwa w swojej firmie, polecamy rozwiązania takie jak:

Firewall czy VPN od Zyxel lub Fortinet, które zabezpieczają przed nieautoryzowanym dostępem i pozwalają na bezpieczne połączenie zdalne.

– Rozwiązania antywirusowe od Bitdefender, chroniące przed złośliwym oprogramowaniem.

Systemy kopii zapasowych od Veeam i Veritas, zapewniające ochronę danych i ich odzyskiwanie w przypadku awarii.

Implementacja tych rozwiązań, w połączeniu z przestrzeganiem wytycznych NIS2, wzmacnia odporność cyfrową firmy i chroni jej systemy oraz dane poufne.

Avatar

Senetic.pl

Zostańmy w kontakcie!
Dołącz do naszego newslettera i bądź zawsze na bieżąco z naszymi promocjami i nowościami
Naciskając „Zapisz się” wyrażasz zgodę na otrzymywanie informacji marketingowych na podany adres e-mail. Administratorem Twoich danych osobowych będzie Senetic SA z siedzibą w ul. Kościuszki 227, 40-600 Katowice, Polska. Masz prawo żądania dostępu do danych osobowych oraz do ich sprostowania, usunięcia, lub ograniczenia przetwarzania, a także wniesienia sprzeciwu wobec przetwarzania. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.
Dziękujemy!
Zostałeś zapisany do naszego newslettera.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Time limit is exhausted. Please reload the CAPTCHA.