Znaczny wzrost liczby incydentów naruszenia danych w ostatnich latach sprawił, że Unia Europejska wprowadziła zmiany w regulacjach dotyczących bezpieczeństwa sieci i informacji. Nowa dyrektywa, nazywana NIS2, ma zwiększać ogólny poziom cyberbezpieczeństwa i możliwości reagowania na incydenty w firmach z UE. Zdaniem ekspertów WithSecure wejście w życie nowych przepisów dla wielu przedsiębiorstw może być dobrą okazją do poprawy swoich systemów ochrony. Rozporządzenie NIS2 wprowadza nowe wymagania dla firm, dotyczące zabezpieczenia
m.in. infrastruktury sieciowej urządzeń służbowych i danych w chmurze. Dyrektywą objęte zostaną przedsiębiorstwa z wielu branż, od energetyki po producentów preparatów farmaceutycznych.
Regulacje wynikające z dyrektywy NIS2 staną się częścią przepisów krajów członkowskich 17 października 2024 r. Największe zawarte w niej zmiany dotyczą zgłaszania incydentów naruszenia bezpieczeństwa oraz konieczności monitorowania sieci informatycznej.
– Nowa unijna dyrektywa zmusza firmy do opracowania bardziej kompleksowego podejścia do zarządzania ryzykiem. Wprowadzenie NIS2 może wydawać się dodatkowym obciążeniem, ale to milowy krok w kierunku zwiększenia bezpieczeństwa zarówno firm, jak i ich klientów. Dlatego stworzyliśmy listę pytań dla dyrektorów, menadżerów i specjalistów ds. bezpieczeństwa, które pomogą określić czy ich przedsiębiorstwa spełniają nowe wymogi -– mówi Leszek Tasiemski, wiceprezes firmy WithSecure.
Eksperci WithSecure opracowali listę pytań, które mogą pomóc przygotować przedsiębiorców do wymagań dyrektywy NIS2:
1. Czy firma posiada procedury zarządzania incydentami związane ze zgłaszaniem sygnałów ostrzegawczych właściwym organom w ciągu maksymalnie doby?
2. Czy przedsiębiorstwo jest w stanie powiadamiać o zdarzeniach w ciągu 72 godzin, na żądanie aktualizować status analizowanego incydentu i w ciągu miesiąca sporządzić raport na jego temat?
3. Czy w firmie regularnie przeprowadzane są oceny ryzyka, obejmujące zagrożenia dla bezpieczeństwa informacji oraz łańcucha dostaw?
4. Czy firma zapewnia szkolenia z zakresu bezpieczeństwa dla wszystkich pracowników, w tym menadżerów, kadry zarządzającej i członków zarządu?
5. Czy firma ma wdrożony plan ciągłości działania na wypadek utraty danych wskutek awarii lub cyberataku – i czy regularnie go sprawdza?
6. Czy firma opracowała plany odzyskiwania danych oraz procedury zarządzania kryzysowego?
7. Czy firma stosuje środki bezpieczeństwa informacji przy zawieraniu umów ze swoimi bezpośrednimi dostawcami i usługodawcami?
8. Czy firma spełnia wymagania dotyczące bezpieczeństwa informacji w kwestiach wewnętrznych i zlecanych na zewnątrz funkcji IT?
9. Czy firma regularnie przeprowadza wewnętrzne audyty i testy penetracyjne aby ocenić stan bezpieczeństwa i poziom wykrywania luk w zabezpieczeniach?
10. Czy firma może spełnić wymagania określone w NIS2 w przeciągu 21 miesięcy?
Cyberochrona już teraz jest wyzwaniem
Z badania zrealizowanego przez Forrester Consulting na zlecenie firmy WithSecure wynika, że obecnie 6 na 10 firm reaguje na problemy z cyberbezpieczeństwem doraźnie. Zespoły IT podejmują działania dopiero wtedy, gdy pojawiają się problemy. NIS2 nałoży na firmy obowiązek stałego monitorowania sytuacji i zgłaszania incydentów. Wiele przedsiębiorstw stanie przed koniecznością modernizacji systemów ochronnych oraz powiększania zespołu zajmującego się cyberbezpieczeństwem. Nie wszystkie firmy będą w stanie realizować założenia dyrektywy na własną rękę – dotyczy to nawet największych organizacji.
– Przedsiębiorcy już teraz powinni pomyśleć o skorzystaniu z usług dostawcy rozwiązań bezpieczeństwa i zarządzania ryzykiem. Mogą one pomóc w szacowaniu potencjalnych zagrożeń, sprawdzeniu gotowości firmy na incydenty oraz planowaniu ciągłości działania i odzyskiwania danych po awarii – dodaje Tasiemski.