Dobre namjere kibernetičke sigurnosti za 2023. ili mjere kibernetičke sigurnosti propisane zakonom?

NIS2, novi Zakon o kibernetičkoj sigurnosti.

Direktiva NIS2 (mrežni i informacijski sustavi) donesena je u studenome 2022. kao nova Europska direktiva o kibersigurnosti i nalaže nekoliko stvari koje organizacije moraju poštovati kako bi spriječile kiberkriminalce. Još niste čuli za to? Možda je dobra stvar za čitanje! Budući da NIS2 uključuje i administrativnu odgovornost i odgovornost za fizičke osobe.

Zakonodavstvo do sredine 2024. godine!

Kao i europski GDPR za zakonodavstvo o privatnosti, europski NIS2 također postaje obvezno zakonodavstvo za dolje navedene organizacije. GDPR je postao AVG u Nizozemskoj, NIS2 ima i nizozemski naziv, NIB2 (Direktiva o mrežnoj i informacijskoj sigurnosti). Kao nizozemsko zakonodavstvo morat će se provesti u drugoj polovici (rujan) 2024. (21 mjesec nakon donošenja). Usput, to se odnosi na svih 27 europskih država članica.

"2" proizlazi iz činjenice da je NIS već postojao, naime od 2016. godine. Od tog NIS-a(1) 2018. godine nastao je Zakon o sigurnosti WBNI-ja, mrežnih i informacijskih sustava, kojim je uvedena zakonska obveza obavješćivanja i sigurnosne mjere za pružatelje digitalnih usluga (DSP) i pružatelja osnovnih usluga (AED), kao što su elektroenergetske tvrtke i pružatelji pitke vode. Usput, DSP i AED se više ne spominju u NIS2.

Posljednjih godina pokazalo se da mnoge organizacije nisu u dovoljnoj mjeri poduzele takozvane "osnovne mjere" koje je spomenuo i Nacionalni centar za kibernetičku sigurnost (https://www.ncsc.nl/onderwerpen/basismaatregelen). Pokazalo se da su mnoge organizacije osjetljive na kibernapade. Mnogo puta je pogođeno mnogo više organizacija nego samo organizacija koja je i sama bila meta, tako da je utjecaj često ogroman. NIS2 bi trebao ojačati kiberotpornost podizanjem razine sigurnosti i provedbom donošenja "osnovnih mjera" za sprečavanje kibernapada i smanjenje njihova učinka.

NIS2 nije samo materijalno ažuriranje NIS-a, pa će sada biti i lokalni nizozemski zakon (NIB2), kao i u svim drugim državama članicama EU- a. Osim toga, velika promjena je opseg. Dok je prije uglavnom usmjeren na gore navedene pružatelje usluga u zračnoj plovidbi i direktive o radu, uglavnom velike organizacije koje su ključne za kritičnu infrastrukturu, sada će utjecati i na organizacije koje su važne za to i organizaciju koja ih opskrbljuje. Osim toga, veličina više nije važna. Stoga je vrlo moguće da vaša organizacija bude pokrivena NIS2. Pretpostavlja se da je oko 160.000 organizacija u Europi obuhvaćeno NIS2 i oko 4.500 organizacija u Nizozemskoj.

Osim toga, NIS2 će također osigurati da se ulažu zajednički napori unutar sektora i država članica EU-a kako bi se povećalo i ubrzalo izvješćivanje o incidentima.

Na koga se to odnosi?

NIS2 obuhvaća organizacije koje imaju poslovne aktivnosti obuhvaćene "ključnim aktivnostima" u sljedećim ključnim ključnim sektorima:

• Energija
• Transport
• Bankarstvo
• Infrastrukturno financijsko tržište
• Zdravstvene
• Opskrba vodom za piće (otpad)
• Digitalna infrastruktura
• Upravljanje IKT uslugama (B2B)
• Vlada
• Zarčni prostor

To sada uključuje organizacije koje nude ključne aktivnosti kao što su:

• Pružatelji platformi društvenih mreža
• Pomoćni pružatelji usluga digitalne infrastrukture (kao što su pružatelji javnih elektroničkih komunikacijskih mreža i usluga)
• Pružatelji upravljanja IKT uslugama
• Državne službe
• Poštanske i kurirske usluge
• Proizvodnja, proizvodnja i distribucija kemikalija
• Subjekti uključeni u proizvodnju, preradu i distribuciju prehrambenih proizvoda
• Određeni proizvođači (npr. medicinske opreme, IT-a ili elektroničkih komponenti, strojeva, motornih vozila ili drugih prijevoznih sredstava
• Farmaceutske tvrtke
• Istraživačke institucije
• Gospodarenje otpadom

Ako ste pružatelj usluga u vezi s tim aktivnostima i imate više od 50 zaposlenika i promet veći od 10 milijuna, tada ste pokriveni NIS2. Ali NIS2 se odnosi na cijeli lanac. Dakle, ako poslujete s bilo kojom od ovih organizacija, tada ćete također potpasti pod NIS2 ili će vam zahtjevi biti postavljeni, a ta će činjenica posebno utjecati na mnoge organizacije!

Vladine ovrhe i novčane kazne

Kao što je navedeno u uvodu, države članice EU-a pretočit će NIS2 u lokalno zakonodavstvo, a to bi trebalo biti na snazi do početka 2024. (što je uskoro). Države članice bliskije će surađivati međusobno i s EU-om te bi trebale uspostaviti jedan ili više timova za odgovor na incidente u računalnoj sigurnosti. U Nizozemskoj je određeni broj tih CSIRTS-ova već aktivan za određene skupine.

Nepoštivanje NIS2 moglo bi rezultirati novčanim kaznama od čak 2 % globalnog prometa, s najviše 10 milijuna eura. Proces će se razlikovati od GDPR-AVG-a, jer tamo proces stupa na snagu tek nakon kršenja podataka. S NIS2-om će se također moći revidirati pod sumnjom na kršenje podataka ili se mogu provesti i nasumične revizije. Treba napomenuti da će ključni subjekti biti pod potpunim nadzorom. Za važne subjekte nadzor će biti ex post. S NIS2, usput, postoji administrativna odgovornost i odgovornost!

Ostaje za vidjeti tko će i kako provoditi ovrhe. Kruže glasine da bi ovo moglo pasti na telekom agenciju. Ovaj regulator je preimenovan u Rijksinspectie Digitale Infrastructuur (skraćeno RDI) s učinkom od 1-1-2023, pa možda postoji veza s tim.

Čega se trebam pridržavati?

• Ovisno o tome je li vaša organizacija obuhvaćena bitnim ili većim aktivnostima, morat ćete se pridržavati niza zahtjeva. Postaje važno ugraditi upravljanje rizicima kao proces i, kao rezultat toga, morat će se provesti analize rizika i tretmani rizika.
• Obvezno je registrirati sigurnosne incidente ako oni utječu na dostupnost, cjelovitost ili povjerljivost, kao i na autentičnost podataka. Kao i kod kršenja podataka u okviru AVG-a, oni bi se trebali prijaviti u roku od 72 sata. Čak i u roku od 24 sata ako je dostupnost ugrožena i cjelovito izvješće o incidentu treba podnijeti u roku od mjesec dana. Nadalje, morat će se poduzeti kontinuitet poslovanja, upravljanje pričuvama, oporavak od katastrofa i mjere upravljanja krizama.
• Sigurnost dobavljača i lanca opskrbe u odnosu na dobavljače i pružatelje usluga;
• Opće mjere i osposobljavanje u području kibersigurnosti (vidi popis u nastavku)

Ako poslujete s jednom od tih organizacija koje pružaju bitne i važne aktivnosti, morat ćete imati i poslovanje općih sigurnosnih mjera. Uostalom, očito je da te organizacije također nameću zahtjeve dobavljačima kako bi dokazale da su poduzete minimalne osnovne mjere koje i same moraju poštovati. Uostalom, NIS2 postavlja sigurnosne zahtjeve za lanac, tako da je donji popis (djelomično na temelju osnovnih sigurnosnih zahtjeva NCSC-a) izvrsna osnova:

• Poduzimanje osnovnih mjera kibersigurnosti i osposobljavanje.
• Smjernice i postupci za uporabu šifriranja.
• Sigurnost pristupa, upravljanje imovinom i HR sigurnost
• Osigurajte da svaka aplikacija i sustav generiraju dovoljno podataka zapisnika i poduzmu odgovarajuće zalihe.
• Primijeni višestruku provjeru autentičnosti ako je to potrebno
• Određivanje tko ima pristup vašim podacima i uslugama
• Segmentne mreže
• Šifriraj medij za pohranu koji sadrži osjetljive poslovne podatke
• Provjerite koji su uređaji i usluge dostupni s interneta i zaštitite ih
• Redovito izrađujete sigurnosne kopije i testirajte svoje sustave
• Instaliranje softverskih ažuriranja
• Izbjegavajte viruse i drugi zlonamjerni softver
• Ranjivosti zaliha redovitim procjenama rizika i skeniranjem ranjivosti.

Demonstrabilnost je važna, ISO 27001 certifikat? Ili na neki drugi način?

Još nema NIS2 certifikata. U praksi će mnogi ključni pružatelji i pružatelji ključnih aktivnosti htjeti dokazati usklađenost s NIS2. S obzirom na njihove odgovornosti u lancu opskrbe, oni će zauzvrat također zahtijevati od svojih dobavljača da to učine dokazivim. Očekuje se da će se standard poput ISO 27001 za informacijsku sigurnost češće koristiti u tu svrhu. Uostalom, većina pitanja koja se spominju u NIS2 kao mjere također se rješavaju u ovom standardu, a što se tiče dokazivosti, ovaj će standard biti jednostavan put do NIS2 demonstrabilnosti. Kao dobavljaču u lancu postat će puno lakše nastaviti poslovati s osnovnim pružateljima usluga i pružateljima ključnih aktivnosti.

Brz početak rada s implementacijom i usklađenosti NIS2.

S našim integriranim cybermanager sustavima upravljanja SUIS-om, SUIP-om, SUKS-om i SUKP-om (za informacijsku sigurnost, privatnost, kibersigurnost i kontinuitet poslovanja), nudimo i MSP-ovima i velikim organizacijama rješenje za implementaciju i upravljanje navedenim pitanjima na skalabilan način. Bez obzira jeste li pružatelj bitnih ili ključnih aktivnosti prema NIS2 ili dobavljač s malo drugačijim zahtjevima, uvijek postoji prikladna pretplata za NIS2 i, na primjer, iso 27001 standard.

U CyberManageru dostupna je nadzorna ploča NIS2 povezana s mjerama navedenima u ovom članku, što vam omogućuje da se prvo usredotočite na zahtjeve NIS2 i pokažete njihovu usklađenost. Također možete koristiti iste mjere, kao i dodatne mjere za provedbu ISO 27001. To vam omogućuje da implementirate NIS2 korak po korak, kao i ISO 27001 standard.

Softver CyberManager SUIS nudi standardnu funkcionalnost upravljanja rizicima, registraciju i rukovanje sigurnosnim incidentima, kršenjima podataka, ranjivostima ili drugim tijekovima rada, uključujući obavijesti e-poštom pogođenima, kao i upravljanje privatnošću putem SUIP-a. Osim toga, dostupan je i sustav upravljanja e-učenjem koji se može pokrenuti tako da se može pružiti obuka o podizanju svijesti o riziku i da možete upravljati svojim procjenama i planiranjem kontinuiteta poslovanja putem sustava upravljanja kontinuitetom poslovanja. Kao što je ranije naznačeno, dostupne su nadzorne ploče za NIS2, kao i ISO 27001.

Organizacije koje također koriste standarde kao što su NIST CSF, CSIR/BIACS, IEC 62443 ili, na primjer, CIS kontrole za SUIS ili OT-Security također ih mogu kontrolirati putem CyberManager sustava upravljanja SUIS-om ili SUKS-om.

Da biste saznali više, obratite nam se ovdje ili putem naših partnera. Kliknite ovdje da biste saznali više o našim CyberManager SUIS, SUIP, SUKS & SUKP rješenjima.

Izvor:

NIS2 možete pronaći ovdje na nekoliko jezika

https://eur-lex.europa.eu/eli/dir/2022/2555/oj

https://www.europarl.europa.eu/doceo/document/TA-9-2022-0383_EN.pdf

https://www.europarl.europa.eu/news/en/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience 

https://www.ncsc.nl/onderwerpen/basismaatregelen