Wiadomości firmowe

Co oznacza dyrektywa NIS 2 dla dostawców usług zarządzalnych?

11.08.2023
Rosnąca liczba incydentów bezpieczeństwa skłoniła UE do przyjrzenia się branżom wyjątkowo narażonym na ataki. Problematyczne były sektory takie jak energetyka, transport czy finanse. W celu poprawienia bezpieczeństwa narodziła się inicjatywa NIS.

NIS

Dyrektywa NIS została wprowadzona w 2016 roku, aby wzmocnić istniejące normy prawne, nadążyć za rosnącą cyfryzacją i wciąż ewoluującym krajobrazem zagrożeń cybernetycznych. Dyrektywa rozszerzyła zakres zasad na nowe podmioty i sektory, poprawiła odporność i zdolność reagowania na incydenty podmiotów publicznych i prywatnych oraz ustanowiła wspólne zasady mające na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej.

W kolejnych latach stało się jednak jasne, że pierwotne ustawodawstwo zawierało pewne braki, które należało przeanalizować i uzupełnić.

 

NIS 2

Pierwsza dyrektywa w sprawie bezpieczeństwa sieci i informacji sprawiła, że wiele państw członkowskich interpretowało ją w różny sposób, pozostawiając luki w zabezpieczeniach i kwestionując jej cel. NIS 2 to aktualizacja poprzednich przepisów, która eliminuje braki, określając, jakie praktyki w zakresie bezpieczeństwa cybernetycznego są ważne, jakich niezbędnych dostawców muszą wprowadzić organizacje do 2024 roku, a także w jaki sposób należy zgłaszać naruszenia władzom europejskim.

 

Jaki jest cel NIS 2?

Kryzys związany z COVID-19 i wynikająca z niego przyspieszona transformacja cyfrowa zmusiły UE do ponownego przeglądu dyrektywy, przeanalizowania wpływu i zidentyfikowania braków stworzonych przez nową erę digitalizacji.

Powołana komisja stwierdziła następujące luki:

  • niewystarczający poziom cyberbezpieczeństwa przedsiębiorstw działających w UE,
  • niespójna odporność w poszczególnych państwach członkowskich i sektorach,
  • niewystarczające wspólnie zrozumienie głównych wyzwań i problemów w UE,
  • brak wspólnej reakcji kryzysowej.

 

Dyrektywa NIS 2 rozszerza podstawę dla środków zarządzania ryzykiem cybernetycznym i obowiązków sprawozdawczych w całej Unii Europejskiej w początkowych sektorach, w tym w energetyce i transporcie. Nowe przepisy obejmują także opiekę zdrowotną i infrastrukturę cyfrową. Rozszerzają one zasady dotyczące ram regulacyjnych i określają mechanizmy skutecznej współpracy na niemal całym kontynencie. Dyrektywa aktualizuje również wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz zapewnia środki zaradcze i sankcje w celu egzekwowania przepisów.

 

Kiedy nowe przepisy wchodzą w życie?

W listopadzie ubiegłego roku Rada przyjęła dyrektywę NIS 2 i opublikowała ją w grudniu 2022 roku, oficjalnie zastępując uchylając NIS (2016/1148/WE). Państwa członkowskie muszą włączyć nowe przepisy do prawa krajowego w ciągu 21 miesięcy od opublikowania dyrektywy. Oznacza to, że uchwała wejdzie w życie w październiku 2024 roku.

 

Kogo dotyczy NIS 2?

Dyrektywa ma zastosowanie do wszystkich firm, dostawców i organizacji, które świadczą podstawowe lub ważne usługi dla europejskiej gospodarki i społeczeństwa.

Przykłady istotnych podmiotów obejmują:

  • transport,
  • sektor energetyczny,
  • bankowość i finanse,
  • sektor zdrowotny,
  • gospodarkę wodną,
  • administrację publiczną,
  • dostawców usług zarządzalnych.

 

Przykłady ważnych jednostek to:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja i przetwórstwo chemiczne,
  • produkcja żywności,
  • produkcja urządzeń medycznych,
  • dostawcy usług cyfrowych (np. wyszukiwarki, platformy społecznościowe).

 

NIS 2 ma również zastosowanie do dostawców spoza wspólnoty, jeśli świadczą oni podstawowe lub ważne usługi na terenie Unii.

 

NIS 2 pociąga kierownictwo organizacji do:

  • zapewnienia przeprowadzania ocen ryzyka cybernetycznego,
  • wdrażania technicznych i organizacyjnych środków bezpieczeństwa,
  • szkoleń i programów zarządzania ryzykiem.

 

Ponadto państwa członkowskie muszą zapewnić władzom UE możliwość nakładania grzywien:

  • dla podmiotów o kluczowym znaczeniu o wartości co najmniej 10 mln euro lub 2% światowego rocznego obrotu,
  • dla ważnych podmiotów o wartości co najmniej 7 mln euro lub 1,4% światowego rocznego obrotu.

 

Co dyrektywa NIS 2 oznacza dla dostawców usług MSP?

Jak wspomniano wcześniej, NIS 2 zostało stworzone w celu wyeliminowania niedociągnięć poprzednich przepisów.

Obowiązująca dyrektywa wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw poprzez narzucenie podejścia do zarządzania ryzykiem, które zawiera minimalny wykaz podstawowych elementów bezpieczeństwa, jakie należy stosować. Doprecyzowano również przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń oraz terminów.

Ponadto komisja proponuje zająć się bezpieczeństwem łańcuchów dostaw i relacji z dostawcami, wymagając od poszczególnych przedsiębiorstw zajęcia się zagrożeniami w tym obszarze.

 

Co to oznacza dla dostawców usług zarządzalnych (MSP)?

NIS 2 wprowadza zasadę wielkości maksymalnej. Oznacza to, że zostaną nią objęte wszystkie średnie przedsiębiorstwa we wskazanych sektorach.

Przepisy mają na celu ustanowienie minimalnych zasad dotyczących ram regulacyjnych stosowanych przez rządy i przedsiębiorstwa, ustanawiając silniejsze środki bezpieczeństwa cybernetycznego.

 

Obejmuje to poniższą liczbę praktyk, do których włączenia podmioty i dostawcy będą zobowiązani:

  • analiza ryzyka i polityki bezpieczeństwa systemów informatycznych,
  • obsługa incydentów,
  • ciągłość biznesowa i zarządzanie kryzysowe,
  • bezpieczeństwo łańcucha dostaw,
  • nabywanie, rozwijanie i utrzymywanie bezpiecznych sieci i systemów,
  • ujawnianie luk w bezpieczeństwie,
  • zasady i procedury oceny skuteczności środków,
  • podstawowe praktyki w zakresie higieny komputera i szkolenia z zakresu cyberbezpieczeństwa,
  • zasady i procedury dotyczące korzystania z kryptografii i szyfrowania,
  • bezpieczeństwo kadrowe,
  • korzystanie z usługi MFA, zabezpieczonej komunikacji i zabezpieczonej komunikacji awaryjnej.

 

Jak Datto pomoże zachować zgodność z dyrektywą NIS 2?

NIS 2 przewiduje szereg działań związanych z cyberbezpieczeństwem, w szczególności te związane z analizą ryzyka, reagowaniem na incydenty, ciągłością działania i reagowaniem na incydenty.  Datto pomaga rozwiązać te problemy i oferuje szereg rozwiązań, które pomogą zachować zgodność z przepisami i chronić zasoby.

W naszej ofercie mamy rozwiązanie Datto RMM, które zapewnia wgląd w zasoby sieciowe i może zautomatyzować proces zarządzania poprawkami. W ten sposób administratorzy poprawiają sytuację podatności za zagrożenia, co oszczędza czas dzięki automatyzacji zarządzania poprawkami.

 

Datto oferuje również wiele rozwiązań zapewniających ciągłość biznesową i przywracanie danych po awarii, dzięki czemu firmy po wystąpieniu ataku mogą odzyskać zasoby w rekordowym czasie.

NIS 2 ma na celu wzmocnienie bezpieczeństwa w krytycznych sektorach rządu UE i przedsiębiorstw, które działają w niej lub na jej terenie. Wdrożenie dyrektywy jest obowiązkiem państw członkowskich, które mają uchwalić przepisy ustawowe i wykonawcze w celu jej przestrzegania. Firmy działające w Unii Europejskiej będą musiały przyjrzeć się swoim praktykom i rozwiązaniom w zakresie bezpieczeństwa, aby upewnić się że są zgodne z nowym prawem.

Jesteśmy do twojej dyspozycji i zachęcamy do kontaktu z renata.kuts|ceecloud.pl| target="_blank"|Renatą Kuts|, aby pomóc dobrać odpowiednie rozwiązania zapewniające zgodność z NIS 2.

Wiadomości firmowe Bakotech powiększa swoje portfolio o rozwiązania Picus Security

Kolejny producent wzbogacił portfolio Bakotechu, krakowskiego dystrybutora rozwiązań cyberbezpieczeństwa. Do jego oferty dołączył Picus Security – dostawca oferujący narzędzia do walidacji kontroli bezpieczeństwa, umożliwiające mierzenie i optymalizację skuteczności systemów wykrywania i reagowania. Działania te mają skutkować zmniejszeniem ekspozycji na zagrożenia dzięki rzeczywistym symulacjom ataków. czytaj więcej

Wiadomości firmowe Archiwizowanie wiadomości e-mail w programie Microsoft Outlook: Tajemniczy przycisk "Archiwum"

Czy kiedykolwiek korzystałeś z tego przycisku? Czy zdarzyło Ci się przypadkowo kliknąć go, próbując usunąć konkretną wiadomość e-mail? A może świadomie zdecydowałeś się skorzystać z tej funkcji? Choć niektórzy użytkownicy mogą uznać tę opcję za użyteczną, warto zauważyć, że jej zastosowanie może prowadzić do wielu błędów. Przede wszystkim, należy podkreślić, że przycisk "Archiwum" nie spełnia wszystkich oczekiwań stawianych profesjonalnym narzędziom do archiwizacji wiadomości e-mail. czytaj więcej

Wiadomości firmowe Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

Wykorzystanie AI w narzędziach cyberbezpieczeństwa staje się coraz bardziej powszechne, a przykład rozwoju Energy Logserver doskonale obrazuje, jak zaawansowane technologie mogą rewolucjonizować pracę analityków w dziedzinie bezpieczeństwa informacji. Narzędzia te nie tylko usprawniają wykrywanie zagrożeń, ale również zwiększają skuteczność i szybkość reakcji na incydenty cybernetyczne. czytaj więcej

Wiadomości firmowe Cyberzagrożenia z jakimi muszą się zmagać każdej wielkości firmy, w tym Volkswagen Słowacja.

W ciągu ostatnich kilku lat liczba i dotkliwość cyberataków na organizacje znacznie wzrosła. Ataki te przybierają różne formy, w tym oprogramowanie ransomware, rozproszoną odmowę usługi (DDoS), naruszenia bezpieczeństwa danych, zagrożenia wewnętrzne i wiele innych. W rezultacie zespoły ds. cyberbezpieczeństwa znajdują się pod ogromną presją, aby zmniejszyć ryzyko dla swoich organizacji. czytaj więcej

Wiadomości firmowe 6 powodów dlaczego Twoja firma potrzebuje firewalli

Cyberataki rozwijają się w zastraszającym tempie, stając się coraz bardziej zaawansowane i trudne do wykrycia. Firewall, będący urządzeniem zabezpieczającym sieć, tworzy barierę ochronną między wewnętrznymi a zewnętrznymi sieciami. Kontroluje, monitoruje i filtruje ruch sieciowy na podstawie zdefiniowanych zasad bezpieczeństwa, decydując o dopuszczeniu lub zablokowaniu danych pakietów. czytaj więcej

Wiadomości firmowe Modernizacja infrastruktury cyberbezpieczeństwa w szpitalach i obiektach medycznych: kluczowe znaczenie zapór sieciowych

W obecnym krajobrazie technologicznym, gdzie dane stają się coraz bardziej cenne i podatne na ataki, modernizacja infrastruktury cyberbezpieczeństwa w placówkach medycznych nie jest już tylko opcją – to konieczność. Szczególnie w szpitalach i innych obiektach medycznych, gdzie obróbka i przechowywanie danych pacjentów są kluczowe dla codziennego funkcjonowania, ochrona tych informacji musi być priorytetem. czytaj więcej

Wiadomości firmowe Zabezpieczanie firmy w erze NIS2: przewodnik

Dyrektywa NIS2, czyli Network and Information Systems Directive 2, zwraca uwagę na konieczność wzmocnienia cyberbezpieczeństwa przez dostawców usług podstawowych i cyfrowych w Unii Europejskiej. Dostosowanie się do jej zasad jest kluczowe dla zapewnienia bezpieczeństwa. Poniższa lista kontrolna ułatwia nawigację po nowych regulacjach i wskazuje, jak narzędzia takie jak GFI LanGuard mogą okazać się przydatne w tym procesie. czytaj więcej

Wiadomości firmowe Jak sklepy mogą zwiększyć swoje cyberbezpieczeństwo w sezonie świątecznym?

Okres zimowy oznacza dla sprzedawców nie tylko wzmożoną aktywność handlową, ale i zwiększone ryzyko ataku. Hakerzy kierują swoją uwagę zwłaszcza tam, gdzie w grę wchodzą duże pieniądze, a do takich zdecydowanie należą zakupy przedświąteczne. Jednak bezpośrednim celem cyberprzestępców są nie tylko finanse. Ze względu na obecną cyfryzację i wszechobecność płatności online, potężna ilość wrażliwych danych przechowywanych przez organizacje detaliczne stanowi ogromną zachętę dla wielu hackerów czytaj więcej

Wiadomości firmowe Trzy ataki na dane, które wstrząsnęły branżą technologiczną

W dzisiejszym dynamicznie rozwijającym się świecie cyfrowym, zagrożenia cybernetyczne są nieustannym wyzwaniem, stanowiąc poważne ryzyko przez cały rok. Z alarmującą regularnością, niemal 4000 nowych ataków codziennie uderza w organizacje, a statystyki wskazują, że co 14 sekund firma staje się ofiarą ataku typu ransomware. czytaj więcej

Wiadomości firmowe Czy pracownicy potrzebują szkoleń w zakresie cyberbezpieczeństwa?

Odpowiedź na to pytanie jest oczywista. W sieci nie brakuje porad, wskazówek, nakazów i wytycznych dla każdego pracownika. Często jednak język, w którym są przekazywane jest mylący, niezrozumiały lub skomplikowany, zalecenia nie wiążą się z codziennymi priorytetami, z którymi spotykamy się w codziennym życiu oraz nie mamy pojęcia, dlaczego i w jaki sposób przyjęcie sugerowanych środków będzie miało pozytywny wpływ na naszą pracę. czytaj więcej

Wiadomości firmowe Bakotech powiększa swoje portfolio o rozwiązania Picus Security

Kolejny producent wzbogacił portfolio Bakotechu, krakowskiego dystrybutora rozwiązań cyberbezpieczeństwa. Do jego oferty dołączył Picus Security – dostawca oferujący narzędzia do walidacji kontroli bezpieczeństwa, umożliwiające mierzenie i optymalizację skuteczności systemów wykrywania i reagowania. Działania te mają skutkować zmniejszeniem ekspozycji na zagrożenia dzięki rzeczywistym symulacjom ataków. czytaj więcej

Wiadomości firmowe Archiwizowanie wiadomości e-mail w programie Microsoft Outlook: Tajemniczy przycisk "Archiwum"

Czy kiedykolwiek korzystałeś z tego przycisku? Czy zdarzyło Ci się przypadkowo kliknąć go, próbując usunąć konkretną wiadomość e-mail? A może świadomie zdecydowałeś się skorzystać z tej funkcji? Choć niektórzy użytkownicy mogą uznać tę opcję za użyteczną, warto zauważyć, że jej zastosowanie może prowadzić do wielu błędów. Przede wszystkim, należy podkreślić, że przycisk "Archiwum" nie spełnia wszystkich oczekiwań stawianych profesjonalnym narzędziom do archiwizacji wiadomości e-mail. czytaj więcej

Wiadomości firmowe Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

Wykorzystanie AI w narzędziach cyberbezpieczeństwa staje się coraz bardziej powszechne, a przykład rozwoju Energy Logserver doskonale obrazuje, jak zaawansowane technologie mogą rewolucjonizować pracę analityków w dziedzinie bezpieczeństwa informacji. Narzędzia te nie tylko usprawniają wykrywanie zagrożeń, ale również zwiększają skuteczność i szybkość reakcji na incydenty cybernetyczne. czytaj więcej

Wiadomości firmowe Cyberzagrożenia z jakimi muszą się zmagać każdej wielkości firmy, w tym Volkswagen Słowacja.

W ciągu ostatnich kilku lat liczba i dotkliwość cyberataków na organizacje znacznie wzrosła. Ataki te przybierają różne formy, w tym oprogramowanie ransomware, rozproszoną odmowę usługi (DDoS), naruszenia bezpieczeństwa danych, zagrożenia wewnętrzne i wiele innych. W rezultacie zespoły ds. cyberbezpieczeństwa znajdują się pod ogromną presją, aby zmniejszyć ryzyko dla swoich organizacji. czytaj więcej

Wiadomości firmowe 6 powodów dlaczego Twoja firma potrzebuje firewalli

Cyberataki rozwijają się w zastraszającym tempie, stając się coraz bardziej zaawansowane i trudne do wykrycia. Firewall, będący urządzeniem zabezpieczającym sieć, tworzy barierę ochronną między wewnętrznymi a zewnętrznymi sieciami. Kontroluje, monitoruje i filtruje ruch sieciowy na podstawie zdefiniowanych zasad bezpieczeństwa, decydując o dopuszczeniu lub zablokowaniu danych pakietów. czytaj więcej

Wiadomości firmowe Modernizacja infrastruktury cyberbezpieczeństwa w szpitalach i obiektach medycznych: kluczowe znaczenie zapór sieciowych

W obecnym krajobrazie technologicznym, gdzie dane stają się coraz bardziej cenne i podatne na ataki, modernizacja infrastruktury cyberbezpieczeństwa w placówkach medycznych nie jest już tylko opcją – to konieczność. Szczególnie w szpitalach i innych obiektach medycznych, gdzie obróbka i przechowywanie danych pacjentów są kluczowe dla codziennego funkcjonowania, ochrona tych informacji musi być priorytetem. czytaj więcej

Wiadomości firmowe Zabezpieczanie firmy w erze NIS2: przewodnik

Dyrektywa NIS2, czyli Network and Information Systems Directive 2, zwraca uwagę na konieczność wzmocnienia cyberbezpieczeństwa przez dostawców usług podstawowych i cyfrowych w Unii Europejskiej. Dostosowanie się do jej zasad jest kluczowe dla zapewnienia bezpieczeństwa. Poniższa lista kontrolna ułatwia nawigację po nowych regulacjach i wskazuje, jak narzędzia takie jak GFI LanGuard mogą okazać się przydatne w tym procesie. czytaj więcej

Wiadomości firmowe Jak sklepy mogą zwiększyć swoje cyberbezpieczeństwo w sezonie świątecznym?

Okres zimowy oznacza dla sprzedawców nie tylko wzmożoną aktywność handlową, ale i zwiększone ryzyko ataku. Hakerzy kierują swoją uwagę zwłaszcza tam, gdzie w grę wchodzą duże pieniądze, a do takich zdecydowanie należą zakupy przedświąteczne. Jednak bezpośrednim celem cyberprzestępców są nie tylko finanse. Ze względu na obecną cyfryzację i wszechobecność płatności online, potężna ilość wrażliwych danych przechowywanych przez organizacje detaliczne stanowi ogromną zachętę dla wielu hackerów czytaj więcej

Wiadomości firmowe Trzy ataki na dane, które wstrząsnęły branżą technologiczną

W dzisiejszym dynamicznie rozwijającym się świecie cyfrowym, zagrożenia cybernetyczne są nieustannym wyzwaniem, stanowiąc poważne ryzyko przez cały rok. Z alarmującą regularnością, niemal 4000 nowych ataków codziennie uderza w organizacje, a statystyki wskazują, że co 14 sekund firma staje się ofiarą ataku typu ransomware. czytaj więcej

Wiadomości firmowe Czy pracownicy potrzebują szkoleń w zakresie cyberbezpieczeństwa?

Odpowiedź na to pytanie jest oczywista. W sieci nie brakuje porad, wskazówek, nakazów i wytycznych dla każdego pracownika. Często jednak język, w którym są przekazywane jest mylący, niezrozumiały lub skomplikowany, zalecenia nie wiążą się z codziennymi priorytetami, z którymi spotykamy się w codziennym życiu oraz nie mamy pojęcia, dlaczego i w jaki sposób przyjęcie sugerowanych środków będzie miało pozytywny wpływ na naszą pracę. czytaj więcej