Wiadomości firmowe

Co oznacza dyrektywa NIS 2 dla dostawców usług zarządzalnych?

11.08.2023
Rosnąca liczba incydentów bezpieczeństwa skłoniła UE do przyjrzenia się branżom wyjątkowo narażonym na ataki. Problematyczne były sektory takie jak energetyka, transport czy finanse. W celu poprawienia bezpieczeństwa narodziła się inicjatywa NIS.

NIS

Dyrektywa NIS została wprowadzona w 2016 roku, aby wzmocnić istniejące normy prawne, nadążyć za rosnącą cyfryzacją i wciąż ewoluującym krajobrazem zagrożeń cybernetycznych. Dyrektywa rozszerzyła zakres zasad na nowe podmioty i sektory, poprawiła odporność i zdolność reagowania na incydenty podmiotów publicznych i prywatnych oraz ustanowiła wspólne zasady mające na celu podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej.

W kolejnych latach stało się jednak jasne, że pierwotne ustawodawstwo zawierało pewne braki, które należało przeanalizować i uzupełnić.

 

NIS 2

Pierwsza dyrektywa w sprawie bezpieczeństwa sieci i informacji sprawiła, że wiele państw członkowskich interpretowało ją w różny sposób, pozostawiając luki w zabezpieczeniach i kwestionując jej cel. NIS 2 to aktualizacja poprzednich przepisów, która eliminuje braki, określając, jakie praktyki w zakresie bezpieczeństwa cybernetycznego są ważne, jakich niezbędnych dostawców muszą wprowadzić organizacje do 2024 roku, a także w jaki sposób należy zgłaszać naruszenia władzom europejskim.

 

Jaki jest cel NIS 2?

Kryzys związany z COVID-19 i wynikająca z niego przyspieszona transformacja cyfrowa zmusiły UE do ponownego przeglądu dyrektywy, przeanalizowania wpływu i zidentyfikowania braków stworzonych przez nową erę digitalizacji.

Powołana komisja stwierdziła następujące luki:

  • niewystarczający poziom cyberbezpieczeństwa przedsiębiorstw działających w UE,
  • niespójna odporność w poszczególnych państwach członkowskich i sektorach,
  • niewystarczające wspólnie zrozumienie głównych wyzwań i problemów w UE,
  • brak wspólnej reakcji kryzysowej.

 

Dyrektywa NIS 2 rozszerza podstawę dla środków zarządzania ryzykiem cybernetycznym i obowiązków sprawozdawczych w całej Unii Europejskiej w początkowych sektorach, w tym w energetyce i transporcie. Nowe przepisy obejmują także opiekę zdrowotną i infrastrukturę cyfrową. Rozszerzają one zasady dotyczące ram regulacyjnych i określają mechanizmy skutecznej współpracy na niemal całym kontynencie. Dyrektywa aktualizuje również wykaz sektorów i działań podlegających obowiązkom w zakresie cyberbezpieczeństwa oraz zapewnia środki zaradcze i sankcje w celu egzekwowania przepisów.

 

Kiedy nowe przepisy wchodzą w życie?

W listopadzie ubiegłego roku Rada przyjęła dyrektywę NIS 2 i opublikowała ją w grudniu 2022 roku, oficjalnie zastępując uchylając NIS (2016/1148/WE). Państwa członkowskie muszą włączyć nowe przepisy do prawa krajowego w ciągu 21 miesięcy od opublikowania dyrektywy. Oznacza to, że uchwała wejdzie w życie w październiku 2024 roku.

 

Kogo dotyczy NIS 2?

Dyrektywa ma zastosowanie do wszystkich firm, dostawców i organizacji, które świadczą podstawowe lub ważne usługi dla europejskiej gospodarki i społeczeństwa.

Przykłady istotnych podmiotów obejmują:

  • transport,
  • sektor energetyczny,
  • bankowość i finanse,
  • sektor zdrowotny,
  • gospodarkę wodną,
  • administrację publiczną,
  • dostawców usług zarządzalnych.

 

Przykłady ważnych jednostek to:

  • usługi pocztowe i kurierskie,
  • gospodarowanie odpadami,
  • produkcja i przetwórstwo chemiczne,
  • produkcja żywności,
  • produkcja urządzeń medycznych,
  • dostawcy usług cyfrowych (np. wyszukiwarki, platformy społecznościowe).

 

NIS 2 ma również zastosowanie do dostawców spoza wspólnoty, jeśli świadczą oni podstawowe lub ważne usługi na terenie Unii.

 

NIS 2 pociąga kierownictwo organizacji do:

  • zapewnienia przeprowadzania ocen ryzyka cybernetycznego,
  • wdrażania technicznych i organizacyjnych środków bezpieczeństwa,
  • szkoleń i programów zarządzania ryzykiem.

 

Ponadto państwa członkowskie muszą zapewnić władzom UE możliwość nakładania grzywien:

  • dla podmiotów o kluczowym znaczeniu o wartości co najmniej 10 mln euro lub 2% światowego rocznego obrotu,
  • dla ważnych podmiotów o wartości co najmniej 7 mln euro lub 1,4% światowego rocznego obrotu.

 

Co dyrektywa NIS 2 oznacza dla dostawców usług MSP?

Jak wspomniano wcześniej, NIS 2 zostało stworzone w celu wyeliminowania niedociągnięć poprzednich przepisów.

Obowiązująca dyrektywa wzmacnia i usprawnia wymogi w zakresie bezpieczeństwa i sprawozdawczości dla przedsiębiorstw poprzez narzucenie podejścia do zarządzania ryzykiem, które zawiera minimalny wykaz podstawowych elementów bezpieczeństwa, jakie należy stosować. Doprecyzowano również przepisy dotyczące procesu zgłaszania incydentów, treści zgłoszeń oraz terminów.

Ponadto komisja proponuje zająć się bezpieczeństwem łańcuchów dostaw i relacji z dostawcami, wymagając od poszczególnych przedsiębiorstw zajęcia się zagrożeniami w tym obszarze.

 

Co to oznacza dla dostawców usług zarządzalnych (MSP)?

NIS 2 wprowadza zasadę wielkości maksymalnej. Oznacza to, że zostaną nią objęte wszystkie średnie przedsiębiorstwa we wskazanych sektorach.

Przepisy mają na celu ustanowienie minimalnych zasad dotyczących ram regulacyjnych stosowanych przez rządy i przedsiębiorstwa, ustanawiając silniejsze środki bezpieczeństwa cybernetycznego.

 

Obejmuje to poniższą liczbę praktyk, do których włączenia podmioty i dostawcy będą zobowiązani:

  • analiza ryzyka i polityki bezpieczeństwa systemów informatycznych,
  • obsługa incydentów,
  • ciągłość biznesowa i zarządzanie kryzysowe,
  • bezpieczeństwo łańcucha dostaw,
  • nabywanie, rozwijanie i utrzymywanie bezpiecznych sieci i systemów,
  • ujawnianie luk w bezpieczeństwie,
  • zasady i procedury oceny skuteczności środków,
  • podstawowe praktyki w zakresie higieny komputera i szkolenia z zakresu cyberbezpieczeństwa,
  • zasady i procedury dotyczące korzystania z kryptografii i szyfrowania,
  • bezpieczeństwo kadrowe,
  • korzystanie z usługi MFA, zabezpieczonej komunikacji i zabezpieczonej komunikacji awaryjnej.

 

Jak Datto pomoże zachować zgodność z dyrektywą NIS 2?

NIS 2 przewiduje szereg działań związanych z cyberbezpieczeństwem, w szczególności te związane z analizą ryzyka, reagowaniem na incydenty, ciągłością działania i reagowaniem na incydenty.  Datto pomaga rozwiązać te problemy i oferuje szereg rozwiązań, które pomogą zachować zgodność z przepisami i chronić zasoby.

W naszej ofercie mamy rozwiązanie Datto RMM, które zapewnia wgląd w zasoby sieciowe i może zautomatyzować proces zarządzania poprawkami. W ten sposób administratorzy poprawiają sytuację podatności za zagrożenia, co oszczędza czas dzięki automatyzacji zarządzania poprawkami.

 

Datto oferuje również wiele rozwiązań zapewniających ciągłość biznesową i przywracanie danych po awarii, dzięki czemu firmy po wystąpieniu ataku mogą odzyskać zasoby w rekordowym czasie.

NIS 2 ma na celu wzmocnienie bezpieczeństwa w krytycznych sektorach rządu UE i przedsiębiorstw, które działają w niej lub na jej terenie. Wdrożenie dyrektywy jest obowiązkiem państw członkowskich, które mają uchwalić przepisy ustawowe i wykonawcze w celu jej przestrzegania. Firmy działające w Unii Europejskiej będą musiały przyjrzeć się swoim praktykom i rozwiązaniom w zakresie bezpieczeństwa, aby upewnić się że są zgodne z nowym prawem.

Jesteśmy do twojej dyspozycji i zachęcamy do kontaktu z renata.kuts|ceecloud.pl| target="_blank"|Renatą Kuts|, aby pomóc dobrać odpowiednie rozwiązania zapewniające zgodność z NIS 2.

Wiadomości firmowe Jak podnieść poziom cyberbezpieczeństwa w sektorze finansowym?

Sektor finansowy stoi przed nowymi wyzwaniami w obliczu dynamicznego rozwoju technologii. Generatywna AI, automatyzacja, zarządzanie danymi i finanse zintegrowane kształtują branżę, jednocześnie zwiększając trudności w ochronie danych, prywatności oraz zarządzaniu tożsamościami cyfrowymi. Coraz większe wykorzystanie chmury i rosnąca ilość danych dodatkowo zwiększają powierzchnię ataków, wymagając lepszych strategii reagowania na incydenty. czytaj więcej

Wiadomości firmowe WatchGuard Day Kraków: nowe horyzonty bezpieczeństwa IT i praktyczne rozwiązania dla biznesu

WatchGuard to globalny lider w dostarczaniu kompleksowych rozwiązań z zakresu cyberbezpieczeństwa, który od lat zdobywa uznanie w raportach takich jak Canalys TrustRadius, Forester, CyberSecurity Breakthrough i AV-Comparatives. Firma ma na swoim koncie ponad milion wdrożeń na całym świecie, obsługując zarówno małe i średnie przedsiębiorstwa, jak i międzynarodowe korporacje. czytaj więcej

Wiadomości firmowe Nowości w Energy Logserver: Energy Monitor, Energy XDR i Empowered AI

Energy Monitor to najnowszy produkt od Energy Logserver, zaprojektowany w celu centralizacji i wizualizacji danych z różnych źródeł w czasie rzeczywistym. Dzięki możliwości monitorowania logów i aktywności w sieci, narzędzie to umożliwia szybkie wykrywanie zagrożeń oraz optymalizację reakcji na incydenty. Kluczowe funkcje Energy Monitor to: czytaj więcej

Wiadomości firmowe Wywiad z producentem | Energy Logserver: nowoczesne systemy SIEM i SOAR

W zmieniającym się środowisku IT, systemy SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation, and Response) są kluczowe dla skutecznego zarządzania bezpieczeństwem informacji. Aby dowiedzieć się więcej o wyzwaniach i innowacjach związanych z tymi technologiami, przeprowadziliśmy wywiad z przedstawicielem Energy Logserver, polskiego producenta rozwiązań SIEM i SOAR. czytaj więcej

Wiadomości firmowe MOVEit w języku polskim: Progress prezentuje nową wersję konsoli

Progress MOVEit to zaawansowane rozwiązanie do zarządzania i automatyzacji transferu plików, które zapewnia pełną widoczność i kontrolę nad plikami wysyłanymi do partnerów, klientów i pracowników w firmie. MOVEit gwarantuje bezpieczeństwo plików zarówno podczas transferu, jak i w bazie danych, spełniając przy tym wewnętrzne polityki oraz zewnętrzne regulacje takie jak NIS2 i DORA. czytaj więcej

Wiadomości firmowe Innowacje w Energy Logserver: Wersja 7.4.3 i integracja z Mitre ATT&CK

Energy Logserver w wersji 7.4.3 wprowadza kluczowe innowacje zwiększające efektywność i bezpieczeństwo operacji IT. Nowości obejmują zarządzanie zapytaniami, sieciową sondę, poszerzone funkcje AI, weryfikację sum kontrolnych archiwów oraz ulepszony system licencji. Ponadto, integracja z frameworkiem Mitre ATT&CK poprawia identyfikację i reakcję na cyberzagrożenia, oferując zaawansowane narzędzia do analizy i ochrony infrastruktury IT. czytaj więcej

Wiadomości firmowe CEEcloud Services Distribution (Grupa Bakotech) ogłasza nawiązanie współpracy z Kaseya

Na początku kwietnia CEEcloud, spółka należąca do Grupy Bakotech, ogłosiła podpisanie kontraktu z firmą Kaseya – od wielu lat uznawaną za lidera w obszarze kompleksowych rozwiązań IT. To kolejny, bardzo ważny krok dla dystrybutora, podkreślający jego zaangażowanie w konsekwentne rozwijanie oferty usług, które umożliwiają efektywne zarządzanie IT i bezpieczeństwem z jednego miejsca – co w dzisiejszych czasach staje się nie tylko praktyczne, ale wręcz niezbędne. czytaj więcej

Wiadomości firmowe Bakotech powiększa swoje portfolio o rozwiązania Picus Security

Kolejny producent wzbogacił portfolio Bakotechu, krakowskiego dystrybutora rozwiązań cyberbezpieczeństwa. Do jego oferty dołączył Picus Security – dostawca oferujący narzędzia do walidacji kontroli bezpieczeństwa, umożliwiające mierzenie i optymalizację skuteczności systemów wykrywania i reagowania. Działania te mają skutkować zmniejszeniem ekspozycji na zagrożenia dzięki rzeczywistym symulacjom ataków. czytaj więcej

Wiadomości firmowe Archiwizowanie wiadomości e-mail w programie Microsoft Outlook: Tajemniczy przycisk "Archiwum"

Czy kiedykolwiek korzystałeś z tego przycisku? Czy zdarzyło Ci się przypadkowo kliknąć go, próbując usunąć konkretną wiadomość e-mail? A może świadomie zdecydowałeś się skorzystać z tej funkcji? Choć niektórzy użytkownicy mogą uznać tę opcję za użyteczną, warto zauważyć, że jej zastosowanie może prowadzić do wielu błędów. Przede wszystkim, należy podkreślić, że przycisk "Archiwum" nie spełnia wszystkich oczekiwań stawianych profesjonalnym narzędziom do archiwizacji wiadomości e-mail. czytaj więcej

Wiadomości firmowe Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

Wykorzystanie AI w narzędziach cyberbezpieczeństwa staje się coraz bardziej powszechne, a przykład rozwoju Energy Logserver doskonale obrazuje, jak zaawansowane technologie mogą rewolucjonizować pracę analityków w dziedzinie bezpieczeństwa informacji. Narzędzia te nie tylko usprawniają wykrywanie zagrożeń, ale również zwiększają skuteczność i szybkość reakcji na incydenty cybernetyczne. czytaj więcej

Wiadomości firmowe Jak podnieść poziom cyberbezpieczeństwa w sektorze finansowym?

Sektor finansowy stoi przed nowymi wyzwaniami w obliczu dynamicznego rozwoju technologii. Generatywna AI, automatyzacja, zarządzanie danymi i finanse zintegrowane kształtują branżę, jednocześnie zwiększając trudności w ochronie danych, prywatności oraz zarządzaniu tożsamościami cyfrowymi. Coraz większe wykorzystanie chmury i rosnąca ilość danych dodatkowo zwiększają powierzchnię ataków, wymagając lepszych strategii reagowania na incydenty. czytaj więcej

Wiadomości firmowe WatchGuard Day Kraków: nowe horyzonty bezpieczeństwa IT i praktyczne rozwiązania dla biznesu

WatchGuard to globalny lider w dostarczaniu kompleksowych rozwiązań z zakresu cyberbezpieczeństwa, który od lat zdobywa uznanie w raportach takich jak Canalys TrustRadius, Forester, CyberSecurity Breakthrough i AV-Comparatives. Firma ma na swoim koncie ponad milion wdrożeń na całym świecie, obsługując zarówno małe i średnie przedsiębiorstwa, jak i międzynarodowe korporacje. czytaj więcej

Wiadomości firmowe Nowości w Energy Logserver: Energy Monitor, Energy XDR i Empowered AI

Energy Monitor to najnowszy produkt od Energy Logserver, zaprojektowany w celu centralizacji i wizualizacji danych z różnych źródeł w czasie rzeczywistym. Dzięki możliwości monitorowania logów i aktywności w sieci, narzędzie to umożliwia szybkie wykrywanie zagrożeń oraz optymalizację reakcji na incydenty. Kluczowe funkcje Energy Monitor to: czytaj więcej

Wiadomości firmowe Wywiad z producentem | Energy Logserver: nowoczesne systemy SIEM i SOAR

W zmieniającym się środowisku IT, systemy SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation, and Response) są kluczowe dla skutecznego zarządzania bezpieczeństwem informacji. Aby dowiedzieć się więcej o wyzwaniach i innowacjach związanych z tymi technologiami, przeprowadziliśmy wywiad z przedstawicielem Energy Logserver, polskiego producenta rozwiązań SIEM i SOAR. czytaj więcej

Wiadomości firmowe MOVEit w języku polskim: Progress prezentuje nową wersję konsoli

Progress MOVEit to zaawansowane rozwiązanie do zarządzania i automatyzacji transferu plików, które zapewnia pełną widoczność i kontrolę nad plikami wysyłanymi do partnerów, klientów i pracowników w firmie. MOVEit gwarantuje bezpieczeństwo plików zarówno podczas transferu, jak i w bazie danych, spełniając przy tym wewnętrzne polityki oraz zewnętrzne regulacje takie jak NIS2 i DORA. czytaj więcej

Wiadomości firmowe Innowacje w Energy Logserver: Wersja 7.4.3 i integracja z Mitre ATT&CK

Energy Logserver w wersji 7.4.3 wprowadza kluczowe innowacje zwiększające efektywność i bezpieczeństwo operacji IT. Nowości obejmują zarządzanie zapytaniami, sieciową sondę, poszerzone funkcje AI, weryfikację sum kontrolnych archiwów oraz ulepszony system licencji. Ponadto, integracja z frameworkiem Mitre ATT&CK poprawia identyfikację i reakcję na cyberzagrożenia, oferując zaawansowane narzędzia do analizy i ochrony infrastruktury IT. czytaj więcej

Wiadomości firmowe CEEcloud Services Distribution (Grupa Bakotech) ogłasza nawiązanie współpracy z Kaseya

Na początku kwietnia CEEcloud, spółka należąca do Grupy Bakotech, ogłosiła podpisanie kontraktu z firmą Kaseya – od wielu lat uznawaną za lidera w obszarze kompleksowych rozwiązań IT. To kolejny, bardzo ważny krok dla dystrybutora, podkreślający jego zaangażowanie w konsekwentne rozwijanie oferty usług, które umożliwiają efektywne zarządzanie IT i bezpieczeństwem z jednego miejsca – co w dzisiejszych czasach staje się nie tylko praktyczne, ale wręcz niezbędne. czytaj więcej

Wiadomości firmowe Bakotech powiększa swoje portfolio o rozwiązania Picus Security

Kolejny producent wzbogacił portfolio Bakotechu, krakowskiego dystrybutora rozwiązań cyberbezpieczeństwa. Do jego oferty dołączył Picus Security – dostawca oferujący narzędzia do walidacji kontroli bezpieczeństwa, umożliwiające mierzenie i optymalizację skuteczności systemów wykrywania i reagowania. Działania te mają skutkować zmniejszeniem ekspozycji na zagrożenia dzięki rzeczywistym symulacjom ataków. czytaj więcej

Wiadomości firmowe Archiwizowanie wiadomości e-mail w programie Microsoft Outlook: Tajemniczy przycisk "Archiwum"

Czy kiedykolwiek korzystałeś z tego przycisku? Czy zdarzyło Ci się przypadkowo kliknąć go, próbując usunąć konkretną wiadomość e-mail? A może świadomie zdecydowałeś się skorzystać z tej funkcji? Choć niektórzy użytkownicy mogą uznać tę opcję za użyteczną, warto zauważyć, że jej zastosowanie może prowadzić do wielu błędów. Przede wszystkim, należy podkreślić, że przycisk "Archiwum" nie spełnia wszystkich oczekiwań stawianych profesjonalnym narzędziom do archiwizacji wiadomości e-mail. czytaj więcej

Wiadomości firmowe Rozwój oraz nowe możliwości napędzane przez AI – pomoc czy zagrożenie dla analityków SOC?

Wykorzystanie AI w narzędziach cyberbezpieczeństwa staje się coraz bardziej powszechne, a przykład rozwoju Energy Logserver doskonale obrazuje, jak zaawansowane technologie mogą rewolucjonizować pracę analityków w dziedzinie bezpieczeństwa informacji. Narzędzia te nie tylko usprawniają wykrywanie zagrożeń, ale również zwiększają skuteczność i szybkość reakcji na incydenty cybernetyczne. czytaj więcej

News Co wyróżnia komputer Mac Mini?

Komputer Mac Mini to jeden z najbardziej kompaktowych i wszechstronnych komputerów stacjonarnych w ofercie Apple. Dzięki swojej niewielkiej obudowie i zaawansowanym komponentom, Mac Mini zdobył popularność wśród użytkowników domowych, profesjonalistów oraz firm. Poniżej przedstawiamy szczegółowe informacje na temat tego urządzenia, które pomogą zrozumieć, dlaczego warto rozważyć jego zakup. czytaj więcej

News Telewizja na studiach - jakie rozwiązanie wybrać?

Dostęp do telewizji na studiach to temat, który może zainteresować osoby zaczynające swoją przygodę akademicką. To ze względu na fakt, że nie w każdym akademiku czy wynajętym mieszkaniu mamy dostęp do telewizji kablowej. Ponadto istotną rolę odgrywają koszty – większości studentów zależy na tym, aby telewizja była jak najtańsza, ale oferowała duży wybór kanałów. Czy to możliwe do osiągnięcia? Jak najbardziej! czytaj więcej

Wiadomości firmowe CEEcloud Services Distribution (Grupa Bakotech) ogłasza nawiązanie współpracy z Kaseya

Na początku kwietnia CEEcloud, spółka należąca do Grupy Bakotech, ogłosiła podpisanie kontraktu z firmą Kaseya – od wielu lat uznawaną za lidera w obszarze kompleksowych rozwiązań IT. To kolejny, bardzo ważny krok dla dystrybutora, podkreślający jego zaangażowanie w konsekwentne rozwijanie oferty usług, które umożliwiają efektywne zarządzanie IT i bezpieczeństwem z jednego miejsca – co w dzisiejszych czasach staje się nie tylko praktyczne, ale wręcz niezbędne. czytaj więcej

Wiadomości firmowe Jak zapewnić firmie zgodność z dyrektywą NIS 2?

Cyberataki stanowią jedno z największych współczesnych zagrożeń. Hakerzy jednym kliknięciem są w stanie sparaliżować usługi publiczne kluczowe dla funkcjonowania społeczeństwa. Liczba ataków stale rośnie, w związku z czym zapewnienie bezpieczeństwa stało się priorytetem. W tym celu w życie weszła dyrektywa NIS 2 (Network and Information System Directive). Przedsiębiorstwa funkcjonujące na rynkach UE są zobowiązane do wprowadzenia różnych rozwiązań technicznych, operacyjnych i organizacyjnych. czytaj więcej