Robots
Cookies

Ustawienia cookies

Strona Teraz Środowisko wykorzystuje cookies. Część z nich jest niezbędna do funkcjonowania strony. Inne służą poprawianiu jakości naszych usług.
Więcej  ›
17.04.2021 17 kwietnia 2021

Będą nowe wymogi UE ws. zapewnienia cyberbezpieczeństwa. Kto już może się przygotowywać?

Zakres podmiotowy nowej dyrektywy NIS 2 będzie rozszerzony m.in. na takie obszary kluczowe jak wodór czy ścieki. Gospodarka odpadami dołącza natomiast do listy podmiotów ważnych. Za niespełnienie obowiązków kary rzędu co najmniej 10 000 000 euro.

   Powrót       29 marca 2021       Ryzyko   

Cyberatak prawie zawsze przebiega według podobnego schematu – mówił Wojciech Wrzesień z NASK SA na webinarium pt. "Cyberbezpieczeństwo w branży wod-kan(1)". Wymieniał następujące etapy (na każdym z nich możliwe jest przerwanie łańcucha):

  1. Rozpoznanie (słabe punkty do znalezienia w godzinę, szczególnie przy pracy zdalnej),
  2. Uzbrojenie (dobór narzędzia (malware) do ataku oraz opakowania (np. pliki popularnych aplikacji klienckich – często spotykany w Polsce jest Excel),
  3. Dostarczanie (e-mail, social media, strony internetowe, e-comerce),
  4. Uruchomienie (uruchomienie złośliwego kodu, wykorzystanie luki w aplikacji lub systemie operacyjnym, manipulacja użytkownikami),
  5. Instalacja (instalacja koni trojańskich i backdoor w systemie pozwala na trwałe utrzymanie dostępu do środowiska wewnętrznego),
  6. Zarządzanie i kontrola,
  7. Realizacja celu (zazwyczaj uzyskanie danych, czasami naruszanie integralności i dostępności danych lub też tzw. stacja przesiadkowa).

Cyberprzestępczość jest „biznesem” dochodowym – podkreślał Wrzesień. Eksperci nie pozostawiają złudzeń i ostrzegają, że incydentów będzie przybywać. Równolegle wzmacniane są przepisy.

Czytaj: Pracownik - najsłabsze czy najsilniejsze ogniwo systemu cyberbezpieczeństwa?

Dyrektywa NIS 2 obejmie nowe podmioty

W grudniu 2020 r. Komisja Europejska pokazała nowy pakiet cyberbezpieczeństwa, w tym projekt tzw. dyrektywy NIS 2, czyli nowej wersji dyrektywy NIS (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii(2)).

- NIS 2 obejmuje dwa typy podmiotów: kluczowe (essential entities) i ważne (important entities) – wyjaśniał podczas swojej prezentacji Cyprian Gutkowski z Fundacji Bezpieczna Cyberprzestrzeń.

W stosunku do swojej poprzedniczki NIS 2 rozszerza zakres podmiotowy w następujących kluczowych obszarach:

  • Energetyka (energia elektryczna, centralne ogrzewanie i chłodzenie, ropa, gaz, wodór),
  • Zdrowie,
  • Ścieki,
  • Infrastruktura cyfrowa,
  • Administracja publiczna,
  • Przestrzeń kosmiczna.

Natomiast brak zmian jest w takich kluczowych obszarach jak:

  • Transport (kolejowy, wodny, lądowy).
  • Bankowość,
  • Infrastruktura rynków finansowych,
  • Woda pitna.

Podmioty ważne w dyrektywie NIS 2 zaliczane są z kolei do następujących sektorów:

  • Usługi pocztowe i kurierskie,
  • Gospodarowanie odpadami,
  • Produkcja (wyroby medyczne i wyroby medyczne do diagnostyki in vitro, produkty komputerowe, elektroniczne i optyczne; sprzęt elektryczny; maszyny i wyposażenie; pojazdy samochodowe, przyczepy i naczepy; inny sprzęt transportowy)
  • Produkcja i dystrybucja chemikaliów,
  • Produkcja, przetwarzanie i dystrybucja żywności,
  • Dostawcy cyfrowi.

Poza dostawcami cyfrowymi, żaden z tych sektorów nie był, jak dotąd objęty Dyrektywą NIS – wyjaśnia na swojej stronie Państwowy Instytut Badawczy NASK.

Obejrzyj video: Blockchain szansą na pozytywny przewrót w polskiej gospodarce odpadami

Już można przystępować do analizy ryzyka

Gutkowski wskazywał, że zwiększeniu uległ zakres obowiązków nałożonych przez dyrektywę. Zarówno podmioty kluczowe, jak i podmioty ważne, mają obowiązki związane z zapewnieniem:

  • analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,
  • obsługi incydentów (wykrywanie i reagowanie)
  • ciągłości działania i zarządzania kryzysowego,
  • bezpieczeństwa łańcucha dostaw,
  • bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych (w tym obsługa i ujawniania podatności),
  • procedur (testowanie i audyt) służących ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
  • wykorzystywania kryptografii i szyfrowania.

Już można przystępować do przeprowadzenia analizy ryzyka – komentował Gutkowski, zauważając, że zazwyczaj takie dyrektywy bardzo się nie zmieniają. Biorąc pod uwagę dalszą ścieżkę legislacyjną i 18 miesięcy na wejście w życie przepisów, szacował trochę ponad dwa lata, aż wymagania zaczną obowiązywać.

Bardzo wysokie kary

- NIS 2 przewiduje także wysokie kary finansowe dla podmiotów nierealizujących zapisów we właściwy sposób. Kary te mają wynosić maksymalnie co najmniej 10 000 000 euro lub do 2 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Jest to duża zmiana w porównaniu do wcześniejszej dyrektywy, której zapisy mówiły tylko o karach „odstraszających” – konkludował Gutkowski.

Jak zauważali eksperci, w praktyce oczekiwania związane z zapewnieniem cyberbezpieczeństwa z NIS 2 pokrywają się z normą ISO 27001(3).

Warto dodać, że obecnie procedowana jest nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa(4). Wkrótce czeka nas jej kolejna nowela, która będzie transponować do polskiego porządku prawnego przepisy dyrektywy NIS 2.

Dominika Adamska: Sekretarz redakcji, geograf

Przypisy

1/ Webinarium zostało zorganizowane przez firmę Abrys wraz z mecenasem oraz partnerami wydarzenia. Odbyło się 24 marca br.2/ Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii
https://www.teraz-srodowisko.pl/prawo/dyrektywa-z-dnia-06-07-2016-l-194-1-4930.html
3/ Norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji4/ Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz ustawy – Prawo zamówień publicznych
https://legislacja.rcl.gov.pl/projekt/12337950

Polecamy inne artykuły o podobnej tematyce:

Pracownik - najsłabsze czy najsilniejsze ogniwo systemu cyberbezpieczeństwa? (25 marca 2021)Przemysł 4.0 w branży wod-kan to mix technologii i kapitału intelektualnego pracowników (18 listopada 2020)Dofinansowanie szkoleń dla pracowników? Do końca listopada można się ubiegać o środki z PARP (05 października 2020)Zmiana ustawy o efektywności pozwoli zaoszczędzić 5,58 mln toe energii (21 sierpnia 2020)Cyberbezpieczeństwo sektora energetycznego. Do 2022 r. mają powstać rekomendacje (18 sierpnia 2020)
©Teraz Środowisko - Wszystkie prawa zastrzeżone.
Kopiowanie i publikacja tekstów, zdjęć, infografik i innych elementów strony bez zgody Wydawcy są zabronione.
▲  Do góry strony