NIS2 a cyberbezpieczeństwo w praktyce

W 2025 roku do polskiego systemu prawnego wprowadzone zostaną założenia unijnej Dyrektywy NIS2. Przepisy te zmierzają do zwiększenia cyberodporności organizacji ważnych i kluczowych dla interesów państwa. Wbrew pozorom, czasu na przygotowanie się nie pozostało wiele, a dostosowanie do NIS2 może wymagać wielowymiarowych zmian.

Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii – NIS2 (Network and Information Security Directive 2) ma na celu m.in. wprowadzenie jednolitego, minimalnego poziomu cyberbezpieczeństwa w tych instytucjach i organizacjach biznesowych, których funkcjonowanie ma kluczowe znaczenie dla polskiej gospodarki oraz społeczeństwa.

NIS2 ma też na celu zwiększenie gotowości państw członkowskich do przeciwdziałania cyberatakom m.in. poprzez poprawę sprawności wymiany informacji o wykrywanych incydentach, przebiegu ataków i realizowanych działaniach zaradczych. W tym kontekście NIS2 stanowi rozwinięcie i uzupełnienie obowiązującej dyrektywy NIS.

Kroki te są konieczne w obliczu rosnącej skali cyberzagrożeń, a także ich potencjalnych skutków. Polska znajduje się zaś w czołówce unijnych krajów pod względem skali ataków wymierzonych zarówno w infrastrukturę krytyczną, jak i różnego rodzaju firmy i instytucje – od administracji centralnej, przez samorządową, po firmy transportowe, energetyczne, a nawet wodno-kanalizacyjne.

W 2023 roku działający w strukturach NASK zespół CERT Polska zarejestrował ponad 80 tys. unikalnych cyberincydentów. To ponad 2-krotnie więcej niż rok wcześniej. Wszystko wskazuje na to, że w 2024 roku utrzyma się wzrostowy trend skali zagrożeń w obszarze IT.

Jakich organizacji dotyczy NIS2?

Dyrektywa NIS2 nakłada na organizacje, prowadzące działalność o charakterze kluczowym lub ważnym dla funkcjonowania poszczególnych krajów – a skutkami nowych przepisów pośrednio i bezpośrednio dotkniętych może być nawet kilkadziesiąt tysięcy firm i instytucji w Polsce – obowiązek wdrożenia środków technicznych, operacyjnych i organizacyjnych, które pozwolą we właściwy i proporcjonalny sposób reagować na potencjalne zagrożenia.

NIS2 jako sektory najważniejsze dla funkcjonowania dzisiejszych gospodarek wskazuje m.in. administrację publiczną, energetykę, transport, bankowość, ochronę zdrowia, usługi wodno-kanalizacyjne, infrastrukturę cyfrową i usługi ICT, a nawet działalność w przestrzeni kosmicznej. Ponadto NIS2 jako sektory ważne gospodarczo wskazuje m.in. usługi pocztowe i kurierskie; przetwarzanie, produkcję i transport żywności oraz chemikaliów, przemysł, badania naukowe, a także – gospodarowanie odpadami.

Nowym przepisom nie podlegają wszystkie organizacje działające w sektorach wskazanych przez NIS2. Dodatkowe kryteria, z pewnymi wyjątkami, dotyczą m.in. skali obrotów i zatrudnienia. Faktem jest jednak, że w wielu firmach nadal brakuje pełnej świadomości, że mogą one być pośrednio lub bezpośrednio objęte nowymi przepisami. Tym ważniejsze staje się kompleksowe przeanalizowanie nowych przepisów pod kątem specyfiki danej organizacji.

Wymiar techniczny, operacyjny i organizacyjny

Kolejnym etapem analizy rozpoczynającej przygotowania do zapewnienia zgodności z NIS2 winno być zweryfikowanie posiadanych rozwiązań cyberbezpieczeństwa, procesów i kultury organizacyjnej. Mogą one okazać się niezbędne do realizowania wymogów NIS2 we właściwy sposób i w odpowiednim reżimie czasowym. Nowe przepisy przykładają bowiem dużą wagę m.in. do terminowego zgłaszania incydentów oraz raportowania podejmowanych działań zaradczych.

Niezbędna może okazać się kompleksowa weryfikacja funkcjonalności posiadanych rozwiązań IT, istniejących polityk bezpieczeństwa oraz reguł działania w sytuacjach kryzysowych. Dyrektywa NIS2 na wybrane podmioty nakłada też m.in. obowiązek regularnego testowania procedur i technologii na wypadek różnego rodzaju zagrożeń.

Z tego względu, krokiem w dobrym kierunku jest również rosnące zaangażowanie dostawców technologii IT w działania mające na celu edukowanie rynku i propagowanie właściwych praktyk. W zakresie edukacji rynku istnieje potrzeba zwiększenia świadomości dotyczącej zarządzania ryzykiem w cyberbezpieczeństwie.

„Dystrybutorzy IT mogą odgrywać kluczową rolę w dostarczaniu rozwiązań i szkoleń, pomagając partnerom oraz ich klientom w spełnieniu wymagań dyrektywy” – podkreśla Magdalena Jaśkowiec-Ropa, Marketing Manager w firmie Exclusive Networks Poland. Edukacja rynku w zakresie NIS2 powinna obejmować nie tylko techniczne aspekty bezpieczeństwa, lecz także kwestie związane ze świadomością ryzyk w obszarze bezpieczeństwa IT oraz sposobów na ich zaadresowanie. „Dystrybutorzy IT powinni wspierać przedsiębiorstwa, dostarczając narzędzi i szkoleń, a także promując najlepsze praktyki w zakresie cyberbezpieczeństwa” – przekonuje Magdalena Jaśkowiec-Ropa.

Analogicznie, rolą partnerów może być zapewnienie całościowego i wielowymiarowego wsparcia niezbędnego w obliczu ogromu potrzeb w obszarze cyberbezpieczeństwa, dodatkowo wzmocnionych wyzwaniami towarzyszącymi zapewnieniu zgodności z nowymi regulacjami.

„NIS2 to wielowątkowa dyrektywa wymagająca dokładnej diagnozy obecnej sytuacji, usprawnienia lub uruchomienia nowych procesów IT oraz przemyślanego zaplanowania kolejnych działań. Partnerzy czołowych, globalnych vendorów to najczęściej integratorzy łączący wiele różnorodnych kompetencji. Skorzystanie z usług takich dostawców pozwala na wypracowanie kompleksowego i optymalnego rozwiązania dopasowanego do potrzeb, ale i możliwości konkretnej organizacji” – zauważa Dariusz Styka, dyrektor marketingu w Betacom.

Oferta wsparcia w kontekście NIS2 może obejmować np. zalecane szkolenia niezbędne do podniesienia świadomości zespołu w kontekście wyzwań cyberbezpieczeństwa.

Sieć pod szczególnym nadzorem

W kwestii analizy technicznej warto zwrócić szczególną uwagę m.in. na konfigurację posiadanej infrastruktury IT. Dobrą praktyką staje się np. zinwentaryzowanie infrastruktury sieciowej, pełniącej przecież rolę fundamentu dla firmowego środowiska IT. „Często spotykam się z tym, że działy IT znają infrastrukturę, wiedzą jakim sprzętem dysponują, znają topologię połączeń sieciowych, ale ich infrastruktura była wdrażana, utrzymywana i rozwijana na przestrzeni lat przy zaangażowaniu różnych osób i podmiotów. To oznacza, że jej architektura lub konfiguracja może powielać błędy popełnione na wczesnym etapie” – mówi Anna Skowina, inżynier sprzedaży w Betacom.

Niewielkie błędy koncepcyjne lub konfiguracyjne, popełnione na wczesnym etapie rozwoju infrastruktury, na przestrzeni lat mogą eskalować w znaczące podatności. „Brakuje zewnętrznego spojrzenia na infrastrukturę IT oraz przeglądu konfiguracji całej infrastruktury pod kątem dobrych praktyk. W Betacom takie usługi realizujemy i wskazujemy klientom, punkt po punkcie, co można zrobić lepiej, aby zapewnić optymalną konfigurację i podnieść poziom bezpieczeństwa” – dodaje Anna Skowina. Efekty wspomnianych zmian muszą być analizowane w szerszym kontekście funkcjonowania i bezpieczeństwa całej sieci.

Nowe rozwiązania nie zawsze potrzebne

Za przeprowadzeniem kompleksowej analizy posiadanej infrastruktury IT w kontekście wymogów NIS2 oraz cyberochrony przemawia także możliwość optymalizacji wykorzystania posiadanych już zasobów i systemów zabezpieczeń. „Zdarza się, że organizacja już dysponuje środkami, które może zastosować do poprawy istniejącego poziomu bezpieczeństwa, bez potrzeby dokonywania kolejnych inwestycji. Niezbędna może być np. optymalizacja obecnej konfiguracji lub uruchomienie niewykorzystanych funkcjonalności” – zauważa Anna Skowina.

Przyczyny niepełnego lub niewłaściwego zakresu wykorzystania zakupionych rozwiązań bezpieczeństwa IT mogą być różne. Nierzadko jest to efekt szybkiego rozwoju infrastruktury i wysokiej dynamiki zmian potrzeb biznesowych.

„Analiza środowiska IT pokazuje faktyczny stan konfiguracji i działania całej infrastruktury, choćby w wymiarze segmentacji sieci, uprawnień użytkowników czy polityk zapory firewall” – mówi Anna Skowina. „Zdarza się, że w miarę rozwoju infrastruktury takie ustawienia są dopisywane sukcesywnie, ale bez analizy poprzednich wpisów i założeń, co może powodować błędy konfiguracyjne. W rezultacie coś, co miało bronić dostępu do środowiska IT, staje się jego słabą stroną” – dodaje.

Luka kompetencyjna jako dodatkowe wyzwanie

Rosnąca skala zagrożeń, z jakimi muszą mierzyć się polskie organizacje, przekłada się również na zwiększony popyt na kompetencje niezbędne do wdrażania i bieżącej obsługi narzędzi wspierających minimalizację ryzyk oraz skutków incydentów z obszaru cyberbezpieczeństwa. Specjalistów ds. cyberbezpieczeństwa brakuje, zaś stawki najlepszych są poza zasięgiem wielu organizacji biznesowych czy instytucji publicznych. W tym kontekście warte rozważenia stają się rozwiązania bezpieczeństwa IT oferowane w formie usług zarządzanych, a także outsourcing tego typu procesów.

„Zapewnienie zgodności z Dyrektywą NIS2 wymaga uporządkowanej zmiany, która – niezależnie od warstwy czy obszaru – powinna rozpoczynać się od analizy stanu faktycznego i poszukiwania tych obszarów, które potrzebują modernizacji” – podkreśla Łukasz Matuszak, architekt rozwiązań IT w Betacom.

Odrębnym wyzwaniem staje się też bieżące utrzymanie wysokiej odporności środowiska IT. Oznacza to bowiem nie tylko konieczność sprawnej realizacji podstawowych zadań administracyjnych, lecz także ciągłe dopasowywanie konfiguracji, infrastruktury oraz zabezpieczeń do zmian zachodzących w organizacji, jej otoczeniu i potrzebach.

„Utrzymanie to nie jest tylko aktualizowanie systemów czy wprowadzanie bieżących zmian konfiguracyjnych. To również uwzględnianie zmian, które pojawiają się w przepisach, a także ocena czy nie pojawiły się okoliczności, które należy uwzględnić w funkcjonowaniu systemów. To z kolei wymusza kolejne iteracje cyklu zmian” – dodaje Łukasz Matuszak.

W niektórych organizacjach i w kontekście poważnej luki kompetencyjnej w obszarze IT, przekazanie części z nich zewnętrznemu partnerowi może okazać się rozwiązaniem bardziej korzystnym od kolejnych prób zwiększenia lokalnych zasobów kadrowych. „Wyspecjalizowany partner pomoże sprawnie przejść przez proces analizy i oceny ryzyka, a następnie planowania i wdrożenia rozwiązań poprawiających obszar CyberSec. Może też przejąć odpowiedzialność za utrzymanie tych obszarów, w których konkretna organizacja nie ma odpowiednich kompetencji lub nie jest w stanie samodzielnie sprostać wymaganiom narzucanym przez NIS2” – dodaje Dariusz Styka.

Outsourcing utrzymania infrastruktury IT może być więc pewnego rodzaju gwarancją profesjonalnej obsługi kluczowych zasobów informatycznych w danej firmie. Aspekt ten nabiera szczególnego znaczenia w kontekście NIS2. „W odniesieniu do materii tak wrażliwej, jak cyberbezpieczeństwo, warto polegać na tych partnerach, którzy są w stanie wykazać doświadczenie poprzez certyfikaty, zrealizowane projekty czy referencje od klientów. W Betacom nie obawiamy się takich zapytań, bo stoi za nami sztab inżynierów, którzy gwarantują skuteczne wdrożenie i utrzymanie niezbędnych rozwiązań. Nasze kompetencje potwierdzają klienci” – mówi Łukasz Matuszak.

Przydatne wsparcie partnera

Oferta usług outsourcingowych firmy Betacom obejmuje całościową obsługę infrastruktury IT – w tym środowisk hybrydowych, opartych na połączeniu zasobów lokalnych oraz prywatnej i publicznej chmury obliczeniowej.

Na usługi dostępne w ramach oferty Agile IT Outsourcing składa się więc szeroki zakres działań, który obejmuje m.in. stały monitoring działania infrastruktury, wykrywanie incydentów oraz awarii, bieżące reagowanie zgodnie z przyjętymi procedurami, a także zachowanie ciągłości działania, w tym zapobieganie wyciekom danych oraz testy podatności.

„W ramach usług Agile IT Outsourcing jesteśmy w stanie przejąć kompleksową obsługę nad urządzeniami końcowymi, obsługą incydentów, utrzymywaniem właściwego stanu takich urządzeń. Zapewniamy również opiekę nad usługami wiodących dostawców usług opartych na modelu publicznej chmury obliczeniowej” – zapewnia Łukasz Matuszak.