Dyrektywa NIS2 została zatwierdzona przez Unię Europejską w grudniu 2022 roku, a poszczególne kraje UE zostały zobligowane do jej implementacji do 18 października 2024 r. W praktyce nie jest ona jeszcze jednak wdrożona do porządków prawnych wielu państw Wspólnoty. W przypadku Polski nastąpi to najpewniej w 2025 roku. Nowe przepisy odnoszą się również do kwestii legalnego korzystania z oprogramowania z rynku wtórnego.
NIS2 – kogo dotyczy?
Nowe przepisy obejmą dziesiątki tysięcy przedsiębiorstw na terenie całej Unii, wnosząc istotne zmiany do sposobu zarządzania cyberbezpieczeństwem w sektorze publicznym i prywatnym. W odróżnieniu od poprzedniczki, czyli dyrektywy NIS, nowa będzie miała wpływ również m.in. na administrację publiczną, sektor spożywczy, przemysł czy chociażby sektor odpadowy.
Dyrektywa NIS2 określa dwa rodzaje podmiotów:
- Podmioty kluczowe, które mają najszerszy zakres obowiązków.
- Podmioty ważne, które podlegają regulacjom, ale muszą spełnić mniej rygorystyczne wymagania.
Za podmiot kluczowy i ważny co do zasady mogą być uznane firmy będące co najmniej średnim przedsiębiorstwem (które zatrudnia co najmniej 50 osób bądź którego obroty roczne przekraczają 10 mln EUR), ale Dyrektywa zawiera też wyjątki w tym zakresie. Do 17 kwietnia 2025 r. państwa członkowskie są zobligowane do stworzenia listy podmiotów, które mają być objęte nowymi przepisami.
Choć NIS2 wprowadza niemalże takie same obowiązki dla podmiotów kluczowych i ważnych, to uwzględniają one w pewnym stopniu specyfikę danej organizacji. Chodzi przede wszystkim o to, aby obowiązki były:
- proporcjonalne,
- uwzględniające stopień narażenia podmiotu na ryzyko,
- uwzględniające wielkość podmiotu,
- uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.
NIS2 a oprogramowanie z rynku wtórnego
W kontekście implementacji założeń Dyrektywy NIS2, każda organizacja nią objęta będzie brała pod uwagę różne aspekty bezpiecznego zarządzania infrastrukturą IT, co dotyczy również oprogramowania z rynku wtórnego. Wybór tzw. aftermarket software może pozwolić na optymalizację kosztową sięgającą nawet 70 proc. ceny w stosunku do zakupu bezpośrednio od producenta, i tu również należy pamiętać o kilku aspektach związanych z bezpieczeństwem cybernetycznym.
Co najważniejsze, należy korzystać tylko z oprogramowania, dla którego nie zakończył się tzw. cykl życia produktu. Oznacza to, że dla takiego softu producent wciąż dostarcza najnowsze aktualizacje wpływające m.in. na poprawę cyberbezpieczeństwa. Cykl ten trwa niekiedy nawet kilkanaście lat, warto jednak zawsze zapytać o szczegóły profesjonalnego brokera oprogramowania.
Cykl życia oprogramowania składa się najczęściej z trzech faz:
- pierwsza to pełne wsparcie, kiedy dane oprogramowanie otrzymuje wszystkie update’y zarówno związane zarówno z kwestiami bezpieczeństwa, jak i innymi obszarami, a poza tym możliwe jest żądanie od producenta wprowadzenia zmian w produkcie bądź jego funkcjonalnościach;
- druga to wsparcie rozszerzone. Różni się ona od pierwszej przede wszystkim tym, że nie jest już możliwe żądanie wprowadzenia zmian w produkcie bądź jego funkcjonalnościach oraz nie są już dostępne aktualizacje niezwiązane z cyberbezpieczeństwem. Inne elementy, takie jak update’y dotyczące cyberbezpieczeństwa czy dostęp do supportu pozostają bez zmian;
- trzecia to faza po zakończeniu wsparcia. Wówczas przez jakiś czas możliwe jest jeszcze korzystanie z aktualizacji z obszaru cyberbezpieczeństwa, ale tylko za dodatkową opłatą. To jednocześnie ostatni moment, w którym należy się rozejrzeć za nowszym oprogramowaniem.
Alternatywą przy fazie trzeciej może być również skorzystanie ze specjalnych rozwiązań na rzecz poprawy bezpieczeństwa cybernetycznego oprogramowania, które nie jest już wspierane przez producenta. Tego typu rozwiązania mogą być oferowane np. przez wyspecjalizowanych brokerów.
Osoby zarządzające infrastrukturą IT w danej organizacji nie powinny zapominać więc o regularnym instalowaniu patchy i aktualizacji, które mogą pomóc w zapobiegnięciu narażenia systemów na atak. Oprócz tego zawsze należy korzystać wyłącznie ze zweryfikowanego oprogramowania. Na rynku funkcjonuje bowiem szereg nieuczciwych podmiotów, które oferują np. wyłącznie klucze produktowe bez pełnej dokumentacji. W przypadku takiego nielegalnego zakupu istnieje zwiększone ryzyko związane z tym, że wśród nabytych produktów może kryć się złośliwe oprogramowanie.
Pozostałe kwestie są uniwersalne i dotyczą każdego rodzaju oprogramowania.
1. Należy zapobiegać wykorzystywaniu prostych i powtarzalnych haseł, które mogą być łatwo złamane przez atakujących. Wiąże się to również z koniecznością przeprowadzania regularnych szkoleń dla pracowników. Te powinny obejmować kwestie związane z ryzykami dla cyberbezpieczeństwa oraz środkami, które można podejmować, aby niwelować te ryzyka.
2. Trzeba pamiętać o regularnym wykonywaniu kopii zapasowych, aby w razie incydentu nie musieć mierzyć się z nieodwracalną utratą dużej ilości danych.
3. Należy wreszcie czuwać nad bezpieczeństwem fizycznym infrastruktury. Zarządzający nią zawsze powinni dbać o to, aby dostęp do obszarów, w których znajdują się systemy informatyczne, był zawsze ściśle kontrolowany, a cała infrastruktura IT była fizycznie chroniona przed kradzieżą i sabotażem.
Warto zaznaczyć, że co do zasady oprogramowanie z rynku wtórnego (on-premise) – jest znacznie mniej podatne na ataki cybernetyczne niż to dostępne w postaci chmurowych subskrypcji (tzw. SaaS). Jednak również w tym przypadku zawsze lepiej pamiętać o działaniach profilaktycznych niż musieć mierzyć się z poważnym kryzysem będącym efektem np. złamania procedur.
Michal Baudys, Public Sector Strategy Leader for EU Markets w Forscope
