Droga do bezpieczeństwa cyfrowego: spojrzenie na unijną dyrektywę NIS2

Zagrożenia cybernetyczne i reakcja Europy

Rozwijająca się cyfryzacja to nie tylko postęp. Wiąże się to również z rosnącym ryzykiem: cyberatakami. Aby temu zaradzić, Unia Europejska wprowadziła w 2016 r. dyrektywę NIS (Network and Information Security). Celem było wzmocnienie cyberbezpieczeństwa w strategicznych, kluczowych sektorach: w szczególności w energetyce, transporcie, bankowości, rynkach finansowych, opiece zdrowotnej, gospodarce wodnej i infrastrukturze cyfrowej.

Od tego czasu nastąpiły jednak fundamentalne zmiany w społeczeństwie, zwłaszcza po pandemii COVID-19. Masowe wdrażanie narzędzi do wideokonferencji (takich jak MS Teams, Zoom czy Google Meet) w połączeniu ze zwiększonym popytem na usługi handlu elektronicznego i dostawy zintensyfikowały przejście do świata cyfrowego. W rzeczywistości McKinsey szacuje, że pandemia przyspieszyła cyfryzację o 3 do 4 lat. Takie zmiany przyniosły nowe wyzwania w zakresie cyberbezpieczeństwa, dlatego UE musiała zaktualizować swoją dyrektywę.

NIS2: Bardziej rygorystyczne zasady dla bezpieczniejszego świata

W listopadzie 2022 r. UE przyjęła nową dyrektywę NIS2. Dyrektywa ta znacznie rozszerza zakres pierwotnego prawodawstwa i zaostrza środki bezpieczeństwa. Oprócz siedmiu pierwotnych sektorów, NIS2 obejmuje teraz nowe obszary, takie jak produkcja, usługi pocztowe/kurierskie, nauka, badania i edukacja.

NIS2 wymaga, aby firmy i organizacje we wszystkich tych sektorach identyfikowały zagrożenia cybernetyczne i zarządzały nimi, zabezpieczały systemy informatyczne i regularnie szkoliły pracowników. Jedna z nowych regulacji mówi nawet o obowiązku zgłaszania poważnych incydentów bezpieczeństwa w ciągu 24 godzin od ich wykrycia, ze szczegółowym raportem w ciągu 72 godzin i raportem końcowym w ciągu 30 dni. 

Dyrektywa dzieli również organizacje na dwie kategorie - podmioty "kluczowe" i "krytyczne", przy czym każda kategoria ma określone obowiązki. Kary za nieprzestrzeganie zasad mogą być bardzo surowe. Istotnym podmiotom grożą grzywny w wysokości do 10 milionów euro lub 2% światowego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa. Duże podmioty mogą zostać ukarane grzywną w wysokości do 7 milionów euro lub 1,4% obrotów.

Jak 2N przygotowuje się do NIS2?

2N musi być zgodny z NIS2: Kwalifikuje się jako podmiot zobowiązany (ponad 250 pracowników i roczny obrót przekraczający 10 milionów euro) i podlega wielu sektorom regulowanym, takim jak "Produkcja urządzeń i sprzętu elektronicznego", "Świadczenie publicznie dostępnych usług łączności elektronicznej", a także "Dostawca usług przetwarzania w chmurze".
Firma jest aktywna w kwestii cyberbezpieczeństwa od dłuższego czasu i posiada certyfikat ISO 27001, który regularnie podtrzymuje podczas audytów nadzoru i recertyfikacji. W tym roku firma 2N uzyskała również certyfikat bezpieczeństwa IEC 62443-4-1, który ma zastosowanie do jej produktów windowych.

Ale co dalej? 2N musi przestrzegać surowych zasad NIS2 oraz dokładnie i regularnie weryfikować istniejące środki bezpieczeństwa. W związku z tym przeprowadzają analizę luk, aby określić, które obowiązki NIS2 już spełnia (poprzez certyfikację ISO 27001), a co jeszcze należy wdrożyć. Ponieważ cyberbezpieczeństwo jest jednym z głównych priorytetów 2N, firma spodziewa się, że zgodność z pozostałymi wymogami przebiegnie sprawnie i w wymaganym prawem terminie. Możesz mieć pewność, że wybierając 2N, nie ryzykujesz niezgodności z dyrektywami UE.

Wiedza, zaufanie i przejrzystość: kluczowe wartości

2N od dawna opiera się na rozległej wiedzy i doświadczeniu w zakresie cyberbezpieczeństwa swojej spółki macierzystej AXIS. Eksperci z obu firm są w codziennym kontakcie i dzielą się najlepszymi praktykami i pomysłami na bezpieczny rozwój.

Jednym z kluczowych narzędzi przyjętych przez 2N jest Axis Security Development Model (ASDM), który określa 13 procesów i praktyk bezpieczeństwa, które koncentrują się na wdrażaniu (a następnie weryfikacji) środków bezpieczeństwa na każdym etapie rozwoju. Takie podejście minimalizuje ryzyko incydentów bezpieczeństwa oraz wzmacnia zaufanie i satysfakcję klientów.
Zaufanie i przejrzystość między firmą a jej klientami to kluczowe wartości dla 2N. Firma publikuje wszystkie materiały i informacje związane z cyberbezpieczeństwem na swojej stronie internetowej - co nie tylko zapewnia bezpieczeństwo jej produktów i usług, ale także wzmacnia zaufanie do ich niezawodności.

Wniosek