Poruszanie się po dzisiejszych najważniejszych przepisach dotyczących cyberbezpieczeństwa

Dlaczego zgodność ma znaczenie w przepisach dotyczących cyberbezpieczeństwa

W dzisiejszym połączonym świecie bezpieczeństwo danych i sieci to już nie tylko kwestie techniczne - to imperatywy prawne i reputacyjne. Wraz z ewolucją zagrożeń i rozwojem infrastruktury cyfrowej, ramy regulacyjnezaprojektowane w celu zapewnienia bezpieczeństwa systemów muszą nadążać. Osiągnięcie zgodności z tymi przepisami nie polega jednak wyłącznie na unikaniu grzywien lub wypełnianiu rubryk. Chodzi o uwzględnienie bezpieczeństwa na każdym etapie rozwoju produktu i integracji systemu.

W pierwszych dwóch blogach z tej serii zbadaliśmy ludzką stronę cyberbezpieczeństwa - dlaczego świadomość ma znaczenie? dlaczego świadomość ma znaczenie i jak odpowiedzialnie radzić sobie z lukami w zabezpieczeniach. Teraz skupiamy się na przepisach dotyczących cyberbezpieczeństwa, które określają minimalny standard bezpiecznych systemów.

Dla zarządców nieruchomości, deweloperów i integratorów systemów pytanie jest proste: czy zaufałbyś urządzeniu, które nie spełnia najnowszych standardów cyberbezpieczeństwa? Gdy producent pomija obowiązkowe przepisy dotyczące cyberbezpieczeństwa, rodzi to znacznie większe obawy - co jeszcze może zaniedbywać?

Obowiązkowe przepisy: Czego należy przestrzegać

Dyrektywa w sprawie bezpieczeństwa sieci i informacji 2 (NIS2): Zwiększanie świadomości w zakresie cyberbezpieczeństwa w UE

Czym jest NIS2?
Przyjęta przez UE w 2022 r. dyrektywa w sprawie bezpieczeństwa sieci i informacji 2 (NIS2) rozszerza obowiązkowe wymogi w zakresie cyberbezpieczeństwa na szerszy zakres branż, w tym infrastrukturę krytyczną, usługi cyfrowe, producentów urządzeń podłączonych do sieci, usługi pocztowe/kurierskie, naukę, badania i edukację. Zgodnie z NIS2 spółki muszą:

• Przyjęcie opartych na ryzyku środków bezpieczeństwa dla swoich sieci i systemów informatycznych.

• Zgłaszaj poważne incydenty związane z bezpieczeństwem w ciągu 24 godzin od ich wykrycia. 

• Wdrożenie bardziej rygorystycznych wymogów bezpieczeństwa łańcucha dostaw, zapewniających, że cały ekosystem - w tym producenci, integratorzy i dostawcy usług - przestrzega solidnych praktyk bezpieczeństwa.

NIS2 odgrywa kluczową rolę w ochronie podstawowych usług w całej UE, egzekwując bardziej rygorystyczne środki cyberbezpieczeństwa i świadomość w celu ochrony infrastruktury krytycznej, w tym sieci energetycznych, systemów zaopatrzenia w wodę i systemów opieki zdrowotnej. W ten sposób zapewnia, że codzienne podstawowe usługi - takie jak energia elektryczna, czysta woda i usługi medyczne - pozostają odporne na zagrożenia cybernetyczne, chroniąc w ten sposób zarówno stabilność społeczną, jak i bezpieczeństwo publiczne.

Dowiedz się więcej z naszego wpisu na blogu: Droga do bezpieczeństwa cyfrowego: spojrzenie na unijną dyrektywę NIS2.

Dyrektywa w sprawie urządzeń radiowych (RED): Wymagania cyberbezpieczeństwa dla urządzeń bezprzewodowych

Co to jest RED?

Dyrektywa Dyrektywa w sprawie urządzeń radiowych (RED), egzekwowana przez Unię Europejską, ewoluuje w kierunku wprowadzenia obowiązkowych wymogów cyberbezpieczeństwa dla wszystkich urządzeń bezprzewodowych i podłączonych do sieci radiowych. Jest to również istotne w przypadku domofonów opartych na protokole IP i systemów kontroli dostępu, ponieważ systemy te często wykorzystują technologie radiowe do kontroli dostępu, takie jak czytniki kart RFID lub czytniki Bluetooth. Jeśli urządzenie nie będzie zgodne z dyrektywą RED, może być narażone na zakłócenia w działaniu lub nawet zakaz sprzedaży w UE. Obejmuje to:

• Zapewnienie odporności sieci, aby zapobiec nieautoryzowanemu dostępowi.

• Ochrona danych osobowych i prywatności poprzez wymaganie od producentów wdrożenia silniejszego szyfrowania i uwierzytelniania.

• Zapobieganie oszustwom poprzez zapewnienie, że urządzenia nie mogą zostać wykorzystane poprzez słabe konfiguracje zabezpieczeń.

Bądź na bieżąco z naszym blogiem: Gotowy na RED? Zgodność z dyrektywą w sprawie urządzeń radiowych.

Bezpieczeństwo produktów i infrastruktura telekomunikacyjna (PSTI)

• Zadeklaruj, jak długo aktualizacje oprogramowania będą dostępne przed zakończeniem okresu eksploatacji produktu.

• Wyłącz korzystanie z produktów z domyślnymi hasłami, upewniając się, że urządzenia wymuszają konfigurację unikalnych haseł.

• Publicznie udostępniaj użytkownikom i badaczom środki umożliwiające zachowanie świadomości w zakresie cyberbezpieczeństwa i zgłaszanie potencjalnych błędów.

Standardy branżowe: Wyjście poza zgodność z przepisami

Podczas gdy obowiązkowe przepisy określają minimalne wymagania dotyczące cyberbezpieczeństwa, certyfikaty branżowe świadczą o zobowiązaniu do przestrzegania wyższych standardów bezpieczeństwa. Chociaż certyfikaty te nie są prawnie wymagane, służą jako potężne wskaźniki, że firma poważnie traktuje świadomość cyberbezpieczeństwa i ma ustrukturyzowane, powtarzalne procesy zarządzania ryzykiem. Wiodący sprzedawcy stosują ramy takie jak:

• ISO 27001 - Międzynarodowy standard zarządzania bezpieczeństwem informacji
  Uznawany na całym świecie certyfikat, który gwarantuje, że firma przestrzega ustrukturyzowanych zasad cyberbezpieczeństwa i strategii zarządzania ryzykiem. 2N posiada ten certyfikat, co świadczy o naszym zaangażowaniu w dokładne praktyki cyberbezpieczeństwa.

• EN 303 645 - Norma bezpieczeństwa dla urządzeń IoT
  Europejski standard określający najlepsze praktyki w zakresie bezpieczeństwa podłączonych urządzeń, w tym bezpieczne aktualizacje oprogramowania, zasady dotyczące haseł, wymagania dotyczące ochrony danych i wiele innych.

• Zgodność z NDAA - Zapewnienie zaufania na rynku amerykańskim i poza nim
  USA. Ustawa o autoryzacji obrony narodowej (NDAA) ogranicza korzystanie ze sprzętu telekomunikacyjnego i bezpieczeństwa niektórych producentów, którzy są uważani za zagrożenie dla cyberbezpieczeństwa. Integratorzy pracujący nad projektami rządowymi lub projektami infrastruktury krytycznej muszą upewnić się, że wszystkie urządzenia, takie jak kamery IP, domofony i czytniki dostępu, spełniają wymagania zgodności z NDAA. Nie jest to jednak tylko wymóg rządu USA; wiele organizacji pozarządowych na całym świecie dobrowolnie przyjmuje te same standardy bezpieczeństwa. Wykluczając niezaufane marki, wzmacniają odporność swoich systemów i zapewniają długoterminowe cyberbezpieczeństwo.
  
  

Zgodność to dopiero początek - przywództwo w zakresie cyberbezpieczeństwa wykracza poza nią

Chociaż przestrzeganie standardów takich jak RED, NIS2 czy PSTI jest niezbędne, sama zgodność nie oznacza, że firma jest liderem w dziedzinie cyberbezpieczeństwa. Zgodność z przepisami to wymóg minimalny - wyjście poza i zrozumienie złożoności cyberbezpieczeństwa jest tym, co wyróżnia bezpieczne i myślące przyszłościowo marki.

Wiele firm nadal postrzega świadomość w zakresie cyberbezpieczeństwa jako konieczność wynikającą ze zgodności z przepisami, a nie strategiczną przewagę. Jednak rzeczywiste incydenty pokazały, że inwestowanie w solidne środki bezpieczeństwa to nie tylko unikanie kar - to ochrona ciągłości biznesowej, zaufania klientów, a nawet życia.

Dla integratorów systemów i zarządców nieruchomości wybór odpowiednich dostawców ma kluczowe znaczenie. Przed podjęciem decyzji zadaj sobie pytanie:

• Czy producent zapewnia długoterminowe wsparcie dla oprogramowania i aktualizacje zabezpieczeń?

• Czy są one przejrzyste w kwestii ujawniania luk i poprawek?

• Czy wykraczają one poza wymogi prawne, stosując się do najlepszych praktyk, takich jak ISO 27001 i EN 303 645?

Jeśli odpowiedź brzmi nie, być może nadszedł czas, aby ponownie rozważyć swoje opcje. Zagrożenia cybernetyczne nie czekają - dlaczego ty powinieneś?