1. Określ, czy Twoja organizacja podlega dyrektywie NIS2
Rozpocznij od oceny, czy Twoja organizacja mieści się w zakresie NIS2 lub czy świadczy usługi zarządzane bądź inne usługi dla podmiotów regulowanych przez NIS2. Dodatkowo określ, które przepisy państwa członkowskiego mają zastosowanie do Twojej organizacji, aby zrozumieć konkretne wymagania, których musisz przestrzegać.
W przypadku Polski głównym aktem prawnym jest Ustawa o Krajowym Systemie Cyberbezpieczeństwa. W lutym 2025 roku opublikowano już piątą wersję projektu nowelizacji tej ustawy, wdrażającą unijną dyrektywę NIS2 do polskiego prawa: https://legislacja.rcl.gov.pl/projekt/12384504/katalog/13055217#13055217
Każde państwo członkowskie (Austria, Belgia, Bułgaria, Chorwacja, Cypr, Czechy, Dania, Estonia, Finlandia, Francja, Niemcy, Grecja, Węgry, Islandia, Irlandia, Włochy, Łotwa, Liechtenstein, Litwa, Luksemburg, Malta, Holandia, Norwegia, Polska, Portugalia, Rumunia, Słowacja, Słowenia, Hiszpania, Szwecja) musi indywidualnie dostosować dyrektywę NIS2 do swojego systemu prawnego.
2. Wyznacz dedykowane role i przypisz obowiązki
Określ i przypisz odpowiednie obowiązki dla następujących ról (lub ich odpowiedników):
- Chief Information Officer (CIO) – Dyrektor ds. Informacji
- Chief Information Security Officer (CISO) – Dyrektor ds. Bezpieczeństwa Informacji
- IT Security Incident Handling Officer – Specjalista ds. Reagowania na Incydenty IT
W zależności od wielkości podmiotu bezpieczeństwo sieci i systemów informatycznych powinno być zarządzane przez dedykowane role (np. CISO) lub w mniejszych organizacjach – realizowane w ramach istniejących ról IT.
3. Oceń swoją obecną postawę w zakresie cyberbezpieczeństwa
Rozpocznij od dokładnej analizy obecnych systemów IT, mechanizmów zabezpieczeń oraz stosowanych praktyk w zakresie cyberbezpieczeństwa. Zidentyfikuj luki i słabości w stosunku do wymagań NIS2.
Do czasu określenia dokładnych wymagań NIS2 w Twoim kraju można korzystać z Rozporządzenia Wykonawczego Komisji (UE) 2024/2690 z 17 października 2024, określającego zasady stosowania dyrektywy UE 2022/2555 w zakresie technicznych i metodologicznych wymagań dotyczących zarządzania ryzykiem cyberbezpieczeństwa (https://eur-lex.europa.eu/eli/reg_impl/2024/2690/oj) i Wytycznych ENISA dotyczących wdrażania środków bezpieczeństwa NIS2 (https://www.enisa.europa.eu/publications/implementation-guidance-on-nis-2-security-measures).
Struktura NIS2 opiera się na trzech głównych kategoriach, więc należy je rozważyć w pierwszej kolejności podczas przeprowadzania analizy luk:
- Zarządzanie (art. 20). NIS2 podkreśla znaczenie roli kierownictwa w zapewnianiu zgodności i ogólnego cyberbezpieczeństwa.
Państwa członkowskie zapewniają, aby organy zarządzające istotnych i ważnych podmiotów zatwierdzały środki zarządzania ryzykiem cybernetycznym podejmowane przez te podmioty w celu zapewnienia zgodności z art. 21.
Państwa członkowskie zapewniają, aby członkowie organów zarządzających istotnych i ważnych podmiotów byli zobowiązani do odbycia szkoleń, oraz zachęcają istotne i ważne podmioty do regularnego oferowania podobnych szkoleń swoim pracownikom, tak aby zdobyli oni wystarczającą wiedzę i umiejętności umożliwiające im identyfikację zagrożeń i ocenę praktyk w zakresie zarządzania ryzykiem cybernetycznym oraz ich wpływu na usługi świadczone przez dany podmiot.
Może to wymagać przeglądu kultury organizacyjnej i przyjęcia zmian w zachowaniu.
- Środki zarządzania ryzykiem cybernetycznym (art. 21). NIS2 zobowiązuje organizacje do oceny i przygotowania się na wszystkie potencjalne zagrożenia poprzez wdrożenie odpowiednich i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych.
Państwa członkowskie zapewniają, aby istotne i ważne podmioty podejmowały odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem związanym z bezpieczeństwem sieci i systemów informatycznych, które podmioty te wykorzystują do swojej działalności lub do świadczenia swoich usług, oraz w celu zapobiegania wpływowi incydentów na odbiorców ich usług i na inne usługi lub minimalizowania tego wpływu.
Środki te opierają się na podejściu uwzględniającym wszystkie zagrożenia, które ma na celu ochronę sieci i systemów informatycznych oraz fizycznego środowiska tych systemów przed incydentami, i obejmują co najmniej następujące elementy:
polityki dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych;
obsługi incydentów;
ciągłości działania, takiej jak zarządzanie kopiami zapasowymi i odzyskiwanie danych po awarii oraz zarządzanie kryzysowe;
bezpieczeństwa łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczących relacji między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
bezpieczeństwo w zakresie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowanie z lukami w zabezpieczeniach i ich ujawnianie;
polityki i procedury oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa;
podstawowe praktyki higieny cybernetycznej i szkolenia w zakresie cyberbezpieczeństwa;
polityki i procedury dotyczące stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
bezpieczeństwo zasobów ludzkich, zasady kontroli dostępu i zarządzanie aktywami;
stosowanie uwierzytelniania wieloskładnikowego lub rozwiązań uwierzytelniania ciągłego, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów komunikacji awaryjnej w ramach podmiotu, w stosownych przypadkach.
- Sprawozdawczość (art. 23). Zapewnienie przejrzystej i terminowej sprawozdawczości po incydencie w celu dostosowania do wymogów NIS2.
Certyfikacja cyberbezpieczeństwa UE (art. 24). W celu wykazania zgodności ze szczególnymi wymogami art. 21 państwa członkowskie mogą wymagać od istotnych i ważnych podmiotów korzystania z określonych produktów ICT, usług ICT i procesów ICT, opracowanych przez istotny lub ważny podmiot lub nabytych od osób trzecich, które są certyfikowane w ramach europejskich programów certyfikacji cyberbezpieczeństwa. Ponadto państwa członkowskie zachęcają istotne i ważne podmioty do korzystania z kwalifikowanych usług zaufania.
4. Powiadom i aktywuj kierownictwo
Upewnij się, że zespół zarządzający Twoją organizacją w pełni rozumie implikacje i wymagania dyrektywy NIS2. Przedstaw przekonujące uzasadnienie biznesowe, które szczegółowo opisuje ryzyko związane z nieprzestrzeganiem przepisów i podkreśla zalety proaktywnych środków cyberbezpieczeństwa.
5. Przydziel odpowiedni budżet i zasoby
Współpracuj z kierownictwem w celu uzyskania niezbędnego budżetu i zasobów do wdrożenia wymaganych kontroli i procesów bezpieczeństwa. Może to obejmować inwestycje w nowe technologie, zatrudnianie personelu, zapewnianie szkoleń i bieżącą konserwację.
6. Utwórz strategię i plan realizacji
Na podstawie oceny luk stwórz kompleksową strategię i plan realizacji, aby spełnić wymagania NIS2.
7. Wdróż środki organizacyjne
Zweryfikuj i zaktualizuj lub opracuj i wdróż polityki bezpieczeństwa, procedury reagowania na incydenty oraz plany ciągłości działania i odzyskiwania danych po awarii. Określ polityki i procedury dotyczące przeprowadzania regularnych ocen ryzyka, identyfikowania słabych punktów, zarządzania kontrolą dostępu, ochrony danych, zabezpieczania łańcucha dostaw i wdrażania odpowiednich środków kontroli bezpieczeństwa w celu zarządzania zidentyfikowanym ryzykiem.
Przykładowy zestaw polityk:
- Polityka bezpieczeństwa sieci i systemów informatycznych
- Polityka obsługi incydentów
- Polityka bezpieczeństwa łańcucha dostaw
- Polityka testowania bezpieczeństwa
- Polityka oceny skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa
- Polityka związana z kryptografią
- Polityka kontroli dostępu
- Polityka zarządzania kontami uprzywilejowanymi i kontami administracji systemu
- Polityka postępowania z informacjami i zasobami
- Polityka dotycząca nośników wymiennych
8. Wdróż środki techniczne
Wdróż niezbędne techniczne środki kontroli bezpieczeństwa, takie jak uwierzytelnianie wieloskładnikowe, szyfrowanie, segmentacja sieci, kontrola dostępu, zarządzanie lukami w zabezpieczeniach oraz funkcje monitorowania i rejestrowania zabezpieczeń.
Oto niektóre urządzenia i rozwiązania techniczne zalecane w celu zapewnienia zgodności z NIS2:
- Zapory sieciowe
- Systemy wykrywania i zapobiegania włamaniom (IDS/IPS)
- Uwierzytelnianie wieloskładnikowe (MFA)
- Narzędzia szyfrujące
- Rozwiązania do ochrony punktów końcowych
- Systemy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM)
- Narzędzia do zarządzania podatnościami
- Systemy kontroli dostępu
- Platformy reagowania na incydenty
- Rozwiązania do tworzenia kopii zapasowych i odzyskiwania danych
- Rozwiązania bezpieczeństwa łańcucha dostaw
9. Zapewnij szkolenie w zakresie cyberbezpieczeństwa
Upewnij się, że wszyscy pracownicy przechodzą regularne szkolenia z zakresu cyberbezpieczeństwa, które uwzględniają ich role i obowiązki zawodowe.
GRUPY DOCELOWE
Kadra zarządzająca: Szkolenia dla członków kadry zarządzającej mają na celu zapewnienie im niezbędnej wiedzy i umiejętności do identyfikowania zagrożeń cybernetycznych, oceny praktyk zarządzania ryzykiem i ich wpływu na usługi świadczone przez podmiot oraz wdrażania i nadzorowania polityk bezpieczeństwa.
Pracownicy: techniczni i nietechniczni: Szkolenia dla pracowników wszystkich szczebli mają na celu wyposażenie ich w wiedzę i umiejętności niezbędne do bezpiecznego wykonywania obowiązków, identyfikowania i zgłaszania zagrożeń oraz reagowania na incydenty bezpieczeństwa.
PODNOSZENIE ŚWIADOMOŚCI I PODSTAWOWE PRAKTYKI W ZAKRESIE CYBERHIGIENY
(odpowiednie podmioty zapewniają, że ich pracownicy są świadomi zagrożeń, są informowani o znaczeniu cyberbezpieczeństwa i stosują praktyki higieny cybernetycznej)
- Szkolenie uświadamiające: celem tego szkolenia jest podniesienie świadomości pracowników w zakresie cyberbezpieczeństwa, w tym rozpoznawania zagrożeń, przestrzegania bezpiecznych praktyk korzystania z systemów informatycznych, urządzeń mobilnych i poczty elektronicznej, ochrony danych osobowych i zgłaszania podejrzanych incydentów.
Tematy, które należy uwzględnić w programie mogą obejmować (orientacyjna, niewyczerpująca lista):
- Szkolenie personelu w zakresie rozpoznawania ataków socjotechnicznych, takich jak phishing, pre-texting i tailgating.
- Szkolenie personelu w zakresie rozpoznawania przyczyn niezamierzonego ujawnienia danych. Przykładowe tematy obejmują błędne dostarczenie wrażliwych danych, utratę przenośnego urządzenia użytkownika końcowego lub publikowanie danych niezamierzonym odbiorcom.
- Szkolenie personelu w zakresie zagrożeń związanych z łączeniem się z niezabezpieczonymi sieciami i przesyłaniem przez nie danych na potrzeby działalności jednostki. Jeśli podmiot zatrudnia pracowników zdalnych, szkolenie powinno obejmować wytyczne mające na celu zapewnienie, że wszyscy użytkownicy bezpiecznie skonfigurują swoją domową infrastrukturę sieciową.
- Szkolenie personelu w zakresie rozumienia złośliwego i nieautoryzowanego oprogramowania, znaczenia wykrywania złośliwego oprogramowania oraz ryzyka i konsekwencji korzystania z nieautoryzowanego oprogramowania.
PODNOSZENIE ŚWIADOMOŚCI I PODSTAWOWE PRAKTYKI W ZAKRESIE CYBERHIGIENY
(odpowiednie podmioty identyfikują pracowników, których role wymagają zestawów umiejętności i wiedzy specjalistycznej związanych z bezpieczeństwem, oraz zapewniają im regularne szkolenia w zakresie bezpieczeństwa sieci i systemów informatycznych)
- Oceń, które role w podmiocie wymagają umiejętności i wiedzy specjalistycznej związanych z bezpieczeństwem.
- Zaoferuj szkolenie, które koncentruje się na konkretnych umiejętnościach w zakresie bezpieczeństwa wymaganych przez zidentyfikowane role.
- Zapewnij okresowe szkolenia w zakresie cyberbezpieczeństwa: program powinien być regularnie aktualizowany i prowadzony z uwzględnieniem obowiązujących polityk i zasad, przypisanych ról, obowiązków, a także znanych zagrożeń cybernetycznych i rozwoju technologicznego.
Tematy, które należy uwzględnić w programie mogą obejmować (orientacyjna, niewyczerpująca lista):
- Zarządzanie ryzykiem cybernetycznym: szkolenia te powinny obejmować identyfikację, analizę, ocenę i zarządzanie ryzykiem cybernetycznym, a także wybór i wdrażanie odpowiednich środków bezpieczeństwa.
- Obsługa incydentów cybernetycznych: szkolenia te powinny koncentrować się na procedurach wykrywania, reagowania, zgłaszania i odzyskiwania danych po incydentach, a także zgłaszania incydentów do CSIRT lub odpowiednich organów.
- Ciągłość działania i zarządzanie kryzysowe: szkolenia te mają na celu przygotowanie pracowników na sytuacje kryzysowe i zapewnienie ciągłości działania, na przykład w przypadku cyberataku zakłócającego działanie systemów IT.
- Bezpieczeństwo sieci: szkolenie powinno obejmować takie tematy jak segmentacja sieci, ochrona przed złośliwym oprogramowaniem, konfiguracja zapory sieciowej, bezpieczne korzystanie z sieci bezprzewodowych i VPN, zarządzanie tożsamością i dostępem, testowanie bezpieczeństwa i stosowanie poprawek bezpieczeństwa.
- Kryptografia: szkolenia te powinny koncentrować się na podstawach kryptografii, bezpiecznym przechowywaniu i zarządzaniu kluczami kryptograficznymi, szyfrowaniu danych i komunikacji oraz korzystaniu z podpisów elektronicznych i usług zaufania.
- Zarządzanie aktywami: szkolenia te obejmują klasyfikację, inwentaryzację, ochronę i bezpieczną obsługę aktywów, w tym informacji, systemów informatycznych i nośników danych.
- Bezpieczeństwo fizyczne i środowiskowe: szkolenia powinny dotyczyć takich kwestii jak kontrola dostępu do pomieszczeń, fizyczne bezpieczeństwo infrastruktury IT, ochrona przed zagrożeniami środowiskowymi (np. pożar, powódź) oraz procedury postępowania w przypadku przerw w dostawie prądu lub innych awarii systemu.
Oto kilka zalecanych szkoleń na określone tematy:
- Podstawowe praktyki cyberhigieny/Szkolenia w zakresie świadomości bezpieczeństwa
- Aware by EC-Council
- Compendium CE > Security Awareness
- Zarządzanie cyberbezpieczeństwem i bezpieczeństwem informacji
- ISC2 > ISC2 CISSP Certification Prep Course
- Mile2 > C)ISSO – Certified Information Systems Security Officer
- Mile2 > C)SLO – Certified Security Leadership Officer
- Mile2 > C)CSSM – Certified Cybersecurity Systems Manager
- CompTIA > CompTIA SecurityX Prep Course
- Zarządzanie ryzykiem
- ISC2 > ISC2 CISSP Certification Prep Course
- Mile2 > C)ISRM – Information Systems Risk Manager
- Mile2 > C)RMFA – Risk Manager Framework Analyst
- Wykrywanie podatności i testy penetracyjne
- Mile2 > C)VA – Certified Vulnerability Assessor
- EC-Council > CEH – Certified Ethical Hacker v13
- CompTIA > CompTIA PenTest+ Prep Course
- Mile2 > C)PTE – Certified Penetration Testing Engineer
- OffSec > OffSec PEN-200 Penetration Testing with Kali Linux
- Obsługa incydentów
- CompTIA > CompTIA CySA+ Prep Course
- Mile2 > C)IHE – Certified Incident Handling Engineer
- Mile2 > C)TIA – Certified Threat Intelligence Analyst
- Mile2 > C)CSA – Certified Cyber Security Analyst
- Mile2 > C)DFE – Certified Digital Forensics Examiner
- Mile2 > C)NFE – Certified Network Forensics Examiner
- Kopie zapasowe sieci, planowanie ciągłości działania, odzyskiwanie danych po awarii
- Mile2 > C)DRE – Certified Disaster Recovery Engineer
- Bezpieczeństwo sieci
- Check Point
- Extreme Networks
- F5 Networks
- Fortinet
- HPE Aruba Networking
- Infoblox
- Netskope
- Palo Alto Networks
- Radware
10. Oceń i zarządzaj ryzykiem łańcucha dostaw
Należy ocenić stan cyberbezpieczeństwa dostawców i usługodawców organizacji oraz wdrożyć odpowiednie środki bezpieczeństwa w celu ograniczenia ryzyka w całym łańcuchu dostaw.
Aby spełnić wymogi dyrektywy NIS2 w zakresie bezpieczeństwa łańcucha dostaw, organizacje powinny wdrożyć następujące środki bezpieczeństwa:
- Sprawdzić i monitorować dostawców: Starannie wybieraj dostawców na podstawie ich praktyk w zakresie cyberbezpieczeństwa i stale monitoruj ich zgodność z wymogami bezpieczeństwa.
- Przeprowadzać regularne oceny ryzyka: Oceniaj i zarządzaj ryzykiem związanym z dostawcami i stronami trzecimi.
- Wdrażać silne mechanizmy kontroli dostępu: Upewnij się, że tylko upoważniony personel ma dostęp do wrażliwych informacji i systemów.
- Wprowadzać bezpieczne kanały komunikacji: Korzystaj z bezpiecznych metod komunikacji, takich jak szyfrowane wiadomości e-mail i bezpieczne platformy komunikacyjne, aby chronić wymianę informacji.
- Używać szyfrowania: Chroń dane przesyłane i przechowywane przy użyciu solidnych metod szyfrowania.
- Stworzyć procedury reagowania na incydenty: Opracuj i utrzymuj procedury wykrywania, zgłaszania i reagowania na incydenty związane z cyberbezpieczeństwem.
- Zapewnić ciągłość monitorowania: Monitoruj działania i systemy łańcucha dostaw pod kątem potencjalnych zagrożeń i słabych punktów.
- Przeprowadzać regularne audyty: Przeprowadzanie regularnych audytów bezpieczeństwa i ocen dostawców w celu zapewnienia zgodności ze standardami cyberbezpieczeństwa.
- Przeprowadzać regularne szkolenia z zakresu cyberbezpieczeństwa: Upewnij się, że cały zespół regularnie uczestniczy w szkoleniach dotyczących świadomości bezpieczeństwa, a personel techniczny regularnie przechodzi szkolenia w zakresie systemów informatycznych i cyberbezpieczeństwa, za które są odpowiedzialni, oraz poświadcza swoją wiedzę odpowiednimi certyfikatami.
- Utrzymywać plany ciągłości działania: Opracowuj i regularnie aktualizuj plany ciągłości działania i odzyskiwania danych po awarii, aby zapewnić odporność na zakłócenia.
11. Przygotuj się na raportowanie incydentów i audyty
Należy opracować solidne procedury wykrywania, analizy i zgłaszania incydentów, aby spełnić rygorystyczne wymogi dyrektywy NIS2 w zakresie powiadamiania. Przygotuj się również na potencjalne audyty i inspekcje organów regulacyjnych.