Architektury
Architektury Referencyjne – właściwe wsparcie w obliczu NIS2
Wielkimi krokami zbliża się termin wdrożenia NIS2 do polskiego systemu prawnego. Dyrektywa ta ma zapewnić spójny poziom minimalnych zdolności w obszarze cyberbezpieczeństwa i ułatwić m.in. współdziałanie instytucji odpowiedzialnych za ten obszar w UE. Zapewnienie zgodności z NIS2 wymaga jednak zmiany funkcjonowania wielu organizacji, w kilku przynajmniej wymiarach. Wszechstronne wsparcie w tym zakresie zapewniają Architektury Referencyjne Integrated Solutions.
Zmiany wprowadzane wraz z Dyrektywą NIS2 stanowią dostosowanie unijnych regulacji do dzisiejszych realiów cyberbezpieczeństwa w sektorach o dużym znaczeniu gospodarczym i społecznym. NIS2 stanowi bowiem rozszerzenie pierwotnej Dyrektywy NIS (Network and Information Systems Directive) i wprowadza szereg środków prawnych mających na celu zwiększenie poziomu bezpieczeństwa IT w Unii Europejskiej.
Na organizacje uznane za kluczowe i ważne dla funkcjonowania poszczególnych gospodarek oraz społeczeństw NIS2 nakłada m.in. obowiązek zapewnienia odpowiednich środków i procedur reagowania na incydenty związane z bezpieczeństwem IT, a także wymóg współpracy z krajowymi organami odpowiedzialnymi za cyberbezpieczeństwo. W efekcie, Dyrektywa NIS2 oznacza również konieczność przeorientowania procesów biznesowych na kwestie bezpieczeństwa IT.
Na organizacje uznane za kluczowe i ważne dla funkcjonowania poszczególnych gospodarek oraz społeczeństw NIS2 nakłada m.in. obowiązek zapewnienia odpowiednich środków i procedur reagowania na incydenty związane z bezpieczeństwem IT, a także wymóg współpracy z krajowymi organami odpowiedzialnymi za cyberbezpieczeństwo. W efekcie, Dyrektywa NIS2 oznacza również konieczność przeorientowania procesów biznesowych na kwestie bezpieczeństwa IT.
Kogo dotyczy NIS2?
W Polsce skutki Dyrektywy NIS2 obejmą co najmniej kilka tysięcy podmiotów. Mowa tu głównie o instytucjach publicznych oraz średnich i dużych organizacjach z kilkunastu sektorów, których znaczenie dla polskiej gospodarki określono jako kluczowe lub duże.
Dyrektywa NIS2 rozszerza bowiem obowiązujący dotąd katalog sektorów objętych regulacjami. I tak, obok objętych dotychczasowymi regulacjami sektorów, takich jak: ochrona zdrowia, energetyka, bankowość i usługi finansowe, a także przedsiębiorstw wodociągowych i usług cyfrowych, NIS2 obejmuje dodatkowo administrację publiczną, wybrane gałęzie przemysłu oraz branże związane m.in. z żywnością, gospodarką ściekami i odpadami, usługami pocztowymi i kurierskimi, usługami komunikacji elektronicznej i dostępu do Internetu, usługami centrów danych, serwisami społecznościowymi.
Wdrożenie NIS2 będzie dotyczyło podmiotów z 14 sektorów krytycznych i 4 określonych jako ważne. Dyrektywa obejmie sporą część sektora publicznego. Poza wymienioną już administracją i służbą zdrowia, chodzi także o energetykę i o cały sektor utilities.
Rozszerzony zostaje też katalog obowiązków oraz potencjalnych kar za ich niespełnienie. Mają one być jednak stosowane w sposób proporcjonalny do wielkości i skali działania danego podmiotu.
Radykalne zmiany podejścia do cyberbezpieczeństwa
Warto zastanowić się zatem, jakie obowiązki powinny spełnić organizacje uznane za ważne lub kluczowe w myśl Dyrektywy NIS2. Najważniejsze obowiązki dotyczą wdrożenia środków zarządzania ryzykiem w obszarze cyberbezpieczeństwa, a także informowania o poważnych incydentach z tego obszaru. Potrzeba zatem posiadać nie tylko możliwości wykrycia, ale też właściwej oceny i reagowania na ewentualne incydenty, a także ich precyzyjnego zaraportowania.
Oba te obowiązki wymagają wdrożenia odpowiednich narzędzi i procesów w zakresie cyberbezpieczeństwa – zwłaszcza, że obowiązek przekazania wczesnego ostrzeżenia o potencjalnym incydencie powinien być zgłoszony w ciągu maksymalnie 24 godz. od wykrycia. Ponadto podmioty objęte NIS2 mają obowiązek m.in. przekazywania raportów z obsługi incydentów bezpieczeństwa IT. Działania te mają pomóc w koordynacji i poprawie reagowania na zagrożenia z obszaru cybersecurity w skali kraju – i szerzej, UE.
Niewiele czasu na dostosowanie do NIS2
Choć Dyrektywa NIS2 formalnie weszła w życie na początku 2022 roku, to jej implementacja na poziomie krajów członkowskich UE wymaga dostosowania lokalnych przepisów. Zmiany te postępują z różną dynamiką w poszczególnych krajach. Można jednak oczekiwać, że nowe regulacje na poziomie polskiego systemu prawnego zostaną wprowadzone w najbliższych miesiącach.
Na wprowadzenie niezbędnych zmian nie zostało więc zbyt wiele czasu – tym bardziej, że skala potencjalnych dostosowań może być znacząca. Przede wszystkim każda organizacja powinna zweryfikować skutki wprowadzenia NIS2 dla prowadzonej działalności czy wręcz modelu biznesowego. Warto też rozważyć wykorzystanie ustandaryzowanych rozwiązań uwzględniających specyfikę prowadzonej działalności. Takie właśnie rozwiązania dostępne są w ramach rozwijanych przez Integrated Solutions Architektur Referencyjnych – nasza oferta pozwala dostosować się do nowych wymogów firmom ze wspomnianych sektorów krytycznych i ważnych.
Nowoczesne podejście do bezpieczeństwa
Architektury Referencyjne stanowią modelowe rozwiązania odpowiadające typowym potrzebom w zakresie różnych obszarów wykorzystania technologii IT. Łączą nowoczesne technologie, dobre praktyki i ramowe procesy w formie usługi oferowanej przez wyspecjalizowany i doświadczony zespół Integrated Solutions.
Na rodzinę Architektur Referencyjnych składają się m.in. e-Metropolia, opisująca generalną strukturę informatyczną, gdzie zmiana w czasie i szeroko rozumiane bezpieczeństwo aplikacji i danych zostały wpisane w system. Ale też bardziej szczegółowe rozwiązania, takie jak „CYFROWY NIEZBĘDNIK” – narzędzie wspomagające bezpieczne i stabilne działanie infrastruktury, zwłaszcza w warunkach sytuacji kryzysowej, czy „BEZPIECZNY PRACOWNIK”, chroniący urządzenia i aplikacje końcowe. W naszej architekturowej domenie znajdziecie także „INTELIGENTNE ŚRODOWISKO SIECIOWE”, które zapewni sprawne wykrywanie zagrożeń i ograniczanie podatności na ataki w warstwie sieci. Dopełnieniem obrazu jest ochrona szczególnie wrażliwej warstwy systemu, gdzie składowane są kopie bezpieczeństwa – Architektura „CYFROWY BASTION” oferuje tu szereg gotowych i sprawdzonych rozwiązań z tego zakresu.
Gotowi na NIS2
Nasze Architektury są zgodne z wymogami NIS2 – dostarczamy rozwiązania oraz usługi pozwalające zapewnić bezpieczeństwo i dostępność: sieci, infrastruktury IT i aplikacji; ochronę urządzeń końcowych i danych; prowadzenie analiz i audytów; a także monitorowanie środowisk IT klientów i zabezpieczenie infrastruktury przemysłowej OT. Jako część Grupy Orange Polska, możemy też oferować usługi CERT Orange Polska. Co nie mniej istotne, rozwiązania te mogą być dopasowane do faktycznych potrzeb oraz charakteru działalności podmiotów obecnych we wszystkich branżach objętych Dyrektywą NIS2.