Jak wdrożyć dyrektywę NIS 2? Krótki przegląd wymaganych polityk
Do upływu terminu implementacji dyrektywy NIS 2 (17 października 2024 r.) zostało niewiele ponad pół roku. Dlatego warto już teraz zacząć przygotowania do jej wdrożenia, w tym zweryfikować, czy organizacja posiada polityki i procedury, które zapewnią zgodność z nową regulacją.
Na podstawie samych przepisów dyrektywy NIS 2 trudno jest wywnioskować, jak dokładnie powinno przebiegać wdrożenie adekwatnych „środków zarządzania ryzykiem w cyberbezpieczeństwie”. Nie oznacza to jednak, że ustalenie takich środków jest niemożliwe. W tym celu warto posłużyć się wymogami stawianymi przez normy z serii ISO/IEC 27000 (do których wprost odwołuje się dyrektywa NIS 2), a także w drodze pewnej analogii przepisami rozporządzania DORA, skierowanymi do rynku finansowego, które stanowią lex specialis – przepisy bardziej szczegółowe – w stosunku do dyrektywy NIS 2.
Z analizy tych aktów wynika, że na potrzeby wykazania zgodności z dyrektywą NIS 2 pomocne może być wdrożenie w organizacji następujących polityk lub procedur:
- polityka analizy i zarządzania ryzykiem – służąca identyfikowaniu, analizowaniu, ocenianiu i minimalizowaniu ryzyk związanych z cyberbezpieczeństwem;
- procedura zarządzania podatnościami – służąca zarządzaniu podatnościami od fazy wykrywania, poprzez aktywną obsługę, aż po neutralizację zagrożenia;
- procedura obsługi incydentu – służąca zarządzaniu incydentem od fazy zapobiegania, poprzez wykrywanie i reagowanie, aż po identyfikację wniosków i wprowadzanie ulepszeń;
- procedura zgłaszania incydentów – służąca realizacji szczegółowych wymogów regulacyjnych w zakresie zgłaszania incydentów do właściwych organów państwowych;
- procedura zapewnienia ciągłości działania – służąca przywróceniu normalnego działania organizacji i koordynująca sposób zarządzania kryzysowego;
- polityka zarządzania ryzykiem ze strony zewnętrznych dostawców – służąca zapewnieniu bezpieczeństwa organizacji przy korzystaniu z produktów lub usług zewnętrznych dostawców;
- polityka kontroli dostępu – służąca uregulowaniu m.in. zasad dostępu fizycznego i bezpieczeństwa zasobów ludzkich;
- polityka cyberhigieny – służąca wdrożeniu ogólnych zasad cyberbezpieczeństwa, m.in. takich jak aktualizacje oprogramowania, zarządzanie hasłami, tworzenie kopii zapasowych, stosowanie szyfrowania (w tym uwierzytelniania wieloskładnikowego) lub regularne szkolenia dotyczące cyberbezpieczeństwa.
Mogą one funkcjonować w ramach głównej polityki bezpieczeństwa lub obok niej. Co ważne, powyższe polityki i procedury powinny być regularnie weryfikowane, testowane i – w razie potrzeby – aktualizowane.
Na marginesie warto wskazać, że sprawne wdrożenie dyrektywy NIS 2 jest jednym z priorytetów nowego polskiego rządu. Z zapowiedzi Ministerstwa Cyfryzacji wynika, że projekt ustawy wdrażającej powinien trafić do Sejmu już w II kwartale tego roku.