- Tags:
- nis2,
- cybersecurity
Dyrektywa NIS2: Niewiedza może być kosztowna
Niedawno w naszym blogu przedstawiliśmy założenia przepisów nowej unijnej dyrektywy - NIS2. Teraz chcemy wyjaśnić, z czym to się wiąże dla firm: jakie są możliwe konsekwencje jej nieprzestrzegania? Oraz jak UEM pomoże administratorom IT we wdrożeniu niektórych przepisów?
W pigułce
- Niewystarczająca ochrona systemów IT jest niczym otwarta furtka dla cyberprzestępców.
- Aktualizowanie kluczowych procesów biznesowych ma istotne znaczenie.
- Dyrektywa NIS2 jest prawdziwym wyzwaniem, ale zaniechanie wdrożenia jej przepisów będzie bardzo kosztowne w przyszłości.
- Szczególnie w czasach braku wykwalifikowanych pracowników, UEM jest ważnym elementem zabezpieczającym infrastrukturę krytyczną.
We wcześniejszym artykule pt. NIS2: Robi się POWAŻNIE przedstawiliśmy, które
organizacje z siedzibą w UE objęte są nową dyrektywą NIS2. Odnosząc się do mojej
wcześniejszej serii wpisów dotyczących Gwiezdnych Wojen, można łatwo wywnioskować, że technologia budowy Gwiazdy Śmierci z całą pewnością podlegałaby nowej dyrektywie NIS2. Teraz przyjrzymy się nowym wymaganiom, których nie było w poprzednich
przepisach, a także sprawdzimy, co firmy muszą zrobić, aby zapewnić z nimi zgodność i jakie wyzwania czekają na administratorów IT w tym procesie.
Jedno jest pewne: wszystkie objęte nią przedsiębiorstwa są zobowiązane do rozszerzenia swoich działań w zakresie analizy ryzyka, bezpieczeństwa informacji, oceny i wdrażania
zabezpieczeń, reagowaniem na incydenty, zarządzania kryzysowego oraz szkoleń w zakresie bezpieczeństwa cyfrowego.
Wyzwania związane z aktualizacją procesów
Głównym założeniem NIS2 jest szerokie spojrzenie na cyberbezpieczeństwo. Oznacza to, że dostosowanie się do nowych przepisów będzie prawdziwym wyzwaniem dla wielu firm, zwłaszcza biorąc pod uwagę już teraz duże zapotrzebowanie na wiedzę z zakresu cyberbezpieczeństwa i niedobór wykwalifikowanego personelu IT.
Oznacza to, że firmy obsługujące lub zaangażowane w infrastrukturę krytyczną (CRITIS) muszą zaktualizować środki techniczne i organizacyjne związane z zarządzaniem incydentami i ciągłością działania. Muszą także przeprowadzać regularne oceny ryzyka i wprowadzać dodatkowe zabezpieczenia dla wszystkich potencjalnych punktów dostępu do systemów informatycznych. I tu znowu słowem kluczem jest Gwiazda Śmierci.
Przedsiębiorstwa objęte zapisami NIS2 muszą wprowadzić odpowiednie metody analizy ryzyka i ocenić skuteczność stosowanych zabezpieczeń. Ponadto konieczne są regularne szkolenia dotyczące cyberbezpieczeństwa. Nie należy zapominać, że bezpieczeństwo łańcucha dostaw, zarządzanie aktywami, a nawet bezpieczeństwo personelu również wchodzą w zakres NIS2.
Należy zrozumieć, że wymagane środki bezpieczeństwa dla firm objętych regulacjami opierają się przede wszystkim na potencjalnym wpływie, a nie na ich kosztach. Np. niektóre podmioty uznane jako część infrastruktury krytycznej muszą zarejestrować się w Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) i zgłaszać incydenty bezpieczeństwa w kilku etapach:
- Wstępny raport do 24 godzin
- Zaktualizowany raport do 72 godzin
- Raport końcowy do właściwej agencji ds. cyberbezpieczeństwa w ciągu miesiąca
Pod groźbą grzywny: NIS2 czyni cyberbezpieczeństwo priorytetem w zarządzaniu
Dzięki NIS2 ogólna odpowiedzialność za cyberbezpieczeństwo i zapobieganie incydentom bezpieczeństwa w firmach KRITS będzie w przyszłości spoczywać na najwyższym kierownictwie. Jeśli firmy nie spełnią nowych wymogów, mogą zostać ukarane wysokimi grzywnami. Podczas gdy odpowiedzialność za zgodność z NIS2 będzie w przyszłości spoczywać na kierownictwie, CISO i działach bezpieczeństwa, faktyczne wdrożenie w obszarze technicznym często pozostanie w gestii specjalistów IT w ich codziennej pracy.
Dyrektywa NIS2: dlaczego firmy z obszaru infrastruktury krytycznej powinny zacząć już działać
Podmioty uznane za część infrastruktury krytycznej muszą natychmiast podjąć działania w celu wdrożenia wymaganych środków bezpieczeństwa, uwzględniając ograniczenia budżetowe i
kadrowe. Ogólnie rzecz biorąc, lepiej jest inwestować w ulepszone środki ochrony i odzyskiwania danych wcześniej niż później.
Ponadto spełnienie wymogów NIS2 jest korzystne dla wszystkich firm, ponieważ znacząco zmniejsza ryzyko cyberataków. Organizacje mogą również poprawić swoją efektywność i
produktywność.
Zestaw narzędzi do wydajnego zarządzania i zabezpieczania zasobów IT
Obecnie nie ma jednego narzędzia gwarantującego spełnienie wszystkich wymogów NIS2. Wiele dotychczasowych rozwiązań stosowanych do zwiększania cyberbezpieczeństwa może przyczynić się do zapewnienia zgodności z tą dyrektywą. Poza rozwiązaniami do monitorowania i kontroli dostępu do sieci, Unified Endpoint Management wspiera administratorów IT w zautomatyzowanym zarządzaniu wszystkimi punktami końcowymi, począwszy od szczegółowej inwentaryzacji zainstalowanego sprzętu i oprogramowania. Nie wolno pomijać żadnych typów punktów końcowych. Urządzenia sieciowe i kontrolery należy rejestrować w taki sam sposób jak komputery z systemem Windows lub urządzenia mobilne. Tego typu zarządzanie zasobami pomaga zapewnić solidne podłoże do spełnienia niektórych wymogów NIS2 w zakresie przejrzystości, analizy ryzyka i ogólnego bezpieczeństwa informacji.
Skuteczne zapobieganie incydentom poprzez usuwanie luk w zabezpieczeniach oraz zarządzanie aktualizacjami
Tam, gdzie NIS2 odnosi się do cyberhigieny i zapobiegania incydentom, uwzględnione jest zarządzanie słabymi punktami oraz aktualizacjami. Oczywiście, dzięki zautomatyzowanemu
zarządzaniu podatnościami, patche oraz poprawki mogą być stosowane w dowolnym momencie i zgodnie z polityką na wszystkich urządzeniach IT i/lub OT dotkniętych luką. Dzięki ciągłemu
monitorowaniu działy IT zawsze znają dokładny stan (BIOS/UEFI, system operacyjny, aplikacje, konfiguracja, uprawnienia itp.) każdego urządzenia, bez konieczności sprawdzania ich z osobna.
Zagrożenia wyświetlane przez Defender są również cennymi informacjami. Jedynie ci, którzy posiadają przejrzyste informacje na
temat luk w zabezpieczeniach, mogą je wyeliminować i zapobiec ich ponownemu wystąpieniu.
Choć może się to wydawać oczywiste, konsekwentne zarządzanie aktualizacjami jest kluczowym
elementem niezawodnego bezpieczeństwa IT. Oznacza to instalowanie najnowszych wersji oprogramowania i systemów operacyjnych wszędzie tam, gdzie to możliwe i aktualizowanie ich na bieżąco.
Dzięki temu na każdym komputerze znajduje się tylko to, co niezbędne i zaufane.
Środki bezpieczeństwa takie jak szyfrowanie dysku twardego (defense control), zezwalanie lub blokowanie oprogramowania oraz system zgłoszeń do szybkiego reagowania
uzupełniają kompleksowe rozwiązanie UEM i pomagają administratorom IT spełnić część wymagań NIS2.
Zautomatyzowane zarządzanie lukami
Luki w infrastrukturze krytycznej to coś więcej niż tylko lokalne wyzwania. Z naszego oficjalnego biuletynu dowiesz się, w jaki sposób zautomatyzowane zarządzanie lukami w zabezpieczeniach może pomóc Twojej organizacji w radzeniu sobie z podatnościami.
Pobierz darmowy biuletyn na zautomatyzowane zarządzanie lukami
- Tags:
- nis2,
- cybersecurity