Bądźmy szczerzy. Nadążanie za przepisami i dyrektywami dotyczącymi cyberbezpieczeństwa, zwłaszcza jeśli organizacja działa w Unii Europejskiej (UE), może być naprawdę trudne. Wdrożenie NIS2 nie jest tu wyjątkiem.
Jeśli pracujesz w tej dziedzinie, być może znasz już powody, dla których powstało to prawodawstwo, jego cele i zagrożenia, przed którymi stoją organizacje w miarę ewolucji technologii. Istnieje jednak luka między zrozumieniem NIS2 a jego obecną implementacją. Jak faktycznie wdrażamy dyrektywy takie jak NIS2? Co powinniśmy wziąć pod uwagę? Od czego zacząć?
Aby nakreślić ten proces, zaprosiliśmy Mortena Eega Ejrnæsa Nielsena (doradcę i mówcę publicznego w zakresie bezpieczeństwa informacji i zgodności), Wathagi Ndungu (eksperta ds. bezpieczeństwa w ZEISS Group) i Gennady'ego Kreuknieta (CISO i starszego konsultanta ds. bezpieczeństwa OT w CNV Cyber), trzech specjalistów ds. cyberbezpieczeństwa, do omówienia pierwszych kroków w kierunku wdrożenia dyrektywy, głównych wyzwań stojących przed obszarem cyberbezpieczeństwa oraz kilku refleksji opartych na ich osobistych doświadczeniach.
Oto najważniejsze punkty 80. odcinka naszego podcastu Ticket Volume.
Do dzieła!
|
|
Czym jest NIS2? Tło i kontekst
NIS to skrót od Network and Information Systems. Cyfra 2 na końcu akronimu oznacza, że jest to poprawiona wersja lub druga wersja tej samej dyrektywy. A co rozumiemy przez dyrektywę? Cóż, dyrektywa, w kontekście Parlamentu Europejskiego, jest aktem prawnym, który określa konkretne cele lub zadania, które wszystkie państwa członkowskie muszą osiągnąć w określonych ramach czasowych.
W tym konkretnym przypadku dyrektywa NIS2 została zatwierdzona w celu osiągnięcia wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Należy pamiętać, że dyrektywa ma określony termin: wszystkie państwa członkowskie UE muszą wdrożyć dyrektywę do października 2024 roku. Stanowi to ogromne wyzwanie dla rządów (ponieważ muszą one przyjąć określone przepisy) oraz dla organizacji sklasyfikowanych jako kluczowe (ponieważ muszą dostosować się do nowej dyrektywy).
Na szczęście dotarliśmy do trzech specjalistów ds. cyberbezpieczeństwa, aby dowiedzieć się, co sądzą o terminie NIS2, jak jest on wdrażany, które kraje są liderami ruchu i co należy zrobić, aby osiągnąć tak ważny cel.
NIS2: Czy powinniśmy panikować?
Jak wspomnieliśmy wcześniej, wdrożenie NIS2 staje się rzeczywistością (lub stanie się do października przyszłego roku). Ale czy powinniśmy panikować? Czy jesteśmy odpowiednio przygotowani? Aby rozpocząć rozmowę, Morten, Wathagi i Gennady podzielili się swoimi wstępnymi wrażeniami na temat dyrektywy i omówili, w jaki sposób różne kraje włączają ją do swojej strategii zarządzania zgodnością.
Dla Wathagi dominującym nastrojem w atmosferze IT nie jest niepokój, ale raczej optymizm. Uważa ona, że pierwotna dyrektywa miała wiele dobrych intencji, ale nie powiodła się ze względu na jej ograniczony zakres i niespójne wdrażanie. Jej zdaniem NIS2 nie tylko koryguje te wcześniejsze kwestie, ale może również wyznaczać globalny standard cyberbezpieczeństwa.
Giennadij dodał jednak, że nadal istnieją pewne problemy z wdrożeniem dyrektywy w miarę zbliżania się terminu jej wejścia w życie, ponieważ wymaga ona wspólnych wysiłków zarówno ze strony państw członkowskich, jak i działających w nich organizacji. Zwrócił również uwagę na czas potrzebny krajom na przełożenie dyrektywy na przepisy prawne, a także na czas potrzebny każdej organizacji na dostosowanie się do nowych regulacji.
Ze swojej strony Morten wyraził również optymizm co do możliwości pomyślnego wdrożenia dyrektywy, ponieważ uważa, że wiele z jej wytycznych powinno już być częścią strategii organizacji. Wykazał również wiele emocji w związku z niektórymi nowymi pomysłami, które dyrektywa wprowadza, zwłaszcza w zakresie odpowiedzialności spoczywającej na kierownictwie. Oto, co powiedział na ten temat:
|
|
Morten Nielsen |
Kraje, które przodują we wdrażaniu NIS2
Istnieje kilka krajów europejskich, które są bardziej zaawansowane w swoich procesach wdrożeniowych . Służą one jako punkt odniesienia, a tym samym stanowią doskonałą okazję dla tych, którzy są w połowie drogi lub napotykają pewne trudności w dotrzymaniu terminu. Według Wathagi, Węgry i Chorwacja wdrożyły już przepisy zgodne z dyrektywą.
Poza krajami, którym udało się już uchwalić odpowiednie przepisy, pozostałe kraje stoją przed pytaniem, jak rozpocząć ten proces w sposób zorganizowany. Według ekspertów istnieje kilka alternatyw, ale żadna nie jest idealna. Chodzi o zbadanie różnych możliwości.
Giennadij preferuje "zharmonizowane podejście", ponieważ jego priorytetem jest wydajność. Wspomniał jednak również o ścieżce wybranej przez Niemcy, które mają szczegółowe przepisy, a nawet arkusz kalkulacyjny Excel z wieloma wymaganiami, których można przestrzegać. Powiedział również, że Belgia niedawno opracowała wytyczne dotyczące wdrażania.
Największe wyzwania związane z wdrożeniem NIS2
Jednym z największych wyzwań związanych z wdrożeniem dyrektywy w sprawie cyberbezpieczeństwa jest to, od czego zacząć. Morten doszedł do świetnego wniosku. To naprawdę proste: po prostu zacznij. Bez względu na to, czy prawo już obowiązuje, czy nie, wiele można zrobić jako firma lub specjalista IT, korzystając z dokumentacji, dyrektyw i ram, które zostały już wdrożone.
Wathagi skupił się na fakcie, że nie jest to pierwsze rozporządzenie, które musimy wziąć pod uwagę. Nie zaczynamy więc od zera i naprawdę ważne jest, aby nie panikować. To właśnie miała na myśli w swoich słowach:
|
|
"Jeśli zajmujesz się bezpieczeństwem w swojej organizacji, to już coś masz, więc nie zaczynasz od zera. Istnieją już wszystkie inne regulacje. Spróbuj wykorzystać to, co już masz i zacznij od tego, wprowadzając małe, ciągłe ulepszenia". Wathagi Ndungu |
Giennadij poszedł dalej i dał swego rodzaju przewodnik krok po kroku, aby rozpocząć ten proces. Ujął to w następujących słowach:
|
|
Giennadij Kreukniet |
Oprócz zgodzenia się z Giennadijem, Wathagi oparł się na frazie "wiedz, co masz", ale zastosował ją również do łańcucha dostaw. Pozwala to na sprawdzenie słabych punktów i procedur bezpieczeństwa oraz tego, co dzieje się w przypadku wystąpienia incydentu. To świetne miejsce, aby zacząć.
Końcowe przemyślenia
Odcinek 80 Ticket Volume skupił się na jednym prostym pytaniu: jak wdrożyć dyrektywę NIS2 i dotrzymać terminu wyznaczonego przez UE na październik. Zebraliśmy trzech ekspertów, którzy nie tylko dostarczyli wnikliwych informacji, ale także podzielili się własnymi doświadczeniami w radzeniu sobie z wyzwaniami związanymi z cyberbezpieczeństwem.
Wprowadzili również do dyskusji fundamentalną koncepcję: potrzebę stworzenia kultury bezpieczeństwa, która kładzie nacisk na edukację, świadomość i własność. Pełny odcinek dostępny jest na Apple Podcasts, Spotify, YouTube lub innej ulubionej platformie podcastowej.
