Dyrektywa NIS2 - czym jest i jaki ma wpływ na jednostki administracji publicznej?

Chmura obliczeniowa pozwala obniżyć TCO infrastruktury IT w sektorze publicznym

NIS2 (Druga Dyrektywa w sprawie Infrastruktury Krytycznej) to europejska regulacja dotycząca bezpieczeństwa infrastruktury krytycznej. 10 listopada 2022 roku nastąpiło formalne zatwierdzenie NIS2, a jego formalna publikacja weszła w życie 16 stycznia 2021 roku. Od tego momentu, Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego.

W Polsce oznacza to konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, co powinno nastąpić najpóźniej do 17 października 2024 roku. Podmioty wskazane w NIS2 jako objęte regulacją mają zatem relatywnie niewiele czasu na wcześniejsze przygotowanie się do tego procesu, a uwzględnienie najważniejszych, podstawowych elementów dostosowujących działanie instytucji do regulacji NIS2 już w budżecie na 2024 stanowi szansę na otrzymanie finansowania w pierwszej kolejności.

Po co druga dyrektywa NIS 2 i jakie zmiany wprowadza w stosunku do dyrektywy NIS?

Dyrektywa NIS była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Jej druga wersja ma na celu zwiększenie odporności na zagrożenia cybernetyczne w Unii Europejskiej i zapewnienie ciągłości usług cyfrowych. Nowa legislacja rozszerza katalog podmiotów o nieuwzględnione wcześniej sektory gospodarki. Dla jednostek samorządowych oznacza to konieczność skoncentrowania się na zapewnieniu bezpieczeństwa swoich danych i systemów informatycznych oraz spełnienie określonych wymagań i obowiązków.  Dyrektywa NIS2 , poza objęciem większej ilości firm, wprowadza szereg istotnych zmian w stosunku do pierwotnej Dyrektywy NIS, w tym bardziej szczegółowe wymagania, większą rolę organów regulacyjnych oraz surowsze sankcje za naruszenia przepisów.

Nowa legislacja NIS2 rozszerza katalog podmiotów o nieuwzględnione wcześniej sektory gospodarki.
Jakie wymagania NIS2 stawia jednostkom samorządowym?

Dyrektwa NIS2 dotyka wszystkich podmiotów administracji publicznej oprócz tych prowadzących działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania). Nakłada na jednostki samorządowe szereg ważnych wymagań dotyczących cyberbezpieczeństwa. Oto kilka kluczowych punktów:

01

Zarządzanie ryzykiem cyberbezpieczeństwa

Jednostki samorządowe muszą opracować i wdrożyć skuteczne systemy zarządzania ryzykiem cyberbezpieczeństwa. To oznacza identyfikację zagrożeń, ocenę ryzyka, wdrażanie odpowiednich środków zapobiegawczych i monitorowanie sytuacji.

02

Incidenty i powiadamianie

Dyrektywa NIS2 wymaga od jednostek samorządowych zgłaszania poważnych incydentów związanych z cyberbezpieczeństwem do odpowiednich organów regulacyjnych oraz innych instytucji. Szybkie reagowanie na incydenty jest kluczowe dla minimalizowania skutków ataków.

03

Audyt środowiska

Jednostki samorządowe są zobowiązane do regularnego przeprowadzania audytów swoich środowisk informatycznych w celu identyfikacji potencjalnych słabości i ryzyk. Audyty te mają na celu poprawę ogólnego poziomu bezpieczeństwa.

04

Sugerowane usprawnienia

Dyrektywa NIS2 nakłada obowiązek analizy i wdrażania sugerowanych usprawnień w zakresie cyberbezpieczeństwa. To ważny krok w kierunku zwiększenia odporności na ataki.

Dyrektwa NIS2 stawia konkretne wymagania na podmioty administracji publicznej
Kategorie podmiotów kluczowych

Dyrektywa NIS2 wprowadza kategorie podmiotów kluczowych, które obejmują różne rodzaje organizacji, takie jak dostawcy usług cyfrowych, operatorzy infrastruktury krytycznej i jednostki samorządowe. Każda z tych kategorii ma swoje własne obowiązki i wymagania, które muszą spełnić w zakresie cyberbezpieczeństwa. Jednostki samorządowe, aby sprostać wymaganiom Dyrektywy NIS2, muszą dokładnie przygotować się do jej wdrożenia. To obejmuje ocenę aktualnego poziomu bezpieczeństwa, identyfikację obszarów wymagających usprawnienia oraz opracowanie planów działań w przypadku incydentów.

Odpowiedzialność jednostek samorządu terytorialnego

NIS2 zawiera kilka kluczowych elementów w odniesieniu do organów administracji, instytucji państwowych i jednostek samorządu terytorialnego, które warto podkreślić.

Od października 2024 roku będą one zobowiązane między innymi do:.
•  wykrywania, monitorowania oraz zgłaszania incydentów związanych z bezpieczeństwem do odpowiednich organów bezpieczeństwa krajowego;
•  wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zarządzanie podatnościami oraz przeciwdziałaniu skutków ataków cybernetycznych;
•  regularnego testowania odporności własnej organizacji na zagrożenia oraz kooperantów;
•  zarządzania ryzykiem w Cyberbezpieczeństwie;
•  wykorzystywania szyfrowania w celu przetwarzania informacji.

Dyrektwa NIS2 weszła w życie 1 lipca 2021 roku, a jednostki samorządowe miały określony czas na dostosowanie się do jej wymagań. Dla nowych podmiotów kluczowych, obowiązki związane z cyberbezpieczeństwem zaczęły obowiązywać od momentu uznania ich za takie.

Wsparcie w realizacji wymagań dyrektywy NIS2

W Atende S.A. specjalizujemy się w obszarze technologii informacyjnych i komunikacyjnych, która odgrywa kluczową rolę w dostarczaniu wsparcia dla jednostek samorządowych w zakresie cyberbezpieczeństwa. Oferujemy szereg usług, które mogą pomóc jednostkom samorządowym w spełnieniu wymagań Dyrektywy NIS2:
•  Audyt środowiska: oferujemy usługi audytu środowiska informatycznego, które pozwalają jednostkom samorządowym dokładnie zrozumieć swoje środowisko i zidentyfikować potencjalne zagrożenia;
•  Rekomendacje dotyczące cyberbezpieczeństwa: Na podstawie wyników audytu możemy dostarczyć rekomendacje dotyczące cyberbezpieczeństwa, pomagając jednostkom samorządowym w opracowaniu strategii ochrony przed zagrożeniami;
•  Raporty o usprawnieniach: możemy również dostarczyć raporty zawierające sugestie dotyczące usprawnień w obszarze cyberbezpieczeństwa, co pomaga jednostkom samorządowym w kontynuowaniu procesu doskonalenia swoich systemów.

Atende Security Suite dla JST

W Atende rekomendujemy szerokie możliwości wsparcia administracji publicznej. Przybliżymy niektóre proponowane przez nas rozwiązania wpisujące się w kluczowe obszary Dyrektywy.

Atende Security Suite to przykład usługi typu SECaaS, którą dedykowano sektorowi publicznemu. Usługa ta oferuje pełne monitorowanie środowiska przez całą dobę, 7 dni w tygodniu, 365 dni w roku, eliminując potrzebę utrzymywania własnego SOC. Atende Security Suite skupia się także na wykrywaniu złośliwych działań w infrastrukturze IT, w tym ataków typu phishing czy ransomware, zarówno na serwerach, jak i urządzeniach końcowych.

Warto zaznaczyć, że Atende Security Suite nie tylko reaguje na zagrożenia, ale również działa proaktywnie, zapobiegając wystąpieniu znanych zagrożeń w organizacji. Aby dowiedzieć się więcej o tej usłudze i jak może ona pomóc w zabezpieczeniu sektora publicznego, warto odwiedzić dedykowaną stronę Atende Security Suite .

Dla większych JST oraz podległych im wydziałów jak np. ZTM, wodociągi itd. polecamy Cryptomage Cyber Eye™ - sondę klasy Network Detection and Response (NDR), która zapewnia lepszą jakość wykrywania zdarzeń związanych z bezpieczeństwem oraz niskopoziomowe zabezpieczenia sieciowe dla najbardziej krytycznych zasobów.

Rozwiązania partnerów proponowane dla JST - Microsoft:

Rozwiązania Microsoft obecne w administracji publicznej – zarówno dla szczebla centralnego i samorządowego – stanowią podstawę do zarządzania bezpieczeństwem informacji oraz bezpieczeństwem użytkowników. Za pomocą technologii Microsoft, możemy:
•  Zidentyfikować obszary, w których warto poprawić zabezpieczenia;
•  Spriorytetyzować działania w zakresie bezpieczeństwa;
•  Śledzić postępy w zakresie bezpieczeństwa w czasie;
•  Porównać zakres i jakość zabezpieczeń zastosowanych w swojej organizacji do standardów branżowych wśród innych organizacji w danym segmencie.

Dzięki możliwościom chmury Azure, możemy wesprzeć bezpieczeństwo systemów lokalnych. Wykorzystując podejście infrastrukturalne wykorzystujemy wskaźnik Azure Secure Score, w tym rozwiązań Cloud, Hybrydowych czy OnPremises:
•  Połączenie zabezpieczeń w chmurze i środowiskach on-premise: Azure Secure Score może pomóc organizacjom połączyć ich zabezpieczenia w chmurze i środowiskach on-premise, zapewniając kompleksowy widok ich zabezpieczeń.
•  Wsparcie dla różnych zasobów: Azure Secure Score obsługuje szeroki zakres zasobów, w tym maszyny wirtualne, dyski, sieci i serwery.
•  Automatyzacja zadań w zakresie bezpieczeństwa: Azure Secure Score może pomóc organizacjom zautomatyzować zadania w zakresie bezpieczeństwa, takie jak skanowanie zabezpieczeń i wdrażanie zabezpieczeń.
•  Raportowanie i analiza: Azure Secure Score może pomóc organizacjom generować raporty i analizy dotyczące ich zabezpieczeń, które można wykorzystać do identyfikacji obszarów, w których można poprawić swoje zabezpieczenia.

Rozwiązania partnerów proponowane dla JST - Google:

Rozwiązania Google dostarczające narzędzia i usługi chmurowe mogą zapewnić odpowiednią zgodność z regulacjami NIS2. Jako podmiot kluczowy w ramach NIS2 , jako firma stanowiąca element rdzenia ekosystemu cloud, Google jest zobowiązany, by platforma chmurowa i narzędzia bezpieczeństwa obsługiwały najwyższe standardy zgodności. Google spędziło ponad dekadę opracowując dojrzałe procesy zarządzania ryzykiem, zgłaszania incydentów i zarządzania lukami w zabezpieczeniach. Google zobowiązało się do współpracy z władzami krajowymi w celu dzielenia się wiedzą i najlepszymi praktykami w obszarach takich jak monitorowanie zagrożeń, reagowanie na incydenty oraz rozwijanie skutecznych strategii obrony cybernetycznej. Jej celem było stworzenie partnerstwa opartego na wzajemnym zaufaniu i wspólnym dążeniu do zapewnienia wysokiego poziomu bezpieczeństwa i zgodności w dziedzinie usług chmurowych.

Dzięki możliwościom Google Cloud, aby ułatwić wdrożenie NIS2 na poziomie lokalnym i krajowym, zapewniamy rozwiązania bezpieczeństwa, między innymi:
•  Backup w Chmurze – odmiejscowienie danych – wszystkie Dane pozostają w Polsce, ale są zabezpieczone przed zagrożeniami fizycznymi (pożar, powódź, fizyczne uszkodzenie nośnika) jak i logicznymi (ransomware, szyfrowanie danych, wyłudzenia itp.);
•  Architektura Zero Trust - rozwiązanie typu zero trust, które umożliwia bezpieczny dostęp do aplikacji i zasobów oraz oferuje zintegrowaną ochronę przed zagrożeniami i danych – oraz ze względu na logikę architektury pełną ścieżkę zabezpieczeń i hierarchii dostępu;
•  Bezpieczeństwo łańcucha dostaw oprogramowania - w pełni zarządzane, kompleksowe rozwiązanie, które usprawnia bezpieczeństwo łańcucha dostaw oprogramowania w całym cyklu życia rozwoju oprogramowania od momentu jego rozpoczęcia i CI/CD (ciągła integracja/ciągłe wdrażanie) aż do środowisk wykonawczych. Nadzorowanie wprowadzania nowych wersji – wcześniejsza zgoda osób odpowiedzialnych, możliwość cofnięcia nowej wersji to tylko przykłady.
·•  Automatyzacja zgodności - wykorzystanie automatyzacji do przekształcania swojego bezpieczeństwa i funkcji zgodności, każde wdrożenie może być poddane analizie – czy spełnia określone kryteria i jest zgodne z regulacjami NIS2 (sprawdzony Partner może pomóc ustawić takie reguły).
•   Analiza zagrożeń - wgląd w najnowsze zagrożenia dzięki analizie zagrożeń cybernetycznych bezpośrednio u Globalnego dostawcy usług internetowych.

Sonda Cryptomage Cyber Eye™ zapewnia lepszą jakość wykrywania zdarzeń związanych z bezpieczeństwem
Wspieramy JST w wyborze najlepszych rozwiązań zgodnych z NIS2
Możliwości wzmocnienia cyberbezpieczeństwa JST zgodnych z NIS2

Dyrektwa NIS2 to ważny krok Unii Europejskiej w kierunku zwiększenia cyberbezpieczeństwa na kontynencie. Jednostki samorządowe odgrywają kluczową rolę w zapewnieniu usług publicznych, dlatego muszą spełniać nowe wymagania dotyczące cyberbezpieczeństwa.

Aby było to możliwe, jednostki samorządowe powinny korzystać z usług sprawdzonego partnera. W Atende S.A., jako wiodący Integrator rozwiązań IT, mamy możliwość zaproponowania rozwiązań wielu czołowych producentów czy zbudowania z nich rozwiązania dostosowanego do możliwości i oczekiwań Klienta. Szerokie wsparcie, w tym audyt środowiska, rekomendacje dotyczące cyberbezpieczeństwa oraz raporty sugerowanych usprawnień, oferowane przez Atende S.A., mogą pomóc jednostkom samorządowym w dostosowaniu się do Dyrektywy NIS2 i zwiększeniu swojej odporności na zagrożenia cybernetyczne.

Sprawdź możliwość współpracy i postaw na partnerstwo, kluczowe dla zapewnienia bezpieczeństwa i ciągłości działania usług publicznych. Chcesz poznać możliwości naszego wsparcia? Skorzystaj z naszej darmowej konsultacji dla podmiotów publicznych lub skontaktuj się poprzez formularz poniżej.

Masz pytania?

Czekam na kontakt od Ciebie.

Radosław Świgoński

Kierownik Zespołu Sprzedaży Sektor Publiczny

[email protected]

22 295 73 00

LinkedIn