NIS2 (Druga Dyrektywa w sprawie Infrastruktury Krytycznej) to europejska regulacja dotycząca bezpieczeństwa infrastruktury krytycznej. 10 listopada 2022 roku nastąpiło formalne zatwierdzenie NIS2, a jego formalna publikacja weszła w życie 16 stycznia 2021 roku. Od tego momentu, Państwa Członkowskie UE mają 21 miesięcy na wprowadzenie postanowień Dyrektywy do prawa krajowego.

W Polsce oznacza to konieczność nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, co powinno nastąpić najpóźniej do 17 października 2024 roku. Podmioty wskazane w NIS2 jako objęte regulacją mają zatem relatywnie niewiele czasu na wcześniejsze przygotowanie się do tego procesu, a uwzględnienie najważniejszych, podstawowych elementów dostosowujących działanie instytucji do regulacji NIS2 już w budżecie na 2024 stanowi szansę na otrzymanie finansowania w pierwszej kolejności.

Dyrektywa NIS była pierwszym europejskim prawem w zakresie cyberbezpieczeństwa. Jej druga wersja ma na celu zwiększenie odporności na zagrożenia cybernetyczne w Unii Europejskiej i zapewnienie ciągłości usług cyfrowych. Nowa legislacja rozszerza katalog podmiotów o nieuwzględnione wcześniej sektory gospodarki. Dla jednostek samorządowych oznacza to konieczność skoncentrowania się na zapewnieniu bezpieczeństwa swoich danych i systemów informatycznych oraz spełnienie określonych wymagań i obowiązków.  Dyrektywa NIS2 , poza objęciem większej ilości firm, wprowadza szereg istotnych zmian w stosunku do pierwotnej Dyrektywy NIS, w tym bardziej szczegółowe wymagania, większą rolę organów regulacyjnych oraz surowsze sankcje za naruszenia przepisów.

Dyrektwa NIS2 dotyka wszystkich podmiotów administracji publicznej oprócz tych prowadzących działalność w dziedzinach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa (w tym prewencji przestępstw, prowadzenia postępowań, wykrywania przestępstw i ich ścigania). Nakłada na jednostki samorządowe szereg ważnych wymagań dotyczących cyberbezpieczeństwa. Oto kilka kluczowych punktów:

Dyrektywa NIS2 wprowadza kategorie podmiotów kluczowych, które obejmują różne rodzaje organizacji, takie jak dostawcy usług cyfrowych, operatorzy infrastruktury krytycznej i jednostki samorządowe. Każda z tych kategorii ma swoje własne obowiązki i wymagania, które muszą spełnić w zakresie cyberbezpieczeństwa. Jednostki samorządowe, aby sprostać wymaganiom Dyrektywy NIS2, muszą dokładnie przygotować się do jej wdrożenia. To obejmuje ocenę aktualnego poziomu bezpieczeństwa, identyfikację obszarów wymagających usprawnienia oraz opracowanie planów działań w przypadku incydentów.

NIS2 zawiera kilka kluczowych elementów w odniesieniu do organów administracji, instytucji państwowych i jednostek samorządu terytorialnego, które warto podkreślić.

Od października 2024 roku będą one zobowiązane między innymi do:.
•  wykrywania, monitorowania oraz zgłaszania incydentów związanych z bezpieczeństwem do odpowiednich organów bezpieczeństwa krajowego;
•  wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających zarządzanie podatnościami oraz przeciwdziałaniu skutków ataków cybernetycznych;
•  regularnego testowania odporności własnej organizacji na zagrożenia oraz kooperantów;
•  zarządzania ryzykiem w Cyberbezpieczeństwie;
•  wykorzystywania szyfrowania w celu przetwarzania informacji.

Dyrektwa NIS2 weszła w życie 1 lipca 2021 roku, a jednostki samorządowe miały określony czas na dostosowanie się do jej wymagań. Dla nowych podmiotów kluczowych, obowiązki związane z cyberbezpieczeństwem zaczęły obowiązywać od momentu uznania ich za takie.

W Atende S.A. specjalizujemy się w obszarze technologii informacyjnych i komunikacyjnych, która odgrywa kluczową rolę w dostarczaniu wsparcia dla jednostek samorządowych w zakresie cyberbezpieczeństwa. Oferujemy szereg usług, które mogą pomóc jednostkom samorządowym w spełnieniu wymagań Dyrektywy NIS2:
•  Audyt środowiska: oferujemy usługi audytu środowiska informatycznego, które pozwalają jednostkom samorządowym dokładnie zrozumieć swoje środowisko i zidentyfikować potencjalne zagrożenia;
•  Rekomendacje dotyczące cyberbezpieczeństwa: Na podstawie wyników audytu możemy dostarczyć rekomendacje dotyczące cyberbezpieczeństwa, pomagając jednostkom samorządowym w opracowaniu strategii ochrony przed zagrożeniami;
•  Raporty o usprawnieniach: możemy również dostarczyć raporty zawierające sugestie dotyczące usprawnień w obszarze cyberbezpieczeństwa, co pomaga jednostkom samorządowym w kontynuowaniu procesu doskonalenia swoich systemów.

W Atende rekomendujemy szerokie możliwości wsparcia administracji publicznej. Przybliżymy niektóre proponowane przez nas rozwiązania wpisujące się w kluczowe obszary Dyrektywy.

Atende Security Suite to przykład usługi typu SECaaS, którą dedykowano sektorowi publicznemu. Usługa ta oferuje pełne monitorowanie środowiska przez całą dobę, 7 dni w tygodniu, 365 dni w roku, eliminując potrzebę utrzymywania własnego SOC. Atende Security Suite skupia się także na wykrywaniu złośliwych działań w infrastrukturze IT, w tym ataków typu phishing czy ransomware, zarówno na serwerach, jak i urządzeniach końcowych.

Warto zaznaczyć, że Atende Security Suite nie tylko reaguje na zagrożenia, ale również działa proaktywnie, zapobiegając wystąpieniu znanych zagrożeń w organizacji. Aby dowiedzieć się więcej o tej usłudze i jak może ona pomóc w zabezpieczeniu sektora publicznego, warto odwiedzić dedykowaną stronę Atende Security Suite .

Dla większych JST oraz podległych im wydziałów jak np. ZTM, wodociągi itd. polecamy Cryptomage Cyber Eye™ - sondę klasy Network Detection and Response (NDR), która zapewnia lepszą jakość wykrywania zdarzeń związanych z bezpieczeństwem oraz niskopoziomowe zabezpieczenia sieciowe dla najbardziej krytycznych zasobów.

Rozwiązania Microsoft obecne w administracji publicznej – zarówno dla szczebla centralnego i samorządowego – stanowią podstawę do zarządzania bezpieczeństwem informacji oraz bezpieczeństwem użytkowników. Za pomocą technologii Microsoft, możemy:
•  Zidentyfikować obszary, w których warto poprawić zabezpieczenia;
•  Spriorytetyzować działania w zakresie bezpieczeństwa;
•  Śledzić postępy w zakresie bezpieczeństwa w czasie;
•  Porównać zakres i jakość zabezpieczeń zastosowanych w swojej organizacji do standardów branżowych wśród innych organizacji w danym segmencie.

Dzięki możliwościom chmury Azure, możemy wesprzeć bezpieczeństwo systemów lokalnych. Wykorzystując podejście infrastrukturalne wykorzystujemy wskaźnik Azure Secure Score, w tym rozwiązań Cloud, Hybrydowych czy OnPremises:
•  Połączenie zabezpieczeń w chmurze i środowiskach on-premise: Azure Secure Score może pomóc organizacjom połączyć ich zabezpieczenia w chmurze i środowiskach on-premise, zapewniając kompleksowy widok ich zabezpieczeń.
•  Wsparcie dla różnych zasobów: Azure Secure Score obsługuje szeroki zakres zasobów, w tym maszyny wirtualne, dyski, sieci i serwery.
•  Automatyzacja zadań w zakresie bezpieczeństwa: Azure Secure Score może pomóc organizacjom zautomatyzować zadania w zakresie bezpieczeństwa, takie jak skanowanie zabezpieczeń i wdrażanie zabezpieczeń.
•  Raportowanie i analiza: Azure Secure Score może pomóc organizacjom generować raporty i analizy dotyczące ich zabezpieczeń, które można wykorzystać do identyfikacji obszarów, w których można poprawić swoje zabezpieczenia.

Rozwiązania Google dostarczające narzędzia i usługi chmurowe mogą zapewnić odpowiednią zgodność z regulacjami NIS2. Jako podmiot kluczowy w ramach NIS2 , jako firma stanowiąca element rdzenia ekosystemu cloud, Google jest zobowiązany, by platforma chmurowa i narzędzia bezpieczeństwa obsługiwały najwyższe standardy zgodności. Google spędziło ponad dekadę opracowując dojrzałe procesy zarządzania ryzykiem, zgłaszania incydentów i zarządzania lukami w zabezpieczeniach. Google zobowiązało się do współpracy z władzami krajowymi w celu dzielenia się wiedzą i najlepszymi praktykami w obszarach takich jak monitorowanie zagrożeń, reagowanie na incydenty oraz rozwijanie skutecznych strategii obrony cybernetycznej. Jej celem było stworzenie partnerstwa opartego na wzajemnym zaufaniu i wspólnym dążeniu do zapewnienia wysokiego poziomu bezpieczeństwa i zgodności w dziedzinie usług chmurowych.

Dzięki możliwościom Google Cloud, aby ułatwić wdrożenie NIS2 na poziomie lokalnym i krajowym, zapewniamy rozwiązania bezpieczeństwa, między innymi:
•  Backup w Chmurze – odmiejscowienie danych – wszystkie Dane pozostają w Polsce, ale są zabezpieczone przed zagrożeniami fizycznymi (pożar, powódź, fizyczne uszkodzenie nośnika) jak i logicznymi (ransomware, szyfrowanie danych, wyłudzenia itp.);
•  Architektura Zero Trust - rozwiązanie typu zero trust, które umożliwia bezpieczny dostęp do aplikacji i zasobów oraz oferuje zintegrowaną ochronę przed zagrożeniami i danych – oraz ze względu na logikę architektury pełną ścieżkę zabezpieczeń i hierarchii dostępu;
•  Bezpieczeństwo łańcucha dostaw oprogramowania - w pełni zarządzane, kompleksowe rozwiązanie, które usprawnia bezpieczeństwo łańcucha dostaw oprogramowania w całym cyklu życia rozwoju oprogramowania od momentu jego rozpoczęcia i CI/CD (ciągła integracja/ciągłe wdrażanie) aż do środowisk wykonawczych. Nadzorowanie wprowadzania nowych wersji – wcześniejsza zgoda osób odpowiedzialnych, możliwość cofnięcia nowej wersji to tylko przykłady.
·•  Automatyzacja zgodności - wykorzystanie automatyzacji do przekształcania swojego bezpieczeństwa i funkcji zgodności, każde wdrożenie może być poddane analizie – czy spełnia określone kryteria i jest zgodne z regulacjami NIS2 (sprawdzony Partner może pomóc ustawić takie reguły).
•   Analiza zagrożeń - wgląd w najnowsze zagrożenia dzięki analizie zagrożeń cybernetycznych bezpośrednio u Globalnego dostawcy usług internetowych.

Dyrektwa NIS2 to ważny krok Unii Europejskiej w kierunku zwiększenia cyberbezpieczeństwa na kontynencie. Jednostki samorządowe odgrywają kluczową rolę w zapewnieniu usług publicznych, dlatego muszą spełniać nowe wymagania dotyczące cyberbezpieczeństwa.

Aby było to możliwe, jednostki samorządowe powinny korzystać z usług sprawdzonego partnera. W Atende S.A., jako wiodący Integrator rozwiązań IT, mamy możliwość zaproponowania rozwiązań wielu czołowych producentów czy zbudowania z nich rozwiązania dostosowanego do możliwości i oczekiwań Klienta. Szerokie wsparcie, w tym audyt środowiska, rekomendacje dotyczące cyberbezpieczeństwa oraz raporty sugerowanych usprawnień, oferowane przez Atende S.A., mogą pomóc jednostkom samorządowym w dostosowaniu się do Dyrektywy NIS2 i zwiększeniu swojej odporności na zagrożenia cybernetyczne.

Sprawdź możliwość współpracy i postaw na partnerstwo, kluczowe dla zapewnienia bezpieczeństwa i ciągłości działania usług publicznych. Chcesz poznać możliwości naszego wsparcia? Skorzystaj z naszej darmowej konsultacji dla podmiotów publicznych lub skontaktuj się poprzez formularz poniżej.