Zamknij
  • AutoID
    • >
  • Aktualności
    • >
  • Dyrektywa NIS 2 — zmiany dla przedsiębiorców w zakresie cyberbezpieczeństwa
wyszukaj na stronie

Dyrektywa NIS 2 — zmiany dla przedsiębiorców w zakresie cyberbezpieczeństwa

2023-11-15 | Blog

W styczniu 2023 roku weszła w życie dyrektywa NIS 2, mająca na celu nowelizację przepisów dotyczących bezpieczeństwa cybernetycznego w Unii Europejskiej. Zastępuje ona obecnie obowiązującą dyrektywę NIS, która została wdrożona w Polsce głównie poprzez Ustawę o krajowym systemie cyberbezpieczeństwa. Chociaż termin implementacji dyrektywy NIS 2 został wyznaczony na 17 października 2024 roku, a dokładny zakres nowych przepisów będzie zależał od decyzji polskiego ustawodawcy, to już teraz możemy odpowiedzieć na wiele pytań dotyczących przyszłych obowiązków w tym zakresie.

Spis treści:

  1. Czym jest obowiązująca dotychczas dyrektywa NIS?
  2. Dyrektywa NIS 2 — zmiany
  3. Kogo dotyczy dyrektywa NIS 2?
  4. Kiedy wprowadzono NIS 2, do kiedy należy zaimplementować nowe rozwiązania?
  5. Jakie kary grożą za nieprzestrzeganie zasad dyrektywy NIS 2?
  6. Dyrektywa NIS 2 a rozwiązania z zakresu fizycznej kontroli dostępu

Czym jest obowiązująca dotychczas dyrektywa NIS?

Dyrektywa NIS, przyjęta w 2016 roku, stanowi pierwsze europejskie prawo dotyczące cyberbezpieczeństwa. Nakłada ona na państwa członkowskie liczne obowiązki, w tym konieczność tworzenia instytucji odpowiedzialnych za zabezpieczenie sieci i informacji. Dyrektywa ma na celu zapewnienie bezpieczeństwa teleinformatycznego. Skupia się na trzech filarach: instytucjach, współpracy na poziomie europejskim oraz zobowiązaniach dotyczących bezpieczeństwa sieci i informacji. Dla zapewnienia cyberbezpieczeństwa, państwa członkowskie musiały utworzyć organy ds. bezpieczeństwa sieci i informacji, punkty kontaktowe oraz zespoły reagowania na incydenty. Współpraca odbywa się zarówno na poziomie technicznym, poprzez europejską sieć CSIRT, jak i na poziomie polityczno-strategicznym przez Grupę Współpracy. Dyrektywa reguluje także zakres podmiotowy, określając operatorów usług kluczowych i dostawców usług cyfrowych, a także metody identyfikacji tych podmiotów.

Dyrektywa NIS 2 — zmiany

Dyrektywa NIS 2, znana jako Network Information Security Directive 2, to akt prawny, który również ustala ogólne normy dotyczące cyberbezpieczeństwa instytucji w Unii Europejskiej, mających istotne znaczenie dla funkcjonowania społeczeństwa. Jest to zaktualizowana wersja pierwotnej dyrektywy NIS z 2016 roku, będąca reakcją na ewoluujący krajobraz cyfrowy oraz coraz bardziej zaawansowane ataki cybernetyczne. NIS 2 wprowadza nowe wytyczne bezpieczeństwa, zarówno w sektorze publicznym, jak i prywatnym.

Jakie istotne zmiany wdraża dyrektywa NIS 2?

  1. Rozszerza zakres regulacji, obejmując większą liczbę sektorów gospodarki.
  2. Wycofuje podział na operatorów usług podstawowych i dostawców usług cyfrowych, zastępując go klasyfikacją organizacji na podmioty kluczowe i ważne w zależności od ich znaczenia.
  3. Uwzględnia średnie (od 50 do 250 pracowników) i duże firmy (powyżej 250 zatrudnionych) w wybranych branżach oraz daje możliwość elastycznego podejścia do identyfikacji mniejszych firm o zwiększonym ryzyku.
  4. Nakłada nowe obowiązki na podmioty, takie jak wdrażanie rozwiązań z zakresu analizy ryzyka i zarządzania ryzykiem, tworzenie polityki bezpieczeństwa systemów, zabezpieczenie łańcuchów dostaw i opracowywanie planu ciągłości działania.
  5. Zwiększa wymagania dotyczące zgłaszania incydentów i wprowadza wyższe sankcje za ich naruszenie. Na przykład, podmioty kluczowe i ważne są zobowiązane do zgłaszania poważnych incydentów w ściśle określonych terminach do odpowiednich organów. Te organizacje mogą także być zobowiązane do informowania swoich klientów o wystąpieniu incydentu oraz w szczególnych przypadkach nawet o istnieniu zagrożenia.

Kogo dotyczy dyrektywa NIS 2?

Tak jak wspomniano wcześniej, nowa dyrektywa NIS 2 wprowadza istotne zmiany w porównaniu do wcześniejszego podziału organizacji odpowiedzialnych za wdrożenie jej wytycznych, klasyfikując je jako podmioty kluczowe lub podmioty ważne. Co istotne, dyrektywa obejmuje również średnie przedsiębiorstwa z sektorów publicznych i prywatnych w państwach członkowskich UE.

Nowa dyrektywa NIS 2 rozszerza zakres jej obowiązywania na liczne firmy w Polsce, które będą zobowiązane do dostosowania swoich standardów bezpieczeństwa do nowych przepisów. Wytyczne znajdują zastosowanie wobec wszystkich firm, które operują w sektorach gospodarki wymienionych w dyrektywie (i poniżej w naszym artykule) oraz są uznawane za średnie lub duże przedsiębiorstwa. Są to firmy, które zatrudniają przynajmniej 50 pracowników lub ich roczny obrót lub roczna suma bilansowa przekracza 10 milionów euro.

Dyrektywa ma zastosowanie dla średnich i dużych firm związanych z:

  1. energetyką,
  2. transportem,
  3. bankowością,
  4. infrastrukturą rynków finansowych,
  5. opieką zdrowotną,
  6. sektorem wody pitnej,
  7. ściekami,
  8. infrastrukturą cyfrową,
  9. zarządzaniem usługami ICT,
  10. administracją publiczną,
  11. przestrzenią kosmiczną,
  12. usługami pocztowymi i kurierskimi,
  13. gospodarowaniem odpadami,
  14. produkcją, przetwarzaniem i dystrybucją chemikaliów,
  15. produkcją, przetwarzaniem i dystrybucją żywności,
  16. pozostałymi sektorami produkcji, w tym:
    • wyrobami medycznymi i wyrobami medycznymi do diagnostyki in vitro,
    • komputerami, wyrobami elektronicznymi i optycznymi,
    • urządzeniami elektrycznymi,
    • maszynami i urządzeniami, gdzie indziej niesklasyfikowanymi,
    • pojazdami samochodowymi, przyczepami i naczepami,
    • pozostałym sprzętem transportowym,
  17. usługami cyfrowymi.

Branże od 1 do 11 na naszej liście uznawane są za kluczowe, z kolei od 12 do 17 to podmioty ważne.

Warto podkreślić, że zapisy dyrektywy obowiązują nie tylko w przypadku dużych i średnich firm z branż wymienionych powyżej, ale także małych i mikro, które:

  • są dostawcami usług zaufania,
  • są dostawcami usług DNS z wyłączeniem operatorów głównych serwerów nazw,
  • prowadzą rejestry nazw TLD,
  • są podmiotami administracji publicznej na szczeblu centralnym,
  • są podmiotami krytycznymi według dyrektywy CER.

Kiedy wprowadzono NIS 2, do kiedy należy zaimplementować nowe rozwiązania?

Dyrektywa NIS 2 została uruchomiona 16 stycznia 2023 roku, a okres na dostosowanie się do jej nowych wymagań upływa 17 października 2024 roku. Po tej dacie nowe przepisy będą obowiązywać w całej Unii Europejskiej.

Jakie kary grożą za nieprzestrzeganie zasad dyrektywy NIS 2?

Nowa wersja dyrektywy NIS 2 wprowadza dokładne wytyczne dotyczące kar finansowych i sankcji za naruszenie jej postanowień. W przypadku podmiotów kluczowych, które nie przestrzegają zasad zarządzania ryzykiem lub zgłaszania incydentów, mogą być nałożone kary administracyjne, których maksymalna wysokość wynosi 10 milionów euro lub 2% łącznego rocznego obrotu. Natomiast podmioty ważne mogą zostać ukarane grzywną w wysokości 7 milionów euro lub 1,4% łącznego rocznego obrotu. Dyrektywa NIS 2 przewiduje również możliwość nałożenia okresowych kar finansowych w celu wymuszenia przestrzegania przepisów oraz wprowadza sankcje karne za naruszenie jej postanowień.

Dyrektywa NIS 2

Dyrektywa NIS 2 a rozwiązania z zakresu fizycznej kontroli dostępu

Przeprowadzając audyt w firmie lub instytucji publicznej, który związany będzie z przygotowaniem do spełniania wymagań dyrektywy NIS 2 przez organizację, warto zwrócić szczególną uwagę na fizyczną kontrolę dostępu. Bardzo często jest ona traktowana jako rozwiązanie, które nie wpływa na zachowanie wysokiego poziomu cyberbezpieczeństwa, jednakże w artykule 79. Dyrektywy NIS 2 znaleźć można zapis mówiący o tym, że zagrożenia bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, w tym także kradzieże, włamania lub innego rodzaju nieuprawniony dostęp do infrastruktury związanej z informacjami i ich przetwarzaniem.

W jaki sposób fizyczne zagrożenia ma wpływ na cyberbezpieczeństwo? Sytuacja, która przychodzi na myśl wielu z nas w tym aspekcie to kradzież laptopa, smartfona lub innych urządzeń przenośnych, które mogą umożliwić dostęp do poufnych danych przechowywanych na nich. Jeśli sprzęt nie jest odpowiednio zabezpieczony, intruz może uzyskać dostęp do danych lub wykorzystać go w celu złamania zabezpieczeń cyfrowych. Ponadto atakujący mogą próbować przechwycić urządzenia, takie jak routery, przełączniki sieciowe lub modemy, co umożliwia przechwycenie ruchu sieciowego lub wykonanie ataku typu man-in-the-middle. To może prowadzić do podsłuchiwania i manipulacji danymi przesyłanymi w sieci. Warto także zaznaczyć, że fizyczne ataki na serwery i centra danych, takie jak włamania, kradzież sprzętu lub uszkodzenia, mogą spowodować utratę danych lub nieprawidłowe działanie systemów informatycznych. To może mieć poważne skutki dla organizacji. W innym przypadku atakujący mogą próbować fizycznie dostarczyć złośliwe urządzenia lub nośniki danych (np. pendrive'y) do organizacji, aby zainfekować sieć lub urządzenia. Równie groźne są ataki na infrastrukturę zasilania, chłodzenia i dostępu do budynków, które mogą prowadzić do przerw w działaniu systemów komputerowych, co z kolei może wpłynąć na dostępność usług i bezpieczeństwo danych.

W związku z tym, przeprowadzając prace pozwalające na spełnianie wymogów dyrektywy NIS 2, warto rozważyć instalację rozwiązania do kontroli dostępu do stref, budynków i pomieszczeń. Firmy, które posiadają rozwiązania z zakresu zarządzania dostępnością do poszczególnych obszarów mogą skorzystać z możliwości przeprowadzenia przez AutoID audytu, podczas którego nasi specjaliści zweryfikują, czy wdrożona w firmie kontrola dostępu spełnia wymagania stawiane przez dyrektywę NIS 2. W przypadku braku odpowiednich rozwiązań możemy podjąć się wymiany posiadanego sprzętu, tak by nowy sprostał warunkom stawianym przez akt prawny.

Nasz system oraz wdrożone w jego ramach urządzenia mogą doskonale sprawdzić się w podmiotach krytycznych i ważnych, ponieważ oprogramowanie charakteryzuje się wieloma zaawansowanymi cechami, które pozwalają na precyzyjne zarządzanie dostępem. Co ważne, pozwala na różnorodne metody uwierzytelniania, takie jak: linie papilarne, rozpoznawanie twarzy, karta zbliżeniowa i PIN, które mogą być stosowane pojedynczo lub w dowolnych kombinacjach dla jeszcze większego bezpieczeństwa. Administratorzy mają możliwość nadawania uprawnień dostępu w zależności od stref czasowych i grup osób, co umożliwia elastyczne zarządzanie dostępem. System kontroli dostępu jest łatwy do zarządzania dzięki pracy w sieci TCP/IP i umożliwia integrację z innymi systemami, takimi jak Active Directory, systemy CCTV, SAP i SSWiN. Możliwość monitorowania zdarzeń w czasie rzeczywistym, generowania powiadomień e-mail lub SMS, pozwala na szybkie reagowanie oraz informowanie odpowiednich służb w przypadku naruszenia cyberbezpieczeństwa. Co istotne, system jest skalowalny i nieograniczony pod względem liczby użytkowników oraz urządzeń, a także posiada możliwość rozbudowy o różne moduły, takie jak rejestracja czasu pracy, ewidencja gości czy wspomaganie procesu ewakuacji, dostosowując się do unikalnych potrzeb organizacji. Pomagamy zadbać nie tylko o bezpieczeństwo danych, ale także osób oraz ich komfort pracy. Kontrola dostępu od AutoID stanowi kompleksowe rozwiązanie, które łączy w sobie zaawansowane technologie z elastycznością w zarządzaniu dostępem i integracją z innymi systemami.

Warto podkreślić, że dyrektywa nakazuje korzystanie z technologii szyfrowania, w szczególności szyfrowania end-to-end, w którym komunikacja między co najmniej dwiema stronami jest zaszyfrowana w taki sposób, że tylko nadawca i odbiorca danych są w stanie odczytać przesyłane informacje. Dzięki temu żadna inna osoba ani trzecia strona nie ma dostępu do klucza szyfrującego oraz do samych zaszyfrowanych danych. Pozwala to na zapewnienie wysokiego poziomu bezpieczeństwa działania naszych urządzeń.

Omawiając kwestie bezpieczeństwa, które jest kluczowe w świetle aktualizacji obowiązujących przepisów, warto podkreślić, jak ważne jest szyfrowanie pomiędzy wszystkimi komponentami systemu kontroli dostępu. Wdrażane przez nas rozwiązania, będące odpowiedzią na stawiane przez dyrektywę przepisy, pozwalają na pełne szyfrowanie danych przesyłanych pomiędzy kartą, czytnikiem, kontrolerem i serwerem. W tym celu rekomendujemy wykorzystanie w organizacji kart MIFARE Desfire, które opierają się na najbezpieczniejszym 128-bitowym szyfrowaniu AES oferującym najwięcej rund szyfrujących. Według Narodowego Instytutu Standardów i Technologii (NIST) szyfrowanie to jest odporne na ataki brute-force do poziomu 2128, co odpowiada około 1038 operacjom. Ponadto, aby zwiększyć bezpieczeństwo szyfrowania AES-128, można użyć dodatkowych środków bezpieczeństwa, takich jak:

  • saltowanie klucza, czyli dodanie losowego ciągu znaków do klucza przed zaszyfrowaniem danych; utrudnia to intruzowi odgadnięcie klucza;
  • hashowanie klucza poprzez przekształcenie go w ciąg znaków o stałym rozmiarze, co utrudnia przechowywanie intruzom dużej ilości kluczy w pamięci;
  • użycie bezpiecznego trybu szyfrowania, który określa sposób, w jaki dane są dzielone na bloki i szyfrowane; niektóre tryby szyfrowania są bardziej odporne na ataki niż inne.

Dbając o prawidłowe funkcjonowanie systemu kontroli dostępu, w zależności od potrzeb Klienta montowane przez nas czytniki i kontrolery mogą komunikować się na podstawie protokółu OSDPv2, co pomaga w zabezpieczeniu przesyłanych informacji i chronieniu ich przed nieautoryzowanym dostępem. Warto także zwrócić uwagę na szyfrowanie pomiędzy czytnikiem a kontrolerem. W przypadku montowanych przez nas urządzeń Rosslare, wykorzystywane jest wspomniane wcześniej symetryczne szyfrowanie danych AES 128-bit, które jest bardzo bezpiecznym i wydajnym sposobem ochrony danych. Jest ono uważane za jeden z najbezpieczniejszych dostępnych obecnie szyfrów. W procesie komunikacji czytnika i kontrolera wykorzystywana jest także szyfrowana komunikacja AES 128-bit za pomocą protokołu OSDPv2. W kwestii szyfrowania pomiędzy kontrolerem a serwerem sprawa wygląda nieco inaczej, ponieważ zastosowanie ma tutaj szyfrowanie AES-256, czyli jeden z najsilniejszych algorytmów szyfrowania blokowego, który jest obecnie używany na całym świecie. Jest szyfrem blokowym, co oznacza, że dane są podzielone na bloki o długości 128 bitów. Każdy blok jest następnie zaszyfrowany lub odszyfrowany przy użyciu klucza 256-bitowego.

Omawiane rozwiązanie kontroli dostępu spełnia wszystkie założenia dyrektywy NIS 2 w zakresie bezpieczeństwa. Zapewnia ono pełne szyfrowanie pomiędzy wszystkimi komponentami systemu, w tym między kartą, czytnikiem, kontrolerem i serwerem, dzięki czemu zapewniona jest poufność danych, uniemożliwiając ich przechwycenie przez osoby nieupoważnione. Użycie protokołu OSDPv2 zapewnia poufność, integralność i autentyczność przesyłanych danych, a dodatkowe środki bezpieczeństwa, takie jak saltowanie lub  hashowanie klucza i użycie bezpiecznego trybu szyfrowania zwiększają jeszcze bardziej bezpieczeństwo systemu.

Chcesz wiedzieć więcej? Skontaktuj się z nami lub wypełnij formularz poniżej.

Kontrola dostępu
Sprawdź koszt wdrożenia bezpiecznego Systemu Kontroli Dostępu w Twojej firmie.
Moduł rozpoznawania tablic rejestracyjnych pojazdów
Integracja z systemem ERP / kadrowo-płacowym / innym systemem?
Sprawdź koszt wdrożenia

Zobacz więcej z tej kategorii

6 sposobów na rejestrację czasu pracy pracowników — porównanie
Ręczna rejestracja czasu pracy vs. automatyczne narzędzia — co wybrać?
Jak chronić swoją firmę przed zagrożeniami związanymi z czasem pracy? Praktyczny poradnik dla przedsiębiorców
Pracownicze grzeszki i czas pracy — 14 niewłaściwych zachowań pracowników branży produkcyjnej

Zaufali nam

Kontakt

Godziny otwarcia biura:
pon - pt 9.00 do 16.30

Wsparcie techniczne:
pon - pt 9.00 do 16.00

autoid@autoid.pl
+48 12 260 16 50
ikona kontaktu
Masz pytania?
Skontaktujemy się z Tobą!
Chcesz wiedzieć więcej? - wypełnij formularz, a my skontaktujemy się tak szybko jak to możliwe!
Wyrażam zgodę na przetwarzanie danych osobowych w celu realizacji odpowiedzi na zadane pytanie. Wyświetl pełną treść zgody.
Kontakt
X
Chcesz wiedzieć więcej? - wypełnij formularz, a my skontaktujemy się tak szybko jak to możliwe!
Wyrażam zgodę na przetwarzanie danych osobowych w celu realizacji odpowiedzi na zadane pytanie. Wyświetl pełną treść zgody.
Zarządzaj plikami cookies