Direktiva o omrežjih in informacijskih sistemih (NIS 2), ki naj bi začela veljati oktobra 2024, si prizadeva za izboljšanje kibernetske odpornosti v Evropski uniji (EU). Njene posledice bodo verjetno širše, saj uvaja strožje postopke in kontrole ter ponovno določa način zagotavljanja storitev organizacijam, ki veljajo za državno kritične. 

Obvezna direktiva bo imela »zobe«, saj predvideva stroge kazni za neupoštevanje predpisov tako za podjetja kot tudi za višje upravljavske kadre, ki jih bo sedaj mogoče držati neposredno in osebno odgovorne in jim lahko prepreči opravljanje podobnih položajev v prihodnosti. Poleg tega si prizadeva za povečanje izmenjave obveščevalnih informacij med članicami in izboljšanje varnosti dobavnih verig. Ta zadnji ukrep bo privedel do tega, da bo direktiva imela globalni vpliv. 

NIS 2 ima veliko širši obseg kot njena predhodnica: vsa podjetja – vključno z majhnimi in mikro podjetji – ki veljajo za pomembna ali bistvena v državi članici, so zdaj zajeta. Tisti zunaj njenega obsega se lahko znajdejo v obveznosti upoštevanja predpisov po povezavi, vključno s tistimi izven EU, ki zagotavljajo storitve EU. 

Dobavitelji bodo potegnjeni v vrtinec  

Pod členom 21 morajo organizacije uvesti ukrepe za obvladovanje kibernetskih tveganj, in 21(2)(d) člen je posebej namenjen varnosti dobavne verige. Podrobno opisuje potrebo po izvajanju notranjih in usklajenih ocen tveganj za ugotavljanje ranljivosti, specifičnih za dobavitelje, ponudnike storitev ter njihove kibernetske rešitve in procese. Tako bi bil na območju uporabe/upoštevanja tudi ne-EU dobavitelj operativno kritičnih izdelkov ali storitev, ki posluje z organizacijo, ki se šteje kot pomembna ali bistvena in ima sedež v EU. 

Pričakovati je, da bodo kupci in ponudniki vključili te ocene tveganj, kot tudi druge elemente, povezane z NIS 2, kot so postopki poročanja o incidentih, v prihodnje pogodbe. Obstajajo stroge poročevalske obveznosti, ki zahtevajo obvezno zgodnje opozorilo takoj po kršitvi, ki ga je treba sporočiti pristojnemu organu v 24 urah. Po 72 urah je potrebno predložiti popolno poročilo o obvestilu, mesec dni kasneje pa še končno poročilo. 

Vendar pa bi lahko uvedba dodatnih ukrepov predstavljala visoke stroške, saj poročila nakazujejo, da se lahko stroški skladnosti za tiste, ki prej niso bili predmet NIS 1, dvignejo za 22%. Kako torej lahko organizacije, ki se morajo pripraviti na izpolnjevanje NIS 2, obvladajo stroške? 

Doseganje skladnosti prek drugih oz. obstoječih standardov 

Prvič, čeprav je NIS 2 obsežen, zajema upravljanje tveganj, najboljše prakse kibernetske varnosti ter elemente poslovne kontinuitete in obnovitve po nesreči (BC/DR), vključuje več zahtev, kot je na primer ISMS (sistem upravljanja informacijske varnosti), ki omogoča organizaciji skladnost s pomočjo drugih standardov. 

Večino zahtev je mogoče preslikati na kibernetske in tveganjske standarde ISO27001, preostale pa na standard BC/DR ISO22301. Hkrati lahko tisti z IT/OT okolji uporabijo tudi IEC62433, na primer. Pomembno je tudi omeniti, da kjer se že upošteva evropski pravni akt, kot sta DORA ali PSD2, v zvezi s kibernetsko varnostjo ali odzivom na incidente, ta odlok prevzame prednost, zato ni potrebno podvojiti prizadevanj. 

Podobno se lahko večino kontrol izvaja z obstoječimi sistemi, brez potrebe po ponovnem izumljanju kolesa. Na primer, upravljanje varnosti in dogodkov incidentov (SIEM) je predpogoj za zagotavljanje centraliziranega upravljanja dnevnikov in zmožnosti zaznavanja in odzivanja na incidente. Podjetja brez SIEM naslednje generacije lahko to sposobnost izberejo prek ponudnika upravljanja varnostnih storitev (MSSP). 

Določanje potreb bo zahtevalo analizo vrzeli z natančnim pregledom zahtev NIS 2 v primerjavi s trenutnimi varnostnimi ukrepi, ki so že vzpostavljeni, in nekatera področja bodo zagotovo zahtevala dodatno delo. 

Na primer, s tehnološkega vidika sta šifriranje in kriptografija pomembno osredotočeni v NIS 2 sami, ne le v zvezi s specifičnimi kontrolami. Strateško je tudi več poudarka na vlogi višjega vodstva pri vodenju ozaveščenosti o tveganjih v podjetju. Poleg tega, ker je NIS 2 delno regulacija na osnovi tveganja, bo zahtevala, da se ocene izvajajo kontinuirano, podobno kot pri ISO27001. 

Zakaj je NIS 2 potreben? 

NIS 2 nedvomno predstavlja pomembno prelomnico in odziv na naraščajočo kibernetsko grožnjo nacionalnim interesom. Videli smo, kako je Rusija Ukrajino uporabljala kot kibernetski poligon za testiranje kibernetskega orožja, in napadi, podprti s strani države, se povečujejo, pri čemer je večina APT-jev zdaj pripisljiva Rusiji, Kitajski, Iranu ali Severni Koreji. 

Hkrati je ameriški FBI septembra 2023 opozoril, da bi lahko nihanje cen energije privedlo do povečanja napadov na kritično nacionalno infrastrukturo v ZDA, kar razkriva, kako medsebojno odvisni so trgi. 

Glede na to, da je NIS 2 odraz sedanjih razmer, ali je verjetno, da ga bodo sprejeli tudi drugod?  

V Združenem kraljestvu, ki še vedno izpolnjuje zahteve NIS 1, se zdi malo verjetno, da bi bil NIS 2 sprejet v originalni obliki, čeprav so bile narejene spremembe, kot je razširitev predpisov na ponudnike upravljanih storitev (MSP), da bi zaščitili kritična podjetja, katerim služijo. Kljub temu si je britanska vlada tudi pridržala pravico do sprememb predpisov NIS v prihodnosti, da bi zagotovila, da ostanejo učinkoviti. 

Lahko bi videli, da postane NIS 2 pionir, podobno kot je bil GDPR za predpise o varstvu podatkov, ki bi državam ponudil vzorec, kako zaščititi organizacije, ki so ključnega pomena za njihove ekonomije. Direktiva postavlja višji standard glede varnosti, učinkovito ustvarjajoč nov minimalni prag in hitrejše poročanje o incidentih, kar bo močno otežilo, da bi kibernetski napad resno vplival na delovanje države. Gre za ambiciozno prizadevanje, ki bo imelo široke posledice – in ne samo za tiste znotraj EU. 

Zapise na to temo z namenom osveščanja širše javnosti, predvsem pa podjetij in odgovornih ljudi znotraj njih, redno dodajamo v našo blog sekcijo.  

V dodatno branje priporočamo izčrpen in pregleden vodič na temo NIS 2 direktive z naslovom: NIS 2 direktiva – vse kar morajo podjetja vedeti.  

Direktiva NIS 2 postavlja poudarek na razvoj kibernetske odpornosti v organizacijah, zlasti v sektorjih, ki so ključnega pomena za delovanje družbe, javne varnosti in gospodarstva. To pomeni, da se ne smejo le osredotočiti na obrambo pred kibernetskimi napadi, temveč morajo razviti sposobnost hitrega okrevanja po incidentu. 

Zgornji blog zapis o globalnih razsežnostih NIS 2 direktive je povzetek razmišljanja, ki ga je pripravil Kenneth Harpsoe, senior kibernetski analitik pri podjetju Logpoint in ga v originalni verziji najdete na tem naslovu.