NIS2 – Istota istnienia a nie straszenia
Pierwszy z artykułów o NIS2 ale z mojej perspektywy gdzie nie straszę karami tylko pokazuję, że można podejść inaczej a wręcz trzeba to zrobić inaczej.
A dlaczego inaczej, dlaczego nie straszę karami? Bo w całym tym zgiełku informacji o NIS2 zatraca się idea jaka stoi za wprowadzeniem NIS2 czyli określenie środków mających na celu osiągnięcie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii. (Art. 1 ust. 1 NIS2).
Tylko tyle i aż tyle.
Co wiemy:
- 14 Grudnia 2022 Parlament Europejski i Rada (UE) przyjmują NIS2
- NIS2 ogłoszono w Dzienniku Urzędowym UE 27.12.2022
- Kraje członkowskie mają czas do 17 Października 2024 na adopcję i publikacją niezbędnych przepisów implementujących NIS2 to porządku prawnego.
- NIS2 ma zastąpić (18 Października 2024) wysłużoną już Dyrektywę NIS przyjęta 16 lipca 2016 roku.
Spójrzmy na Dyrektywę z innej perspektywy niż kary, tak NIS2 nie składa się tylko z kar. A więc po co nam wysoki poziom cyberbezpieczeństwa. A po to, że jak pokazują ostatnie statystyki mamy gwałtowny wzrost liczby cyberataków na podmioty nie tylko publiczne ale i z sektora prywatnego[1] (ich wzrost zanotowano w związku z konfliktem na Ukrainie) a nawet ostatnio mówi się o cyberwojnie czy odwecie państwa w związku z cyberatakami. Od działalności właśnie tych podmiotów nie jednokrotnie zależy bardzo wiele usług czy produktów z których korzystamy na co dzień lub które wspieraj jakiś obszar naszej gospodarki. Dlatego też NIS2 rozszerza zakres podmiotów, które są nią objęte (o tym w kolejnym artykule) by jeszcze bardziej uszczelnić i ujednolicić system.
Żeby przybliżyć sobie ideę Dyrektywy rozbijmy NIS2 na elementy „Złotego kręgu” Simona Sinka, który składa się z trzech elementów:
Co? – Co chcemy osiągnąć
Jak? – Jak chcemy osiągnąć nasze CO
Dlaczego? – Dlaczego chcemy osiągnąć nasze CO
Pierwsze dwa elementy są nam podane wprost w NIS2 gdzie osiągnięcie wysokiego poziomu cyberbezpieczeństwa jest naszym CO.
Naszym JAK będą zapisy samej dyrektywy wskazujące nam co musimy zrobić. To JAK mamy osiągnąć nasze CO zostało np. określone w Artykule 21 Dyrektywy.
I tak na przykład:
Aby osiągnąć wysoki poziom cyberbezpieczeństwa podmiotu krytycznego lub ważnego wprowadzamy odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne.
Idąc głębiej w Artykuł 21 ust. 2 Dyrektywa wskazuje podmiotom co muszą zrobić aby to JAK osiągnąć. Czyli wprowadzając środki, o których pisałem wcześniej muszą:
- uwzględnić politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
- zapewnić obsługę incydentów;
- uwzględnij ciągłość działania;
To tylko kilka przykładów i jest tego dużo więcej do rozważenia oraz wdrożenia w podmiotach objętych Dyrektywą NIS2.
Pozostaje nam do kreślenia nasze DLACZEGO, Inaczej mówiąc DLACZEGO chcemy osiągnąć nasze CO. Bez tego nasze wdrożenie może się skończyć na podpisaniu kilku papierków i utworzeniu kolejnego segregatora, który nazwiemy NIS2 i postawimy obok segregatora RODO.
Nasze DLACZEGO w tym przypadku możemy określić z perspektywy Unii Europejskiej i jej Państw członkowskich, samego podmiotu, który będzie wdrażał u siebie NIS2 aż w końcu od strony zwykłego użytkownika czy może raczej klienta usług podmiotu.
Jeżeli spojrzymy na wydarzenia ostatniego czasu właśnie powiązane z cyberbezpieczeństwem to na naszym krajowym rynku mamy choćby rekordowy atak DDoS zanotowany przez zespół CERT Orange [2], który mógł doprowadzić do całkowitego wyłączenie atakowanego klienta w tym niedostępności jego usług.
Inny przykład z grudnia 2022 roku to atak typu ransomware na systemy Elektronicznego Zarządzania Dokumentami w jednostkach publicznych z prawdopodobieństwem wycieku danych z tych systemów. [3] Sprawa może być o tyle rozwojowa, że potencjalnie incydentem mogą być objęte setki jednostek publicznych. Tu też ukazuje się nam powiązanie NIS2 z innymi regulacjami prawnymi w tym RODO, gdzie te dwie regulację będą się zazębiały i uszczegóławiały.
Patrząc od strony Unii Europejskiej może tu zaistnieć problem w łańcuchu dostaw i niedostępnością produktów na rynku europejskim czy brakiem możliwości świadczenia usług na rynku europejskim np. bookowania biletów na przeloty, dla niektórych to jest katastrowa bo nie wylecą na wczasy z rodziną (prezes też nie dostanie paszportu i biletów) lub nie pojadą na badania co może odbić się na ich życiu i zdrowiu. Na nasze usługi patrzmy zawsze, szerzej nie tylko na koniec własnego nosa.
Jako podmiot chcemy zachować świadczenie usług czy też wytwarzanie produktów, w końcu od tego zależy nasz biznes. Ale spójrzmy też dalej na to kto korzysta z naszego produktu jaki jest łańcuch dostaw i powiązań. Dlatego też NIS2 dąży do wspólnego poziomu cyberbezpieczeństwa zauważając te powiązania. Nie jesteśmy już samotną wyspą tylko łańcuchem powiązanych naczyń, które muszą ze sobą współpracować i patrzeń na całość.
No i nasz użytkownik końcowym, którym może być nasz pracownik, który dzięki pracy w naszym podmiocie ma na spłatę kredytu. A może klient, któremu nasz podmiot publiczny wyda pozwolenie na budowę domu. Tylko co jak podmiot padnie pod nawałem ataków a urząd nie będzie świadczył swoich usług. Nie będzie na ratę kredytu, nie będzie wymarzonego domu bo urząd nie był wstanie się obronić przez cyberatakiem. Czy wręcz nasze zaniechania mogą doprowadzić do śmierci konkretnej osoby jak miało to miejsce w przypadku ataku na szpital w USA. [4]
W świecie tak zależnym od informacji gdzie każdy z nas przegląda dziesiątki stron internetowych w poszukiwaniu aktualnych wiadomości ze świata i jego okolicy również chcemy wierzyć, że to co dostajemy jest informacją wytworzoną przez ten portal. Jak pokazuje ostatni atak na The Guardian[5] atakujący mieli dostęp do danych osobowych pracowników ale jeszcze nie wiemy jak daleko sięga ten atak z perspektywy wiarygodności informacji dostępnych na tej stronie. Coraz częściej ataki ransomware są tylko zasłoną dymną przed prawdziwym celem ataku, kto wie jak było tym razem.
Gdzie w tym wszystkim będzie nasze DLACZEGO. Może nim być zapewnienie dostępności do leków dla naszych klientów aby mogli funkcjonować w codziennym życiu. Mozę to też być zapewnienie funkcjonowania naszego podmiotu na określonym poziomie aby zależne od niego inne podmiotu mogły realizować swoje zadania (np. w sytuacji gdy dostarczamy nasze usługi dla szpitali i bez tej usługi one nie mogą funkcjonować). Wiążąc to z RODO naszym DLACZEGO staje się ochrona praw i wolności osoby poprzez zapewnienie wysokiego poziomu cyberbezpieczeństwa naszego podmioty, usługi lub produktu.
Naszym DLACZEGO na pewno nie powinno być unikanie samych kar bo jest to spojrzenie krótkowzroczne tak samo jak wdrożenie systemy NIS2 w wersji papierowej.
Skończyło się mówienie, że czegoś nie zrobię dla klienta pomimo że ma do tego prawo a winą obarczymy komputery lub systemy teleinformatyczne. Ktoś te systemy zakupił, ktoś jest odpowiedzialny za ich zabezpieczenie i zachowanie ciągłości działania. Skończyło się zganianie winy na systemy i całe IT w firmie. Najwyższy czas na takie podejście do tematu aby usługi były świadczone, biznes dalej zarabiał a produkt był wytwarzany.
A jeżeli się nie skończyło to naszym celem powinno być aby się jak najszybciej skończyło lub ograniczyło.
[1] https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/
[2] https://cert.orange.pl/aktualnosci/543-9-gbps-kolejny-rekordowy-ddos
[3] https://cyberdefence24.pl/cyberbezpieczenstwo/zhakowano-urzad-marszalkowski-wojewodztwa-mazowieckiego
[4] https://www.pandasecurity.com/en/mediacenter/security/first-ransomware-death/
[5] https://www.theguardian.com/media/2023/jan/11/guardian-confirms-it-was-hit-by-ransomware-attack
