S cieľom čeliť týmto hrozbám bolo zavedené nariadenie NIS2. Nariadenia vo všeobecnosti poskytujú organizáciám návod, ako pristupovať ku kybernetickej bezpečnosti a opatreniam, ktoré musia prijať, aby ochránili svoje aktíva pred útokmi, a zároveň chránia spoločnosť ako celok pred tvrdými následkami útokov.
NIS2 ako reakcia na zvýšenú frekvenciu útokov
Druhá verzia smernice o bezpečnosti sietí a informácií – inak známa ako smernica NIS2 – je právnym predpisom, ktorého cieľom je posilniť postavenie a odolnosť Európskej únie v oblasti kybernetickej bezpečnosti stanovením minimálneho súboru opatrení v oblasti kybernetickej bezpečnosti a požiadaviek, ktoré sú ukladané príslušným subjektom kritickej infraštruktúry a kľúčovým podporným organizáciám v rámci Členských štátov EÚ.
NIS2 stavia na základoch, ktoré zanechala jej predchodkyňa, pôvodná smernica NIS, s rozšíreným obsahom pôsobnosti a dodatočnými požiadavkami vytvorenými ako reakcia na čoraz častejšie kybernetické útoky proti subjektom kritickej infraštruktúry v posledných rokoch. Mnoho podnikov spadajúcich pod tzv. kybernetický zákon 69/2018 Z. z., a teda aj pod NIS1 si ťažkú hlavu z NIS2 nerobí, pretože by mali mať už dávno prijaté kybernetické opatrenia, čiže s príchodom NIS2 sa ich to dotýka len minimálne. Horšie sú na tom sektory ako potravinárstvo, kuriérske služby, čističky odpadových vôd atď., ktoré sa doteraz „vyhýbali“ požiadavkám NIS, ale s príchodom NIS2 budú musieť začať kybernetickú bezpečnosť budovať, mnohé podniky pekne od základov.
Čo teda NIS2 vyžaduje? To, aby príslušné organizácie zaviedli primerané opatrenia kybernetickej bezpečnosti na zaistenie bezpečnosti a odolnosti svojich systémov a sietí. Tieto opatrenia pokrývajú okrem iného oblasť riadenia rizík a zraniteľnosti, bezpečnosti dodávateľského reťazca, reakcie na incidenty a bezpečnej autentifikácie. Smernica tiež špecifikuje, ako a kedy sa musia kybernetické incidenty hlásiť.
NIS2 presadzuje ako základ zahrnutie nasledujúcich opatrení do každého programu riadenia rizík na úrovni subjektu:
- zásady analýzy rizík a bezpečnosti informačného systému,
- spracovanie incidentov,
- kontinuita podnikania, ako je správa zálohovania a obnova po havárii a krízový manažment,
- bezpečnosť dodávateľského reťazca vrátane aspektov súvisiacich s bezpečnosťou a týkajúcich sa vzťahov medzi každým subjektom a jeho priamymi dodávateľmi alebo poskytovateľmi služieb,
- bezpečnosť pri získavaní, vývoji a údržbe sieťových a informačných systémov vrátane riešenia a odhalenia zraniteľnosti,
- politiky a postupy na hodnotenie účinnosti opatrení na riadenie rizík v oblasti kybernetickej bezpečnosti,
- základné postupy kybernetickej hygieny a školenia o kybernetickej bezpečnosti,
- zásady a postupy týkajúce sa používania kryptografie a tam, kde je to vhodné, šifrovania,
- bezpečnosť ľudských zdrojov, zásady riadenia prístupu a správa majetku,
- použitie viacfaktorovej autentifikácie alebo riešení kontinuálnej autentifikácie.
NIS2 venuje špeciálnu pozornosť kybernetickým incidentom a obsahuje dvojfázovú štruktúru hlásenia incidentov. Bez ohľadu na proaktívny alebo reaktívny dohľad legislatíva nariaďuje, aby bol každý významný incident nahlásený do 24 hodín od začiatku, pričom podrobnosti sa pridávajú do 72 hodín. Ako následné opatrenie sa vyžaduje podrobnejšie hlásenie mesiac po vypuknutí závažného incidentu. Táto štruktúra je pokusom rýchlo zachytiť okamžité detaily, aby sa zabránilo rozsiahlemu dosahu podobných útokov, a poskytnúť hĺbkovú analýzu pre analytikov v oblasti bezpečnosti a plánovania odolnosti.
Významný kybernetický bezpečnostný incident je definovaný ako incident, ktorý spôsobil alebo je schopný spôsobiť vážne prevádzkové narušenie služieb alebo finančnú stratu pre dotknutý subjekt a/alebo ovplyvnil alebo môže ovplyvniť iné fyzické alebo právnické osoby tým, že spôsobil značné materiálne alebo nemateriálne škody. Od účtovných jednotiek sa ďalej očakáva, že uvedú, či majú podozrenie, že významný incident je výsledkom nezákonnej alebo zlomyseľnej činnosti a či môže mať nadnárodný dosah.
Hoci legislatíva poskytuje podrobné usmernenia, veľká časť jej vplyvu závisí od toho, ako subjekty chápu útoky a dosah. Napríklad kritická infraštruktúra bude musieť rýchlo identifikovať potenciálny dosah incidentov pred ich vývojom alebo počas neho vrátane scenárov straty viditeľnosti (loss of view) a straty kontroly (loss of control), ktoré ovplyvňujú fungovanie služieb a kritických priemyselných procesov. Zainteresované strany každého subjektu budú musieť posúdiť vplyv na dotknutú sieť a informačné systémy, závislosť od týchto systémov a očakávané trvanie a závažnosť prerušenia služieb.
Ktorých subjektov sa NIS2 dotkne najvýraznejšie?
NIS2 rozlišuje medzi vysoko kritickými sektormi (príloha I) a inými kritickými sektormi (príloha II). Cieľom tohto rozdelenia je vytvoriť dvojúrovňový prístup k priorizácii pre základné a dôležité subjekty, čím sa zabezpečí harmonizácia medzi členskými štátmi. Medzi sektory s vysokou kritickosťou (príloha I) patria:
- energetika,
- doprava,
- bankovníctvo,
- infraštruktúry finančného trhu,
- zdravotníctvo,
- výroba a distribúcia pitnej vody,
- čističky odpadových vôd,
- digitálna infraštruktúra,
- manažment IKT služieb (business-to-business),
- verejná správa,
- vesmír.
Medzi ďalšie kritické sektory (príloha II) patria:
- poštové a kuriérske služby,
- nakladanie s odpadmi,
- výroba, spracovanie a distribúcia chemikálií,
- výroba, spracovanie a distribúcia potravín,
- výroba (vrátane zdravotníckych a diagnostických zdravotníckych pomôcok in vitro, počítačových, elektronických a optických výrobkov, elektrických zariadení, strojov a zariadení, motorových vozidiel, prívesov a návesov a iných dopravných zariadení),
- poskytovatelia digitálnych nástrojov a služieb (online trhoviská, online vyhľadávače a platformy služieb sociálnych sietí),
- výskum (výskumné organizácie).
Čo sú to subjekty s vysokým stupňom ohrozenia kybernetickej bezpečnosti?
- Podľa smernice NIS2 majú členské štáty možnosť definovať menšie subjekty, ktoré predstavujú vysoké bezpečnostné riziko a mali by tiež podliehať povinnostiam NIS2. Hoci smernica výslovne nedefinuje „subjekty s vysokým stupňom ohrozenia kybernetickej bezpečnosti“, napriek tomu to znamená, že tieto subjekty sú kľúčové pre:
- udržiavanie spoločenských a ekonomických činností v členskom štáte,
- zabezpečenie verejnej bezpečnosti, ochrany alebo zdravia,
- podporu cezhraničných systémov,
- uľahčenie národných alebo regionálnych aktivít,
- fungovanie verejnej správy.
Tieto subjekty sa napriek menšej veľkosti považujú za kritické z dôvodu potenciálne závažných následkov bezpečnostných incidentov ovplyvňujúcich ich systémy alebo služby.
NIS a GDPR
NIS2 nenahrádza GDPR. Aj keď obe tieto nariadenia sa týkajú bezpečnostných opatrení, GDPR je zákon o ochrane osobných údajov, ktorý udeľuje práva na osobné identifikačné údaje (PII) a načrtáva podmienky ich použitia. NIS2 sa na druhej strane zameriava na zmiernenie rizík vyplývajúcich z prerušenia kritických služieb. Zatiaľ čo niektoré spoločnosti budú musieť dodržiavať obe nariadenia, nie všetky spoločnosti, ktorých sa GDPR týka, budú musieť dodržiavať pravidlá NIS2.
Harmonogram a stav smernice NIS2
Hoci smernica NIS2 bola pôvodne navrhnutá v decembri 2020, nadobudla účinnosť 16. januára 2023 a teraz majú členské štáty EÚ 21 mesiacov, do 17. októbra 2024, na transpozíciu jej opatrení do vnútroštátneho práva. Do 17. apríla 2025 musia všetky členské štáty vytvoriť zoznam subjektov dotknutých touto novou smernicou. NIS2 bola už zo strany EÚ formálne prijatá a teraz musí každý členský štát samostatne podniknúť kroky podľa uvedeného časového plánu, aby zabezpečil úplný súlad so smernicou.
Hoci na implementáciu NIS2 majú dotknuté subjekty čas do októbra 2024, zosúladenie politík a procesov subjektov bude aj tak časovo náročné. Čo je ešte náročnejšie, časové harmonogramy podávania správ budú vyžadovať, aby spoločnosti investovali do technológií. Európska komisia to zobrala na vedomie, pretože v odseku 51 odôvodnení uvádza, že zahrnuté subjekty by mali prijať širokú škálu základných postupov kybernetickej hygieny, ktoré zahŕňajú zásady nulovej dôvery a technológie zvyšujúce kybernetickú bezpečnosť, ako je umelá inteligencia alebo strojové učenie.
Zhrnutie
Napriek tomu, že ide o relatívne novú regulačnú povinnosť, NIS2 má mnoho prvkov, ktoré už boli definované v osvedčených postupoch (napr. normy a rámce ako IEC 62443, NIST, ISO27001) a zahrnuté do požiadaviek na zhodu pre sektory ako finančné služby a telekomunikácie už pred viac ako 20 rokmi. Investície do komplexných programov bezpečnosti IT a OT založených na zavedených štandardoch a rámcoch kybernetickej bezpečnosti môžu organizáciám umožniť riešiť riziká, na ktoré sa vzťahuje NIS a iná legislatíva. Umožňujú tiež podnikom s priemyselnými prevádzkami znížiť prestoje, zvýšiť dostupnosť a zlepšiť odolnosť. Lepšie zabezpečenie tiež vytvorí odolnejšie obchodné modely a organizácie pripravené na budúcnosť. Súbežne s tým možno prípravu na NIS2 vnímať ako širšiu príležitosť na preskúmanie a opravu kybernetickej bezpečnosti OT/IT v rámci organizácie a jej dodávateľských reťazcov. Možnosťou je začleniť odolné postupy kybernetickej bezpečnosti, ktoré sú nevyhnutné pre digitálnu transformáciu organizácií, a zároveň zabezpečiť súlad s predpismi.
Literatúra
[1] Negreiro, M.: The NIS2 Directive: A high common level cybersecurity in the EU. European Parliament. [online]. Publikované 8. 2. 2023.
[2] Ferreira, R.: NIS2 Directive: Organizational Impact and Next Steps. Fortinet. [online]. Publikované 11. 5. 2023.
[3] NIS2 Directve. From risk to opportunity. DNV, whitepaper. [online]. Publikované 2/2023.
Martin Fábry
ICS/DCS bezpečnostný architekt a konzultant
Anton Gérer
gerer@hmh.sk