Spis treści:
Znaczenie cyberbezpieczeństwa w organizacjach
Czym jest dyrektywa NIS 2?
- wdrożyć system środków zarządzania ryzykiem cybernetycznym w celu jego identyfikacji, oceny i minimalizacji;
- współpracować z właściwymi organami w celu reagowania na incydenty cybernetyczne;
- niezwłocznie zgłaszać incydenty cybernetyczne powołanym do tego organom;
- dbać o zabezpieczenie systemów poprzez wdrażanie skutecznych procedur,
- zabezpieczać łańcuchy dostaw oraz dbać o opracowywanie i wdrażanie planów ciągłości działania.
Kogo dotyczą znowelizowane przepisy dyrektywy NIS 2?
Rozszerzenie zakresu nowej dyrektywy NIS 2 obejmuje wiele firm w Polsce, które będą zobligowane do dopasowania swoich standardów bezpieczeństwa do znowelizowanych przepisów. Dotyczą one organizacji działających w sektorach wymienionych w dyrektywie. Objęte nimi są firmy, które są uznawane za średnie lub duże. Są to podmioty zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót albo sumę bilansową przekraczającą 10 milionów euro.
Dyrektywa NIS 2 obejmuje średnie i duże firmy działające w branżach takich jak:
- energetyka,
- transport,
- bankowość,
- infrastruktura rynków finansowych,
- opieka zdrowotna,
- sektor wody pitnej i odprowadzania ścieków,
- infrastruktura cyfrowa,
- usługi zarządzania ICT,
- administracja publiczna,
- przestrzeń kosmiczna,
- usługi pocztowe i kurierskie,
- gospodarowanie odpadami,
- produkcja, przetwarzanie i dystrybucja chemikaliów,
- produkcja, przetwarzanie i dystrybucja żywności,
- inne sektory produkcyjne, w tym m.in.: wyroby medyczne, komputery, elektronika, wyroby optyczne, urządzenia elektryczne, maszyny i urządzenia gdzie indziej niesklasyfikowane, pojazdy samochodowe, naczepy, przyczepy, a także pozostały sprzęt transportowy,
- dostawcy usług cyfrowych.
- dostarczają usługi zaufania,
- świadczą usługi DNS (z wyłączeniem operatorów głównych serwerów nazw),
- zarządzają rejestrami nazw TLD,
- są częścią administracji publicznej na szczeblu centralnym,
- zaliczają się do podmiotów krytycznych według dyrektywy CER.
Nowe przepisy a zapewnienie bezpieczeństwa w firmie
Dodatkowo, dla zwiększenia bezpieczeństwa szyfrowania AES-128, można wykorzystać dodatkowe środki, takie jak:
- saltowanie klucza, czyli wprowadzenie losowego ciągu znaków przed zaszyfrowaniem danych, co utrudnia próby odgadnięcia klucza,
- haszowanie klucza, co przekształca klucz w stałorozmiarowy ciąg znaków i utrudnia przechowywanie dużej ilości kluczy w pamięci,
- użycie bezpiecznego trybu szyfrowania, określającego sposób podziału i szyfrowania danych w blokach (niektóre tryby są bardziej odporne na ataki).
Omawiane rozwiązanie kontroli dostępu spełnia wymogi dyrektywy NIS 2 dotyczące bezpieczeństwa. Zapewnia ono kompleksowe szyfrowanie między wszystkimi elementami systemu, co gwarantuje poufność danych i uniemożliwia ich przechwycenie przez nieupoważnione osoby. Zastosowanie protokołu OSDPv2 pozwala na pełną poufność, integralność i autentyczność przesyłanych informacji, a dodatkowe środki, które mogą być wdrożone opcjonalnie, jeszcze bardziej wzmacniają bezpieczeństwo całego systemu.