Nowe wymagania dotyczące ochrony obiektów — zmiany w dyrektywie NIS związane z cyberbezpieczeństwem

Na początku tego roku, w Polsce zaczęła obowiązywać dyrektywa NIS 2, mająca na celu zmianę zasad dotyczących bezpieczeństwa cybernetycznego w Unii Europejskiej. Jest to nowelizacja istniejącej dyrektywy NIS, która została wprowadzona w Polsce poprzez Ustawę o krajowym systemie cyberbezpieczeństwa. Chociaż ostateczna data wdrożenia przepisów dyrektywy NIS 2 została określona na 17 października 2024 roku, a konkretny zakres nowych przepisów zależy od decyzji polskiego ustawodawcy, już teraz możemy wyjaśnić wiele kwestii związanych z nią.

Znaczenie cyberbezpieczeństwa w organizacjach

Cyberbezpieczeństwo to zestaw praktyk, technologii, procesów i metod mających na celu ochronę systemów komputerowych, sieci, danych oraz urządzeń przed atakami, nieautoryzowanym dostępem, kradzieżą informacji czy innymi rodzajami zagrożeń związanymi z cyberprzestrzenią. Jest to kluczowy obszar w dzisiejszym świecie technologicznym, ponieważ firmy przechowują wiele danych w sieci, a ich bezpieczeństwo ma bezpośredni wpływ na zaufanie klientów, stabilność finansową i reputację firmy. Warto także podkreślić, że istnieją przepisy i regulacje dotyczące ochrony danych, które nakładają na firmy obowiązek dbania o bezpieczeństwo informacji. Jeden z ważniejszych omawiamy w dalszej części naszego artykułu.
Inwestowanie w cyberbezpieczeństwo staje się zatem niezbędne dla firm, by chronić swoje zasoby oraz dane. Wymaga to stałego monitorowania, aktualizacji systemów, szkoleń dla pracowników oraz reakcji na nowe zagrożenia i metody ataków stosowane przez cyberprzestępców.

Czym jest dyrektywa NIS 2?

Dyrektywa NIS 2 jest ważną regulacją w zakresie cyberbezpieczeństwa, która ma na celu zwiększenie bezpieczeństwa cybernetycznego w UE. Jest to dyrektywa Parlamentu Europejskiego i Rady w sprawie działań na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Zastąpiła ona dyrektywę NIS z 2016 roku, stanowiąc odpowiedź na zmiany w krajobrazie cyfrowym oraz coraz to nowsze sposoby na przeprowadzenie ataków cybernetycznych. Tak jak wspomniano wcześniej, termin na dostosowanie się do nowych wymogów mija 17 października 2024 roku, a ich wdrożenie będzie wymagało od organizacji objętych jej zakresem znaczących inwestycji w środki bezpieczeństwa cybernetycznego, jak i systemów fizycznych zabezpieczeń. Po tej dacie nowe przepisy będą obowiązywać we wszystkich krajach Unii Europejskiej, a za ich nieprzestrzeganie firmom grożą wysokie karty — nawet do 10 milionów euro lub 2% łącznego rocznego obrotu.
Celem dyrektywy NIS 2 jest zwiększenie odporności systemów informatycznych i sieciowych państw członkowskich na terenie całej Unii, a także poprawa zdolności reagowania na incydenty cybernetyczne. Jej zapisy dotyczą wszystkich organizacji, które mogą mieć znaczący wpływ na społeczeństwo, gospodarkę lub bezpieczeństwo publiczne w przypadku incydentu cybernetycznego — instytucje objęte jej regulacjami wyszczególniamy w dalszej części artykułu.
Zgodnie z zapisami dyrektywy, organizacje muszą:
  • wdrożyć system środków zarządzania ryzykiem cybernetycznym w celu jego identyfikacji, oceny i minimalizacji;
  • współpracować z właściwymi organami w celu reagowania na incydenty cybernetyczne;
  • niezwłocznie zgłaszać incydenty cybernetyczne powołanym do tego organom;
  • dbać o zabezpieczenie systemów poprzez wdrażanie skutecznych procedur,
  • zabezpieczać łańcuchy dostaw oraz dbać o opracowywanie i wdrażanie planów ciągłości działania.

Kogo dotyczą znowelizowane przepisy dyrektywy NIS 2?

Rozszerzenie zakresu nowej dyrektywy NIS 2 obejmuje wiele firm w Polsce, które będą zobligowane do dopasowania swoich standardów bezpieczeństwa do znowelizowanych przepisów. Dotyczą one organizacji działających w sektorach wymienionych w dyrektywie. Objęte nimi są firmy, które są uznawane za średnie lub duże. Są to podmioty zatrudniające co najmniej 50 pracowników lub osiągające roczny obrót albo sumę bilansową przekraczającą 10 milionów euro.

Dyrektywa NIS 2 obejmuje średnie i duże firmy działające w branżach takich jak:

  1. energetyka,
  2. transport,
  3. bankowość,
  4. infrastruktura rynków finansowych,
  5. opieka zdrowotna,
  6. sektor wody pitnej i odprowadzania ścieków,
  7. infrastruktura cyfrowa,
  8. usługi zarządzania ICT,
  9. administracja publiczna,
  10. przestrzeń kosmiczna,
  11. usługi pocztowe i kurierskie,
  12. gospodarowanie odpadami,
  13. produkcja, przetwarzanie i dystrybucja chemikaliów,
  14. produkcja, przetwarzanie i dystrybucja żywności,
  15. inne sektory produkcyjne, w tym m.in.: wyroby medyczne, komputery, elektronika, wyroby optyczne, urządzenia elektryczne, maszyny i urządzenia gdzie indziej niesklasyfikowane, pojazdy samochodowe, naczepy, przyczepy, a także pozostały sprzęt transportowy,
  16. dostawcy usług cyfrowych.
Branże od 1 do 10 na tej liście zostały uznane na mocy nowelizacji dyrektywy NIS za kluczowe, podczas gdy podmioty od 11 do 16 są traktowane w jej zapisach jako ważne.
Warto zaznaczyć, że zapisy dyrektywy mają zastosowanie nie tylko do dużych i średnich firm w wymienionych branżach, ale także do małych i mikroprzedsiębiorstw, które:
  • dostarczają usługi zaufania,
  • świadczą usługi DNS (z wyłączeniem operatorów głównych serwerów nazw),
  • zarządzają rejestrami nazw TLD,
  • są częścią administracji publicznej na szczeblu centralnym,
  • zaliczają się do podmiotów krytycznych według dyrektywy CER.

Nowe przepisy a zapewnienie bezpieczeństwa w firmie

Podczas przeprowadzania audytu w firmie lub instytucji publicznej w kontekście przygotowania do spełnienia nowych zasad dyrektywy NIS 2, istotne jest skupienie się na kontroli fizycznego dostępu. Często ta kwestia jest bagatelizowana, jako element niewpływający istotnie na poziom cyberbezpieczeństwa. Niemniej jednak artykuł 79. Dyrektywy NIS 2 podkreśla, że zagrożenia dla bezpieczeństwa sieci i systemów informatycznych mogą mieć różne źródła, w tym nieuprawniony dostęp do infrastruktury związanej z informacjami oraz ich przetwarzaniem. Może być to np. kradzież urządzeń zawierających poufne dane, ingerencja w działanie takich sprzętów jak routery, przełączniki sieciowe czy modemy, co może prowadzić do podsłuchiwania i manipulacji danymi przesyłanymi w sieci, a także fizyczne dostarczenie do organizacji złośliwego oprogramowania, np. na pendrivie.
W celu spełnienia wymogów dyrektywy NIS 2 warto rozważyć zainstalowanie wysokiej klasy systemu kontroli dostępu do obszarów, budynków oraz pomieszczeń. Firmy, które dysponują narzędziami do zarządzania dostępem, mogą skorzystać z możliwości przeprowadzenia audytu przez AutoID. W czasie jego trwania specjaliści zweryfikują, czy istniejące rozwiązania kontroli dostępu są zgodne z wymaganiami dyrektywy NIS 2. Jeśli nie spełnia tych warunków, należy zastąpić je nowym sprzętem, który będzie odpowiadał wymogom stawianym przez przepisy prawne.
Warto zaznaczyć, że dyrektywa wymaga wykorzystania technologii szyfrowania, zwłaszcza szyfrowania end-to-end, gdzie komunikacja między co najmniej dwoma stronami jest zabezpieczona w taki sposób, że tylko nadawca i odbiorca są w stanie odczytać przekazywane informacje. To zapewnia, że trzecia strona nie ma dostępu do klucza szyfrującego oraz zaszyfrowanych danych. Taka praktyka umożliwia utrzymanie wysokiego poziomu bezpieczeństwa działania urządzeń kontroli dostępu, a co za tym idzie całego systemu.
Wykorzystanie sprzętu Rosslare pozwala kompleksowe szyfrowanie danych przesyłanych pomiędzy kartą, czytnikiem, kontrolerem i serwerem. Aby osiągnąć jak najlepsze efekty w tym zakresie, zalecamy wykorzystanie kart MIFARE Desfire, bazujących na najbezpieczniejszym 128-bitowym szyfrowaniu AES, oferującym najwyższą liczbę rund szyfrowania. Zgodnie z Narodowym Instytutem Standardów i Technologii (NIST), to szyfrowanie jest odporne na ataki brute-force do poziomu 2128, co stanowi około 1038 operacji.
W celu zapewnienia poprawnego funkcjonowania systemu kontroli dostępu, nasze czytniki i kontrolery są w stanie komunikować się przy użyciu protokołu OSDPv2, co wspiera bezpieczeństwo przekazywanych informacji i chroni je przed nieautoryzowanym dostępem. Istotne jest także zwrócenie uwagi na szyfrowanie pomiędzy czytnikiem a kontrolerem. W urządzeniach Rosslare stosowane jest symetryczne szyfrowanie danych AES 128-bit, uznawane za bezpieczny i efektywny sposób ochrony informacji. Natomiast w kontekście szyfrowania między kontrolerem a serwerem, wykorzystywane jest szyfrowanie AES-256, jedno z najbezpieczniejszych obecnie dostępnych szyfrów blokowych na świecie. Dzięki temu algorytmowi, dane są podzielone na bloki o długości 128 bitów, każdy może być zaszyfrowany lub odszyfrowany przy użyciu klucza 256-bitowego.

Dodatkowo, dla zwiększenia bezpieczeństwa szyfrowania AES-128, można wykorzystać dodatkowe środki, takie jak:

  • saltowanie klucza, czyli wprowadzenie losowego ciągu znaków przed zaszyfrowaniem danych, co utrudnia próby odgadnięcia klucza,
  • haszowanie klucza, co przekształca klucz w stałorozmiarowy ciąg znaków i utrudnia przechowywanie dużej ilości kluczy w pamięci,
  • użycie bezpiecznego trybu szyfrowania, określającego sposób podziału i szyfrowania danych w blokach (niektóre tryby są bardziej odporne na ataki).

Omawiane rozwiązanie kontroli dostępu spełnia wymogi dyrektywy NIS 2 dotyczące bezpieczeństwa. Zapewnia ono kompleksowe szyfrowanie między wszystkimi elementami systemu, co gwarantuje poufność danych i uniemożliwia ich przechwycenie przez nieupoważnione osoby. Zastosowanie protokołu OSDPv2 pozwala na pełną poufność, integralność i autentyczność przesyłanych informacji, a dodatkowe środki, które mogą być wdrożone opcjonalnie, jeszcze bardziej wzmacniają bezpieczeństwo całego systemu.