Wdrożenie dyrektywy Network and Information Systems, a w jej następstwie naszego krajowego ustawodawstwa, wymaga sporego zaangażowania ze strony podmiotów, które zostały objęte tym europejskim dokumentem. Aby przybliżyć i lepiej zrozumieć po co powstała dyrektywa i co w efekcie może nam dać poprosiliśmy naszych czołowych dostawców rozwiązań cyberbezpieczeństwa, o wypowiedź na ten temat. Ich treść wraz, z krótkim, również naszym komentarzem możecie przeczytać w tym artykule.
Wprowadzenie
Cyberbezpieczeństwo to stały proces wdrażania rozwiązań technologicznych i dobrych praktyk, które ułatwiają ochronę systemów informatycznych oraz automatyki przemysłowej przed atakami. To z jednej strony zabezpieczenie firmowych danych i użytkowników, często rozproszonych w różnych lokalizacjach lub pracujących zdalnie, a z drugiej utrzymanie ciągłości systemów produkcji. Przemysł 2.0 oparty był na węglu, Przemysł 4.0 działa w oparciu o dane. Cyberbezpieczeństwo to kierunek, który pozwala w sposób ciągły dobrze nam je zabezpieczać. W ramach tzw. cyberhigieny ważna jest dywersyfikacja rozwiązań oraz szkolenia użytkowników końcowych z bezpiecznego użytkowania firmowego komputera i poruszania się w sieci internetowej. - Przemysław Leśniak, Arkanet, Z-ca Dyrektora Handlowego ds. Rozwoju / Product Manager
Co do samej dyrektywy NIS2 – nie patrzę na nią jako zbiór nakazów, zakazów oraz ewentualnych kar, a szansę na wyznaczenie wspólnego standardu bezpieczeństwa przedsiębiorstw, która niesie jednak za sobą szereg działań do wykonania. Dyrektywa odnosi się do kluczowych kwestii w zakresie bezpieczeństwa systemów IT. Wdrożenie ich w życie przez polskie firmy może przynieść mnóstwo korzyści w tym: standaryzację ochrony w środowiskach IT oraz współpracę między przedsiębiorstwami. Powstaje więc pytanie jak przygotować się do dyrektywy NIS2 i zabezpieczyć swoje środowisko? - Bartosz Zając, Arkanet, Product Manager
Dyrektywa NIS2 skupia się przede wszystkim na zapewnieniu bezpieczeństwa i odporności systemów sieciowych oraz informacyjnych w całej Unii Europejskiej. Chociaż nie jest to główny temat dyrektywy, to jednak zawiera ona pewne wymagania odnośnie przechowywania danych w kontekście zapewnienia bezpieczeństwa sieci i systemów. Należy tu podkreślić dwie kwestie - bezpieczeństwo przechowywanych danych i ich odtwarzania, a także zdolność reagowania na incydenty. Odzyskiwanie danych po katastrofach jest zazwyczaj rozumiane jako część szerszej strategii bezpieczeństwa cybernetycznego i odporności organizacji, a Dyrektywa NIS2 ma na celu wzmocnienie tych aspektów.
Choć zakres środków technicznych związanych z bezpieczeństwem danych nie jest sprecyzowany, to jednak pokazuje pewne istotne kwestie. Po pierwsze operatorzy usług kluczowych i dostawcy usług cyfrowych są zobowiązani do stosowania odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa ich przechowywania. To obejmuje zarówno dane klientów, jak i własne dane przedsiębiorstwa/organizacji. Po drugie, dyrektywa NIS 2 współgra z innymi regulacjami, jak np. RODO w zakresie ochrony danych osobowych. Przekłada się to bezpośrednio na wymagania, które powinny zostać postawione w zakresie doboru urządzeń przestrzeni dyskowej. Nasze serwery NAS to zaawansowane urządzenia pozwalające stworzyć bezpieczny i kompleksowy system ochrony danych, który pozwoli sprostać wymaganiom - zarówno ogólnym, opisanym w dyrektywie, jak i przyszłym, które zostaną wdrożone na poziomie prawa krajowego. NAS QNAP oferuje wielopoziomowy mechanizm ochrony: RAID, migawki, ochrona przed cichym uszkodzeniem danych, WORM, replikacja migawek, backup danych do innych lokalizacji, mechanizmy kontroli dostępu czy wykrywanie nietypowej aktywności plików. Tworząc system QuTS hero oparty o ZFS mieliśmy na celu dać klientom rozwiązanie, które zaoferuje bezpieczeństwo, ale też optymalizację przechowywania danych. Dodatkowo użytkownicy mogą korzystać z takich funkcji jak darmowy backup maszyn wirtualnych czy komputerów PC i serwerów, zwiększając bezpieczeństwo systemów organizacji. W zakresie dyrektywy NIS2 znajduje się też wymóg audytu i monitorowania. Tutaj mamy unikatowe rozwiązanie klasy NDR (Network Detection and Response) - ADRA, które pozwala monitorować ruch w sieci LAN, wykrywać anomalie i co najważniejsze - automatycznie podejmować reakcję, np. poprzez zablokowanie urządzenia, z którego taki ruch pochodzi. W efekcie zmniejsza to ryzyko ataku malware czy ransomware na zasoby sieci organizacji i docelowo - systemy oraz dane. - Łukasz Milic, QNAP Business Development Representative
NIS2 rozszerza zakres swojego poprzednika, obejmując krytyczne sektory, takie jak łańcuchy dostaw, produkcja żywności i administracja publiczna. Wprowadza ujednolicone raportowanie incydentów, zapewniając proaktywne zarządzanie i monitorowanie zagrożeń.
Krajobraz cyfrowy szybko się rozwija, a złożoność i liczba zagrożeń cyberbezpieczeństwa rośnie. Uznając pilną potrzebę wzmocnienia środków bezpieczeństwa, UE sześć lat temu podjęła pionierski krok, wprowadzając pierwsze ogólnounijne rozporządzenie w sprawie cyberbezpieczeństwa – dyrektywę NIS.
To przełomowe ustawodawstwo stanowiło podawalinę do stworzenia podstawowych protokołów bezpieczeństwa w różnych branżach. Obecnie krajobraz uległ zmianie, co wymaga solidniejszego i kompleksowego podejścia do cyberbezpieczeństwa. Opierając się na podstawach stworzonych przez swojego poprzednika, NIS2 to nie tylko aktualizacja. To znaczne rozszerzenie w zakresie reagowania na ewoluujący krajobraz zagrożeń cybernetycznych. Jednym z kluczowych usprawnień jest uwzględnienie łańcuchów dostaw – krytycznego obszaru podatnego na zagrożenia we wzajemnie połączonym ekosystemie cyfrowym. Co więcej, NIS2 ma na celu ujednolicenie zgłaszania incydentów, tworząc jednolite ramy, które zwiększają ogólnokrajową widoczność cyberataków i ich wpływu na różne sektory. Dla organizacji, przejście na NIS2, wiąże się z wieloma nowymi obowiązkami i wyzwaniami (w tym rygorystyczny wymóg dotyczący raportowania - pierwsze powiadomienie o incydentach w ciągu 24 godzin). NIS2 stanowi znaczący krok w wysiłkach UE na rzecz wzmocnienia mechanizmów obrony cyberbezpieczeństwa. Rozszerzając zakres regulacji, standaryzując raportowanie i kładąc nacisk na proaktywne monitorowanie bezpieczeństwa, NIS2 ma na celu stworzenie bardziej odpornej infrastruktury cyfrowej, zdolnej przeciwstawić się zagrożeniom współczesnego świata. Dla organizacji, droga do zapewnienia zgodności, może być wyzwaniem, ale jest to kluczowa inwestycja w bezpieczeństwo i niezawodność ich operacji, a co za tym idzie, szerszego ekosystemu cyfrowego.
Ponieważ zbliża się ostateczny termin, przesłanie jest jasne: czas na działanie jest teraz. Przyjmując NIS2, organizacje stosujące się do wymogów nowej dyrektywy mogą wzmocnić swoją obronę przed stale ewoluującymi zagrożeniami ery cyfrowej, a w portfolio Withsecure znajdują się produkty m.in. dostępne w ramach platformy WithSecure Elements oraz usługi np. WithSecure Countercept, które mogą pomóc im zapewnić maksymalny poziom ochrony na wielu płaszczyznach potencjalnego ataku. - Bartłomiej Stryczek, WithSecure Sales Engineer
Dyrektywa NIS2 stanowi kluczowy element strategii cyberbezpieczeństwa Unii Europejskiej i ma na celu wzmocnienie ochrony cyfrowej w kluczowych sektorach gospodarki. Wprowadza nowe wymagania dla firm, zwiększając ich odpowiedzialność pod względem poziomu bezpieczeństwa cyfrowego. Nasz system OXARI, dzięki elastyczności i możliwościom skalowania, idealnie wpisuje się w potrzeby organizacji dążących do spełnienia tych regulacji. Możemy dostosować nasze rozwiązanie do specyficznych wymagań każdej organizacji, co jest kluczowe dla efektywnego zarządzania bezpieczeństwem cyfrowym.
OXARI zapewnia zaawansowane narzędzia, które pomagają organizacjom w spełnieniu wymagań dyrektywy NIS2, takie jak systematyczna rejestracja incydentów bezpieczeństwa oraz inwentaryzacja zasobów, która umożliwia lepsze zarządzanie infrastrukturą IT. Ponadto, nasz system pozwala na analizę ryzyka oraz zarządzanie bezpieczeństwem urządzeń mobilnych, co jest nieodzowne w utrzymaniu ciągłości i integralności operacji biznesowych. Dzięki integracji z innymi narzędziami IT, OXARI umożliwi tworzenie spójnego i bezpiecznego środowiska informatycznego, co jest istotne w kontekście rosnących zagrożeń cybernetycznych.
Stając przed wyzwaniami wspomnianej dyrektywy, chcemy zapewnić naszym klientom nie tylko zgodność z przepisami, ale również praktyczne narzędzia do efektywnego zarządzania bezpieczeństwem informacji. Jeśli chcesz mieć pewność, że Twoja organizacja jest odpowiednio przygotowana do zarządzania ryzykiem cybernetycznym, implementacja systemu OXARI to krok w dobrą stronę. Dzięki naszym rozwiązaniom możesz z łatwością stworzyć centralną bazę konfiguracji sprzętu, efektywnie zarządzać incydentami oraz systemowo obsługiwać wnioski użytkowników zgodnie z najwyższymi standardami bezpieczeństwa. - Magdalena Idzik-Fabiańska, Executive Director, Infonet Projekt SA (Producent oprogramowania OXARI I ITManager)
Wprowadzenie Dyrektywy NIS2 stanowi ważny krok w procesie podnoszenia poziomu cyberbezpieczeństwa na terenie całej Unii Europejskiej. Dyrektywa ta ma na celu ochronę sieci i systemów informatycznych przed cyberatakami oraz zagrożeniami związanymi z bezpieczeństwem danych. W kontekście systemów do wykonywania kopii bezpieczeństwa, istnieje kilka aspektów, które wpisują się w wymagania tej dyrektywy:
- Zabezpieczanie danych - System Xopero ͏Unified Protection to͏ najwydajniejsze, dostępne na rynku rozwiązanie, do tworzenia kopii zapasowych danych, gwarantujące pełną ochronę ws͏zystkich infrastruktur, dzięki pełnej elastyczności w zakresie tworzenia kopii zapasowych. Dzięki Xopero Immutable Storage, możesz bezp͏iecznie przechowywać dane͏ i mieć pewność͏, że natychmiastowo zostaną odzyskane w prz͏ypadku awarii sy͏stemu, cyberataku czy przy͏p͏adko͏wego usunięcia. Odgryw͏a͏ to kluczową rolę w planie bezpieczeństwa ͏danych dla firm i instytucji zgodn͏ie z͏ dyr͏ektywą NIS2, eliminując ry͏zyko utraty ważnych informacji.
- Ochrona przed złośliwym oprogramowaniem - System Xopero Unified Protection stanowi stuprocentową obronę przed złośliwym oprogramowaniem dzięki technologii Xopero Immutable Storage. Regularne tworzenie kopii zapasowych umożliwia szybką i kompletną odbudowę systemu po ataku ransomware, uniemożliwiając utratę danych i gwarantując natychmiastowe przywrócenie infrastruktury do działania.
- Testowanie poziomu cyberbezpieczeństwa - Systemy backupu powinny być regularnie testowane pod kątem ich odporności na ataki i incydenty. Testy te pomagają ocenić, czy systemy backupu są wystarczająco bezpieczne i czy można na nich polegać w przypadku awarii lub ataku. Dostawcy usług backupu powinni przeprowadzać testy penetracyjne, symulacje ataków i inne działania mające na celu sprawdzenie ich systemów pod kątem bezpieczeństwa.
- Gwarancja odzyskania danych - Xopero Unified Protection, rozwiązanie do wykonywania kopii bezpieczeństwa zapewnia niezawodną zdolność odzyskiwania danych w przypadku awarii systemu lub ataku hakerskiego. Dzięki regularnym i kompletnym kopiom zapasowym, natychmiastowo przywrócisz pełną funkcjonalność swoich systemów i wyeliminujesz straty.
Warto również pamiętać, że dyrektywa NIS2 została stworzona i obowiązuje w krajach Unii Europejskiej, dlatego wybierając systemy zabezpieczeń zgodne z dyrektywą, warto jest w pierwszej kolejności skupić się na produktach tworzonych w krajach członkowskich wspólnoty. Zagwarantuje to zgodność z dyrektywą NIS2 w kolejnych latach. - Piotr Nowak, Xopero Chief Sales Officer
Rozwiązanie Dell PowerStore doskonale wpisuje się w zapisy dyrektywy NIS2 (Network and Information Security Directive) poprzez swoje zaawansowane funkcje bezpieczeństwa, które są kluczowe dla ochrony danych i infrastruktury IT przed zagrożeniami cybernetycznymi. Jako ekspert z obszaru technologii datacenter i chmury, mogę wyjaśnić, w jaki sposób PowerStore może pomóc firmom dostosować się do wymagań dyrektywy NIS2.
Po pierwsze, Dell PowerStore oferuje zaawansowane mechanizmy zzabezpieczeń danych, w tym funkcje szyfrowania danych w spoczynku i w ruchu. Zgodnie z dyrektywą NIS2, firmy są zobowiązane do zapewnienia odpowiednich środków technicznych i organizacyjnych, aby chronić swoje dane przed nieuprawnionym dostępem. Mechanizmy szyfrowania danych w PowerStore umożliwiają firmom spełnienie tych wymagań poprzez zabezpieczenie poufności i integralności danych przechowywanych w systemie.
Po drugie, PowerStore zapewnia zaawansowane funkcje monitorowania i zarządzania infrastrukturą IT, co jest kluczowe z punktu widzenia dyrektywy NIS2, która wymaga od firm ciągłego monitorowania i reagowania na zagrożenia cybernetyczne. Dzięki wbudowanym narzędziom monitorowania wydajności, dostępności i bezpieczeństwa, PowerStore umożliwia administratorom śledzenie aktywności w systemie oraz szybką reakcję na potencjalne incydenty bezpieczeństwa.
Po trzecie, Dell PowerStore jest skalowalnym rozwiązaniem i może rosnąć wraz z wymaganiami firmy, co jest istotne z punktu widzenia dyrektywy NIS2, która zachęca firmy do inwestowania w elastyczne rozwiązania IT. Dzięki architekturze oprogramowania definiowanego wirtualnie i możliwości rozszerzenia pamięci masowej w miarę potrzeb, PowerStore umożliwia firmom dostosowanie swojej infrastruktury IT do zmieniających się warunków biznesowych i zwiększenie odporności na zagrożenia cybernetyczne.
Wniosek jest taki, że Dell PowerStore jest doskonałym rozwiązaniem dla firm, które chcą dostosować się do wymagań dyrektywy NIS2 poprzez zapewnienie zaawansowanych funkcji bezpieczeństwa, monitorowania i skalowalności swojej infrastruktury IT. Jako ekspert ds. technologii datacenter i chmury, zdecydowanie polecam PowerStore jako skuteczne narzędzie do ochrony danych i zapewnienia ciągłości działania infrastruktury IT w dobie rosnących zagrożeń cybernetycznych - Krzysztof Chudy, Arrow, Product Manager
Oficjalnie przyczyną powstania dyrektywy NIS2 jest coraz większe zagrożenie w Europie płynące z cyberataków. Jednak nie każdy wczytał się w pierwotne założenie całej dyrektywy, które odnosi się do tego, iż głównym celem jest przyczynienie się zwiększeniu bezpieczeństwa w Unii Europejskiej oraz sprawnego funkcjonowania jej gospodarki i społeczeństwa. Brzmi to górnolotnie, ale te cele, jakby się tak zastanowić, korespondują z celami każdego podmiotu na rynku, który chce w spokoju i bezpieczeństwie realizować swoje założenia biznesowe.
Niestety żyjemy w czasach sieciowego dzikiego zachodu, gdzie grupy przestępcze każdego dnia czyhają już nie bezpośrednio na nasze życie, a na życie podmiotów, czy to prywatnych, czy publicznych. Do tego dochodzi jeszcze aspekt, który już funkcjonuje w naszym kraju, czyli wojna cybernetyczna. Dlatego też warto na taką dyrektywę spojrzeć nie jak na karę i wymóg, a raczej szansę na to, że pojawia się punkt zaczynający dyskusje na temat tego, żeby uzyskać odpowiedni budżet na inwestycje w cyberbezpieczeństwo.
Jestem przekonany, że w najbliższym czasie pojawi się mnóstwo programów dofinansowujących rozwój tego segmentu w waszych firmach. Jednak, żeby móc z nich skorzystać, kluczowe jest poznać, jakie aktualnie rozwiązania występują na rynku i jak mogą się wpasować w wasze potrzeby. W SOPHOS dostępne jest środowisko nazywane Adaptive Cybersecurity Ecoystem, w skrócie ACE. Jest to platforma chmurowa, na której możliwe jest uruchomienie zabezpieczeń z zakresu bezpieczeństwa punktów końcowych i serwerów, zarówno w kontekście EDR, XDR jak i usług zarządzanych. Ponadto umożliwia realizację ochrony urządzeń mobilnych, poczty e-mail, czy zarządzania szyfrowaniem natywnym (BitLocker, FileVault), a także uruchomienie Next Generation Firewall z usługami SandBoxingu. Jednak kluczowe jest to, że SOPHOS stawia na komunikacje między tymi rozwiązaniami. Co za tym idzie, rozwiązanie XDR zostaje wyposażone w dane z prawie każdego segmentu infrastruktury, od poczty e-mail, przez punkty końcowe, na brzegu sieci kończąc. Co ważne, zarządzanie całym bezpieczeństwem może być także oddane w ręce specjalistów z działu SecOps, którzy w razie incydentu zareagują i podejmą działania mające na celu zablokowanie ataku, usunięcie jego pozostałości, a także skonstruują polityki, które w przyszłości zapobiegną tego typu atakom. W taki właśnie sposób Sophos może wam pomóc w realizacji celów tej dyrektywy i przyczynić się do spełnienia głównego jej założenia - Rafał Gałka, Sophos Product Manager
O autorze: Marcelina Fusiek
Specjalista ds. marketingu
Od ponad 10 lat zajmuje się marketingiem. Jej doświadczenie wywodzi się z agencji reklamowej, gdzie poznała dziesiątki branż i pracowała nad wizerunkiem niezliczonej liczby firm. Biegła w wielu obszarach marketingu B2B.