Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

NIS2 a systemy IGA, PAM i AM

NIS2 a systemy IGA, PAM i AM

Kapitan Hack / Kampanie / Bezpieczeństwo Tożsamości / NIS2 a systemy IGA, PAM i AM

W jednym z wcześniejszych artykułów (DORA i AIM) opisaliśmy, w jaki sposób można spojrzeć na rozwiązania zarządzania tożsamością i dostępem w kontekście regulacji, które mają obowiązywać europejskie firmy i instytucje z obszaru finansów oraz ubezpieczeń. Dziś spróbujemy wykonać podobne ćwiczenie, ale dla regulacji NIS2, która w Polsce powinna obowiązywać już w trzecim kwartale bieżącego roku.

Autor: 10 min czytania

Jakie mamy podstawowe fakty na temat NIS2?

Dyrektywa NIS2 (Network and Information Security) to kluczowy element nowej strategii Unii Europejskiej, mający na celu wzmocnienie bezpieczeństwa sieci i systemów informacyjnych. Przyjęta 14 grudnia 2022 roku dyrektywa zobowiązuje państwa członkowskie do jej implementacji do 18 października 2024 roku. W Polsce projekt ustawy regulującej wymagania NIS2 został opublikowany 24 maja 2024 roku, koncentrując się na zapewnieniu operacyjnej odporności cyfrowej sektora finansowego oraz innych kluczowych sektorów gospodarki. Dyrektywa NIS2 wprowadza surowsze wymogi i kary za naruszenia bezpieczeństwa cybernetycznego. Na przykład przedsiębiorstwa energetyczne będą musiały wdrożyć bardziej zaawansowane środki ochrony, aby zapobiegać atakom, które mogłyby zakłócić dostawy energii. Z kolei firmy z sektora zdrowia, które przechowują wrażliwe dane pacjentów, będą musiały wprowadzić dodatkowe zabezpieczenia, aby chronić te informacje przed kradzieżą i nieautoryzowanym dostępem. Dyrektywa NIS2, która zastępuje wcześniejszą dyrektywę NIS, znacząco rozszerza zakres sektorów i typów podmiotów objętych jej regulacjami, a także wprowadza podział na „podmioty niezbędne” i „podmioty istotne”:

  • Podmioty niezbędne (Essential Entities): Obejmują kluczowe sektory, takie jak energia, transport, zdrowie, wodociągi, administracja publiczna i infrastruktura cyfrowa. Podmioty te są poddane bardziej rygorystycznym nadzorom i muszą spełniać zaawansowane wymogi bezpieczeństwa.
  • Podmioty istotne (Important Entities): Obejmują sektory takie jak produkcja żywności, chemikalia, usługi pocztowe i kurierskie oraz produkcja farmaceutyczna. Podmioty te podlegają nadzorowi reaktywnemu, tj. nadzorowi po wystąpieniu incydentu.

Kary za nieprzestrzeganie wymogów NIS2 są znaczne. W przypadku podmiotów istotnych (important entities) kara może wynosić do 7 milionów euro lub 1,4% rocznego obrotu globalnego, w zależności od tego, która kwota jest wyższa. Dla podmiotów niezbędnych (essential entities) kary są jeszcze surowsze i mogą sięgać do 10 milionów euro lub 2% rocznego obrotu globalnego, w zależności od tego, która kwota jest wyższa. (https://nis2directive.eu/nis2-fines/).

Gdzie są zawarte główne wymagania NIS2?

Dyrektywa NIS2 stawia na kompleksowe zarządzanie ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych. Większość kluczowych wymagań dyrektywy NIS2 znajduje się w artykułach 21 i 23. Ich opis jest następujący:

  • Artykuł 21 – Środki zarządzania ryzykiem cyberbezpieczeństwa

Artykuł 21 określa obowiązki podmiotów dotyczące zarządzania ryzykiem cyberbezpieczeństwa. Podmioty te muszą podjąć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne, aby zarządzać ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych oraz zapobiegać incydentom lub minimalizować ich wpływ. W szczególności artykuł 21 wymaga:

  • Prowadzenia analiz ryzyka i tworzenia polityk bezpieczeństwa systemów informacyjnych.
    • Zarządzania incydentami, w tym procedurami reagowania na incydenty.
    • Utrzymania ciągłości działania, planowania awaryjnego oraz zarządzania kryzysowego.
    • Zabezpieczenia łańcucha dostaw.
    • Zabezpieczenia systemów informacyjnych w procesach nabywania, rozwoju i utrzymania.
    • Regularnej oceny skuteczności środków zarządzania ryzykiem.
    • Promowania podstawowych praktyk cyberhigieny oraz szkoleń z zakresu cyberbezpieczeństwa.
    • Stosowania kryptografii i szyfrowania, gdzie jest to stosowne.
    • Ochrony zasobów ludzkich, polityk dostępu i zarządzania zasobami.
    • Stosowania uwierzytelniania wieloskładnikowego i bezpiecznej komunikacji.

(https://www.nis2-info.eu/article-21-cybersecurity-risk-management-measures/)

  • Artykuł 23 – Obowiązki raportowania

Artykuł 23 określa obowiązki związane z raportowaniem incydentów. Podmioty muszą zgłaszać wszelkie istotne incydenty cyberbezpieczeństwa do odpowiednich organów w ciągu 24 godzin od ich wykrycia. Dodatkowo w ciągu 72 godzin od zgłoszenia incydentu podmioty muszą dostarczyć bardziej szczegółowy raport, zawierający wstępną ocenę wpływu incydentu, jego nasilenia oraz dostępne wskaźniki naruszenia. Ostateczny raport powinien być dostarczony w ciągu miesiąca od zgłoszenia i zawierać szczegółowy opis incydentu, jego wpływ oraz zastosowane środki zaradcze.

Jak możemy zaadresować wymagania NIS2 za pomocą rozwiązań klasy IGA, AM i PAM?

Wymagania dyrektywy NIS2 można zaadresować, wdrażając rozwiązania, które wprost oferują funkcjonalność pozwalającą zredukować ryzyka związane z atakami cybernetycznymi. Możemy tutaj wymienić systemy, o których pisaliśmy już w różnych artykułach poświęconych zagadnieniom zarządzania tożsamością, dostępem i uprawnieniami w organizacjach. Przykładowe zestawienie dla wybranych zagadnień artykułu 21 i 23 możemy znaleźć poniżej:

  • Identity Governance and Administration (IGA):
    • Kontrola dostępu oparta na rolach (RBAC): Definiowanie i egzekwowanie polityk dostępu na podstawie ról w organizacji.

RBAC umożliwia definiowanie i egzekwowanie polityk, które regulują dostęp użytkowników do zasobów na podstawie ich roli w organizacji. Jest to kluczowe dla zmniejszenia złożoności zarządzania uprawnieniami oraz zapewnienia, że użytkownicy mają tylko te prawa dostępu, które są niezbędne do wykonywania ich obowiązków zawodowych. Implementacja RBAC w ramach IGA jest zgodna z wymogami artykułu 21 dyrektywy NIS2, który nakazuje odpowiednie zarządzanie ryzykiem związanym z bezpieczeństwem sieci i systemów informacyjnych.​

  • Zautomatyzowane kontrole dostępu: Minimalizacja ryzyka nieautoryzowanego dostępu.

Automatyzacja procesów związanych z kontrolą dostępu minimalizuje ryzyko nieautoryzowanego dostępu oraz naruszeń danych. Dzięki temu organizacje mogą lepiej zarządzać dostępem do wrażliwych informacji i zasobów, co jest zgodne z zaleceniami NIS2 dotyczącymi zarządzania ryzykiem.

  • Przeglądy i recertyfikacje dostępu: Ciągła zgodność z politykami dostępu.

Regularne przeglądy i ponowne certyfikacje uprawnień dostępu są kluczowe dla zapewnienia ciągłej zgodności z politykami dostępu oraz identyfikowania i korygowania niezgodności. Te działania wspierają ciągłą ocenę ryzyka i jego łagodzenie, co jest wymagane przez artykuł 21 NIS2.

  • Segregacja obowiązków (SoD): Zapobieganie nadużyciom i nieodpowiedniemu dostępowi.

Segregacja obowiązków jest niezbędna do zarządzania ryzykiem operacyjnym i bezpieczeństwa, zapobiegając możliwości nadużyć lub nieodpowiedniego dostępu. Implementacja kontroli SoD jest zgodna z kompleksowymi strategiami zarządzania ryzykiem, które są zalecane w artykule 21​.

  • Access Management (AM):
    • Wieloskładnikowe uwierzytelnianie (MFA): Dodanie warstwy zabezpieczeń weryfikacji dostępu.

MFA dodaje dodatkową warstwę zabezpieczeń, wymagając wielu form weryfikacji przed udzieleniem dostępu. To znacząco obniża ryzyko nieautoryzowanego dostępu i jest kluczowe dla skutecznego zarządzania ryzykiem, co jest zgodne z wymogami NIS2 dotyczącymi zarządzania ryzykiem i bezpieczeństwa systemów.

  • Privileged Access Management (PAM):
    • Bezpieczne przechowywanie danych uwierzytelniających: Ochrona przed kradzieżą i niewłaściwym wykorzystaniem danych.

Zapewnienie bezpiecznego przechowywania danych uwierzytelniających zapobiega ich kradzieży i niewłaściwemu wykorzystaniu, co znacząco poprawia zarządzanie ryzykiem związanym z dostępem. Bezpieczne przechowywanie danych jest kluczowe dla ochrony wrażliwych informacji i zasobów.

  • Automatyczne zakończenie sesji: Reakcja na potencjalne zagrożenia i minimalizacja ryzyka.

Automatyczna reakcja na potencjalne zagrożenia poprzez zakończenie sesji pomaga w zarządzaniu i minimalizowaniu ryzyka związanego z błędami ludzkimi lub działaniami złośliwymi. To działanie jest zgodne z zaleceniami NIS2 dotyczącymi zarządzania ryzykiem.

Czy to wystarczy, żeby być zgodnym z NIS2?

Opisane w poprzedniej części artykułu powiązania wymagań dyrektywy NIS2 są tylko próbą zwrócenia uwagi na aspekty technologiczne, które mogą być wykorzystane przy planowaniu procesu zapewniania zgodności organizacji z tą regulacją. Nie możemy zapominać o pozostałych aspektach, takich jak na przykład:

  • szczegółowa ocena ryzyka, aby zidentyfikować i ocenić potencjalne zagrożenia dla bezpieczeństwa sieci i informacji,
  • polityka zarządzania incydentami bezpieczeństwa, która obejmuje procedury wykrywania, raportowania i reagowania na incydenty,
  • regularne testy i ćwiczenia scenariuszy incydentów, aby upewnić się, że personel jest dobrze przygotowany do reagowania,
  • szkolenia dla pracowników w zakresie bezpieczeństwa informacji i dobrych praktyk cyberbezpieczeństwa,
  • podnoszenie świadomości na temat zagrożeń cybernetycznych i zachęcanie do zgłaszania podejrzanych aktywności,
  • opracowanie planu zarządzania ciągłością działania, który zapewni utrzymanie kluczowych funkcji i usług w przypadku wystąpienia incydentu,
  • regularne testowanie i aktualizowanie planu ciągłości działania.

Jak widzimy, adresowanie wymagań NIS2 wymaga holistycznego podejścia do zarządzania bezpieczeństwem informacji, angażującego zarówno aspekty technologiczne, jak i organizacyjne. Regularne przeglądy i aktualizacje polityk oraz procedur są kluczowe dla utrzymania zgodności i ochrony przed nowymi zagrożeniami. Wierzymy, że wejście w życie nowej ustawy, której projekt został opublikowany 24 maja 2024, rozwieje wątpliwości związane z NIS2 w środowisku polskich firm.

Popularne

Uwaga! Trwa praktyczne wykorzystywanie krytycznej luki w systemach Fortinet!

Uwaga! Trwa praktyczne wykorzystywanie krytycznej luki w systemach Fortinet!

Święta, święta i po świętach. I dzisiaj, zamiast malować pisanki, piszemy o Fortinecie. Naszym „ulubionym” producencie firewallów, który pojawia się na portalu dość często. Nową okazję do publikacji dała...
3 min czytania 7 kwi 2026 08:23
Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat

Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat

W niedzielę wieczorem na zagranicznych serwisach newsowych poświęconych malware pojawiły się informacje o cyberataku na serwis Polsatu. Według doniesień za incydent odpowiada grupa ransomware ALP-001, która...
5 min czytania 31 mar 2026 06:15
DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund

DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund

Powstał nowy, zaawansowany zestaw exploitów wymierzony w użytkowników iPhone’ów. Narzędzie o nazwie DarkSword pokazuje, że nawet platformy uznawane za jedne z najbezpieczniejszych mogą stać się celem...
5 min czytania 20 mar 2026 06:43
WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach

WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach

Cyberprzestępcy po raz kolejny wykorzystują zaufanie użytkowników do popularnych komunikatorów. Najnowsze ostrzeżenie Microsoftu ujawnia zaawansowaną kampanię, w której złośliwe oprogramowanie jest rozsy...
5 min czytania 3 kwi 2026 08:32
ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać

ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać

Współczesne cyberataki rzadko polegają na wykorzystywaniu luk w oprogramowaniu. Zamiast tego cyberprzestępcy coraz częściej manipulują samymi użytkownikami, nadużywając ich zaufania i obserwując rutynowe z...
5 min czytania 1 kwi 2026 07:42
Popularne
Uwaga! Trwa praktyczne wykorzystywanie krytycznej luki w systemach Fortinet!
Grupa ransomware ALP-001 twierdzi, że zaatakowała Polsat
DarkSword – cichy zabójca iPhone’ów. Nowy exploit, który przejmuje kontrolę nad urządzeniem w kilka sekund
WhatsApp jako wektor ataku – Microsoft ostrzega przed nową kampanią malware ukrytą w wiadomościach
ClickFix na macOS, czyli jak użytkownicy sami instalują malware i jak Apple próbuje to powstrzymać
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.