Pięć kroków do wdrożenia dyrektywy NIS2
Dyrektywa NIS (Network and Information Systems Directive) to dokument prawno-regulacyjny ustanowiony, aby zwiększyć bezpieczeństwo cybernetyczne infrastruktury krytycznej w organizacjach. Poniżej, przedstawiamy w kliku punktach, główne założenia przy wprowadzaniu NIS2.
Diagnoza klasyfikacji do NIS2
– ustalenie czy jednostka podlega pod NIS2. Dyrektywa rozszerza zakres podmiotów krytycznych podlegających pod nowe wytyczne. Są to m.in.: produkcja, dostawcy usług cyfrowych, rozwój i badania naukowe.
Analiza wewnętrznej dokumentacji bezpieczeństwa – przegląd aktualnej polityki bezpieczeństwa dla systemów teleinformatycznych – SZBI.
Audyt zgodności dla NIS2 – najistotniejsze wymagania dla podmiotów kluczowych i ważnych:
Analiza ryzyka – wprowadzenie praktyk związanych z zarządzaniem ryzykiem.
Raportowanie incydentów – zapewnienie bieżącej obsługi incydentów, wykrywanie, zgłaszanie i szybkie reagowanie na incydenty cybernetyczne.
Wdrożenie środków zwiększających bezpieczeństwo infrastruktury IT
– opracowanie odpowiednich polityk i procedur, wdrożenie rozwiązań technicznych w zakresie utrzymania sieci, serwerów, systemów
informatycznych min: urządzania firewall, szyfrowanie, uwierzytelnienie
wieloskładnikowe, zarządzanie podatnościami, monitorowanie i obsługa zdarzeń związanych z bezpieczeństwem.
Plan ciągłości działania –
opracowanie i wdrożenie planu ciągłości działania, zarządzanie kopiami zapasowymi, przygotowanie planu odtworzenia w przypadku awarii,
określenie ryzyka utraty ciągłości funkcjonowania systemów IT.
Budowanie świadomości w zakresie cyberbezpieczeństwa – edukacja pracowników i właścicieli firm, przeprowadzanie testów socjotechnicznych.
Przygotowanie planu działania i raportu dla kadry zarządzającej.
Wdrożenie dyrektywy NIS2
– dobór odpowiednich produktów w obszarze cybersecurity, wdrożenie
polityk bezpieczeństwa, procedur i rozwiązań technicznych. Monitorowanie
i ciągła aktualizacja wprowadzonych rozwiązań technologicznych.