NIS2 w praktyce – jak przygotować firmę na nowe wymogi cyberbezpieczeństwa

Większa liczba podmiotów i nowe obowiązki – w październiku na terenie UE zacznie obowiązywać dyrektywa NIS2. Dla kilku tysięcy działających w Polsce firm jej wdrożenie oznacza duże zmiany w obszarze cyberbezpieczeństwa, także urządzeń mobilnych. Jak się przygotować do nowych wyzwań?

Dyrektywa NIS2 (Network and Information Systems Directive 2) to nowelizacja europejskiego prawa regulującego kwestie cyberbezpieczeństwa państw członkowskich Unii Europejskiej oraz działających na obszarze Wspólnoty podmiotów kluczowych dla bezpieczeństwa sieci i systemów informacyjnych. Mówiąc wprost, to unijna odpowiedź na coraz liczniejsze i bardziej zaawansowane cyberzagrożenia.

Co trzeba wiedzieć o NIS2?

Zadaniem NIS2 jest przede wszystkim wzmocnienie poziomu cyberbezpieczeństwa w poszczególnych krajach UE. Mówimy tu o zwiększeniu ochrony infrastruktury cyfrowej, także mobilnej, oraz o poprawieniu skuteczności w zarządzaniu cyberryzykiem.

W porównaniu ze swoją poprzedniczką NIS2 obejmuje szerszą grupę podmiotów (dzieląc je na kluczowe i ważne), zwiększa też zakres ich obowiązków. Na gruncie krajowym implementacja NIS2 oznacza nowelizację ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Nowe przepisy dotyczą zarówno przedsiębiorstw średnich (zatrudniających min. 50 osób i osiągających obroty roczne lub roczną sumę bilansową w wysokości min. 10 mln euro), jak i dużych (zatrudniających co najmniej 250 pracowników, o rocznych obrotach powyżej 50 mln euro lub rocznej sumie bilansowej przekraczającej 43 mln euro). Podmioty kluczowe i ważne to firmy dostarczające niezbędne usługi dla społeczeństwa i gospodarki. To m.in. banki, podmioty działające w ochronie zdrowia, administracja publiczna czy dostawcy usług cyfrowych. W Polsce to nawet kilka tysięcy firm i organizacji.

Zgodnie z NIS2 podmioty te będą musiały m.in. zgłaszać poważne incydenty cyberbezpieczeństwa (powodujące zakłócenia w realizacji usług lub znaczne straty finansowe) w ciągu 24 godzin od ich wykrycia, a następnie w ciągu 72 godzin złożyć pełny raport. Duży nacisk dyrektywa kładzie też na szkolenia z cyberbezpieczeństwa. Chodzi o szeroki wachlarz praktyk dotyczących cyberhigieny, w tym podnoszenie świadomości użytkowników.

– Nowelizacja ustawy powinna być traktowana jako drogowskaz oraz oficjalne potwierdzenie tego, jak ważne jest dzisiaj cyberbezpieczeństwo w każdym biznesie. W kontekście obecnych cyberzagrożeń żadna firma czy organizacja nie może pozwolić sobie na zaniedbania, które mogą skutkować nie tylko konsekwencjami w postaci bezpośrednich kar, ale także nieodwracalną utratą reputacji oraz zaufania wśród klientów – Łukasz Czernik, prezes zarządu, Proget sp. z o.o.

Niewiele czasu, wysokie kary

Nowe przepisy wejdą w życie 18 października 2024 r. Co ważne, operatorzy usług kluczowych i ważnych będą musieli się sami ujawnić, rejestrując w nowym systemie.

Niedopełnienie obowiązku dostosowania się do nowych wymogów będzie się wiązało z dotkliwymi karami. W przypadku podmiotów kluczowych to co najmniej 10 mln euro lub 2 proc. całkowitego obrotu rocznego przedsiębiorstwa. Dla podmiotów ważnych kary są niższe, choć i tak dotkliwe: to 7 mln euro lub 1,4 proc. całkowitego obrotu rocznego.

Jak przygotować się do wdrożenia NIS2, a co za tym idzie – zwiększyć bezpieczeństwo sieci i systemów informatycznych w firmie? Jak skutecznie zarządzać mobilnością w nowych realiach prawnych oraz rzeczywistości, w której smartfon staje się podstawowym narzędziem biznesowym?

Wyższy poziom cyberbezpieczeństwa

W spełnieniu wymagań NIS2 administratorom IT pomaga Proget, zaawansowana platforma typu All-in-One, która wspiera zarządzanie, monitorowanie i ochronę urządzeń mobilnych w biznesie. Proget oferuje wiele rozwiązań, które warto zastosować w obszarach objętych dyrektywą.

– Nieustannie ewoluujące uwarunkowania prawne dotyczące obostrzeń w zakresie prowadzenia cyberbezpiecznego biznesu rzucają naszym klientom coraz to nowe wyzwania. W związku z tym jako świadomy producent stawiamy na rozwój naszego systemu nie tylko w oparciu o rynkowe potrzeby jego użytkowników, ale także zgodnie ze zmieniającym się otoczeniem. Daje to nam pewność, że dostarczamy narzędzie, które skutecznie chroni najbardziej narażone elementy firmowego bezpieczeństwa – Magdalena Gluch, Business Development Director, Proget sp. z o.o.

Zacznijmy od wymaganego przez NIS2 stałego monitorowania wszystkich urządzeń mobilnych przetwarzających firmowe dane oraz oceny ryzyka, jakie mogą one generować. Konsola Proget zawiera kompleksowy spis sprzętu, który został wdrożony do systemu – wiadomo, kto i z jakich urządzeń korzysta. Rozwiązanie pozwala też na bieżąco śledzić lokalizację oraz stan bezpieczeństwa urządzeń.

Proget wspiera obsługę incydentów. NIS2 wymusza wprowadzenie skutecznych procedur zapobiegających incydentom bezpieczeństwa, ich wykrywania oraz szybkiego reagowania na nie. Profil Mobile Threat Prevention w systemie Proget wyszukuje potencjalne zagrożenia, stale monitorując urządzenia, aplikacje i sieci. Oprogramowanie pozwala też wdrożyć automatyczne reakcje na wykryte incydenty, np. próbę zainstalowania niebezpiecznej aplikacji. Co więcej, w momencie, gdy urządzenie zostanie zgubione lub skradzione, administrator może zdalnie je zablokować lub wyczyścić dane firmowe, co pozwoli uchronić je przed nieuprawnionym dostępem.

Zgodnie z NIS2 firmy muszą opracować i wdrożyć polityki bezpieczeństwa, w tym dla urządzeń mobilnych. Mówimy tu m.in. o zasadach korzystania ze sprzętu oraz jego zabezpieczaniu. Proget pozwala opracować spójne polityki bezpieczeństwa, które mogą dotyczyć zarówno urządzeń, jak i zespołów (np. pracowników danego działu), a następnie pilnuje ich przestrzegania. Polityki mogą regulować takie kwestie, jak m.in. konieczność ustawienia silnego hasła, szyfrowanie oraz kontrolowanie dostępu do aparatu czy mikrofonu w urządzeniu.

Dyrektywa nakłada również na firmy obowiązek zarządzania aplikacjami mobilnymi. Proget umożliwia tworzenie białych i czarnych list aplikacji. Oprogramowanie blokuje instalowanie aplikacji z nieznanych źródeł i minimalizuje ryzyko zainstalowania złośliwego oprogramowania na urządzeniu. System zapewnia także regularne aktualizacje aplikacji.

Proget to jedyne polskie rozwiązanie do zarządzania urządzeniami mobilnymi w biznesie. Wybierając je, każda firma i organizacja zyskuje pewność, że gromadzone i przetwarzane przez nią dane są bezpieczne, a za wszystkimi działaniami i procesami stoją przemyślane oraz stale udoskonalane procedury. Proget działa zgodnie z normami Bezpieczeństwa Informacji ISO/IEC 27001:2023 oraz Zarządzania Jakością ISO 9001:2015.

Więcej informacji o oferowanych przez platformę funkcjonalnościach i rozwiązaniach można znaleźć na stronie Proget.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google. Materiał reklamowy na zlecenie marki Proget Udostępnij artykuł Newsletter Bądź na bieżąco z informacjami ze świata biznesu i finansów Zapisz się