/Rectangle%20239.png?width=13&height=13&name=Rectangle%20239.png){kind=small}
W ostatnich latach Unia Europejska (UE) znacząco wzmocniła przepisy dotyczące bezpieczeństwa informacji, dążąc do ochrony danych oraz zapewnienia cyfrowej odporności organizacji. Najnowszymi i najważniejszymi regulacjami w tym zakresie są NIS 2 i DORA.
Analiza porównawcza
Dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu poziomu cyberbezpieczeństwa w całej UE (NIS 2), która wejdzie w życie w październiku 2024 roku, rozszerza zakres pierwotnej NIS, nakładając obowiązek wdrożenia solidnych środków cyberbezpieczeństwa na kluczowe sektory – takie jak ochrona zdrowia, energetyka, transport, finanse oraz infrastruktura cyfrowa. Celem NIS 2 jest zmniejszenie ryzyka ataków cybernetycznych oraz zwiększenie współpracy między państwami członkowskimi UE. Główne aspekty NIS 2 obejmują obowiązek zarządzania ryzykiem w obszarze technologii informacyjno-komunikacyjnych (ICT), obowiązkowe zgłaszanie incydentów oraz wdrażanie środków prewencyjnych mających na celu ochronę sieci i systemów informacyjnych.
Rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA), które wejdzie w życie w styczniu 2025 roku, koncentruje się na sektorze finansowym. DORA ustanawia rygorystyczne wymagania dotyczące zarządzania ryzykiem ICT, obejmujące banki, firmy ubezpieczeniowe, domy maklerskie, dostawców usług płatniczych oraz inne instytucje finansowe. Rozporządzenie zobowiązuje te instytucje do wdrażania środków zapewniających odporność operacyjną, przeprowadzania okresowych testów odporności, raportowania incydentów ICT oraz utrzymywania solidnych planów ciągłości działania.
Poniższa tabela przedstawia główne punkty kontrastu między NIS 2 a DORA:
|
|
NIS 2 |
DORA |
|
Data utworzenia |
14 grudnia 2022 |
16 stycznia 2023 |
|
Wejście w życie |
17 października 2024 |
17 stycznia 2025 |
|
Objęte sektory krytyczned |
|
|
|
Główne cele |
|
|
|
Kary za brak zgodności |
Sankcje różnią się w zależności od krajowego ustawodawstwa państw członkowskich. Mogą obejmować:
|
Sankcje różnią się i mogą obejmować:
|
|
Inne istotne daty |
|
Termin dla instytucji na spełnienie szczególnych wymagań: do 18 miesięcy po wejściu w życie. |
Dlaczego powinienem się podporządkować?
Niezastosowanie się do tych regulacji niesie ze sobą znaczące ryzyko dla instytucji. Firmy mogą spotkać się z poważnymi karami finansowymi i sankcjami prawnymi, co prowadzi do utraty zaufania klientów oraz osłabienia działalności.
Ponadto, narażenie na ataki cybernetyczne może skutkować naruszeniem wrażliwych danych, stratami finansowymi oraz nieodwracalnymi szkodami dla reputacji firmy.
Jakie cyberataki i zagrożenia mogą być z tym związane?
Przepisy dotyczące bezpieczeństwa informacji NIS 2 i DORA mają na celu globalne złagodzenie cyberataków, zagrożeń i luk w zabezpieczeniach, takich jak:
- Malware: złośliwe oprogramowanie, takie jak wirusy, robaki, trojany, ransomware lub spyware.
- Phishing i spear phishing: wysyłanie fałszywych wiadomości e-mail (ukierunkowanych lub nie), które wydają się pochodzić z zaufanych źródeł w celu uzyskania poufnych informacji.
- Ataki typu Denial of Service (DoS) i Distributed Denial of Service (DDoS): koncentrują się na uniemożliwieniu dostępu do usług online poprzez przeciążenie serwerów lub sieci ogromnym ruchem.
- Ransomware: złośliwe oprogramowanie szyfrujące dane i żądające zapłaty (okupu) za dostarczenie klucza deszyfrującego.
- Kradzież danych uwierzytelniających: uzyskanie danych logowania w celu uzyskania dostępu do wrażliwych systemów i danych.
- Błędy w konfiguracji zabezpieczeń: atak wykorzystujący nieprawidłowe lub słabe konfiguracje w systemach IT.
- Ataki typu zero-day, exploity i luki w oprogramowaniu: ataki wykorzystujące nieznane lub niezałatane luki w systemie lub oprogramowaniu.
Inne istotne regulacje
Oprócz NIS 2 i DORA, inne obowiązujące przepisy europejskie odgrywają kluczową rolę w bezpieczeństwie informacji, a mianowicie:
- Ogólne rozporządzenie o ochronie danych (RODO)
Obowiązujące od 2018 r., reguluje przetwarzanie danych osobowych i nakłada surowe kary za naruszenia. - Trusted Information Security Assessment Exchange (TISAX)
Standard specyficzny dla branży motoryzacyjnej, który gwarantuje ochronę własności intelektualnej i danych wrażliwych. - Rozporządzenie eIDAS
Ustanawia standardy dla zaufanych usług elektronicznych, w tym podpisów elektronicznych i uwierzytelniania.
Dzielenie się odpowiedzialnością
Biorąc pod uwagę złożoność i zakres tych przepisów, zdecydowanie zaleca się, aby firmy szukały wsparcia wyspecjalizowanych firm konsultingowych, które mogą zapewnić wiedzę niezbędną do zapewnienia zgodności, pomóc we wdrożeniu najlepszych praktyk i przygotować firmy na audyty i możliwe incydenty.
Ponadto firmy konsultingowe - takie jak Alter Solutions - oferują stałe wsparcie, pomagając firmom dostosować się do zmian regulacyjnych i skupić się na ich podstawowej działalności, pozostając jednocześnie bezpiecznymi i zgodnymi z obowiązującymi przepisami.
Krótko mówiąc, zgodność z przepisami dotyczącymi bezpieczeństwa informacji w Europie jest nie tylko wymogiem prawnym, ale także podstawową praktyką ochrony przedsiębiorstw i utrzymania zaufania na rynku cyfrowym.
