Od NIS do NIS2. Jak twórcy oprogramowania przystosowują je do nowych regulacji UE – na przykładzie AVEVA

Cyberbezpieczeństwo ma kluczowe znaczenie w erze cyfrowej, a celem nowej dyrektywy Unii Europejskiej o nazwie NIS2 jest zapewnianie jego wyższego poziomu przez podniesienie standardów ochrony w sektorze IT/OT. Jest odpowiedzią na wzrost zagrożeń w cyberprzestrzeni. Dyrektywa wprowadza surowsze wymogi dla różnego rodzaju podmiotów i nakłania do stosowania najlepszych praktyk w dziedzinie cyberbezpieczeństwa.

Dyrektywa NIS (Network and Information Systems) w pierwotniej wersji została przyjęta 6 lipca 2016 r. Była pierwszym ogólnoeuropejskim prawem w zakresie cyberbezpieczeństwa. Nakładała na państwa członkowskie szereg obowiązków, dotyczących między innymi powołania instytucji nadzorczych oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku.

Z biegiem czasu i w miarę pojawiania się nowych typów cyberzagrożeń pojawiła się potrzeba rozszerzenia zakresu dyrektywy. 14 grudnia 2022 przyjętą więc dyrektywę NIS2 precyzującą i rozszerzającą zakres przepisów dotyczących cyberbezpieczeństwa. Polska ma czas na wprowadzenie jej do krajowego porządku prawnego do 17 października 2024. Oznacza to, że już wkrótce zapisy dyrektywy będą dotyczyć podmiotów działających w Polsce.

Rozszerzony Zakres i Zaostrzone Wymogi

Kluczowe elementy Dyrektywy NIS2:

1. Poszerzenie zakresu podmiotów objętych dyrektywą: W ramach NIS2, więcej sektorów, w tym publiczny, zdrowia, cyfrowy i energetyczny, musi stosować się do rygorystycznych standardów bezpieczeństwa cyfrowego. Dyrektywa obejmuje teraz również dostawców usług cyfrowych, takich jak chmura, media społecznościowe i platformy e-commerce.
2. Zaostrzenie wymogów bezpieczeństwa: Podmioty te są zobowiązane do wdrażania zaawansowanych mechanizmów obronnych, systematycznej oceny ryzyka oraz zarządzania incydentami bezpieczeństwa cyfrowego. NIS2 wymaga również regularnego testowania systemów, aby zapewnić ich odporność na ataki cybernetyczne.
3. Szybkie i transparentne zgłaszanie incydentów: Organizacje muszą zgłaszać naruszenia bezpieczeństwa w ciągu 24 godzin od ich wykrycia, co pozwala na szybką reakcję i minimalizację potencjalnych szkód.
4. Wzmocnienie współpracy międzynarodowej: Dyrektywa promuje lepszą koordynację działań na szczeblu UE poprzez sieć współpracy NIS, co umożliwia skuteczniejsze zarządzanie kryzysami i wymianę informacji na temat zagrożeń.
5. Kary za niezgodność: NIS2 wprowadza również możliwość nałożenia surowszych kar finansowych na organizacje, które nie przestrzegają przepisów, zwiększając tym samym motywację do utrzymania wysokich standardów bezpieczeństwa.

W odpowiedzi na te wymogi, firmy technologiczne, takie jak AVEVA, aktywnie wdrażają strategie zgodne z najwyższymi standardami.

Praktyki Cyberbezpieczeństwa w AVEVA

AVEVA jako lider z ponad 40-letnim doświadczeniem w dostarczaniu oprogramowania przemysłowego, rozumie wagę zabezpieczenia danych swoich klientów. Firma stosuje model Secure Development Lifecycle (SDL), który jest zgodny z normami IEC 62443, co obejmuje:

• Budowanie bezpieczeństwa od podstaw: AVEVA implementuje zabezpieczenia już na etapie projektowania systemów, używając składników spełniających uznane standardy.
• Enforced Encryption: Wszystkie dane są chronione za pomocą wymuszonego szyfrowania, co zapewnia ochronę informacji wrażliwych.
• Penetration Testing: Regularne testy penetracyjne pozwalają identyfikować i eliminować potencjalne luki bezpieczeństwa.
• Continuous Compliance Monitoring: Monitoring zgodności z przepisami cyberbezpieczeństwa pozwala na bieżącą ocenę i dostosowanie praktyk zabezpieczeń.

Działania na rzecz ciągłej modernizacji

Modernizacja przemysłowa musi uwzględniać zarówno cyberbezpieczeństwo, jak i przestrzeganie nowych przepisów. AVEVA wspiera swoich klientów, oferując elastyczne subskrypcje (AVEVA™ Flex Subscription Program), które ułatwiają dostęp do najnowszych aktualizacji oprogramowania i funkcji bezpieczeństwa.

Zintegrowane rozwiązania dla lepszej ochrony

AVEVA korzysta z narzędzi takich jak Unified Operation Center (systemy wspomagania decyzji), które umożliwiają integrację danych, wizualizację i zarządzanie alarmami. Są one wzmocnione przez zaawansowane technologie uczenia maszynowego i sztucznej inteligencji, co zwiększa ich zdolność do wykrywania i reagowania na anomalie w bezpieczeństwie.

Współpraca z globalnymi partnerami

Przez współpracę z wiodącymi organizacjami takimi jak Microsoft, Accenture i Virsec Systems, AVEVA zapewnia dostęp do najnowocześniejszych rozwiązań i technologii. Partnerstwa te skupiają się na dostarczaniu systemów o najwyższych standardach cyberbezpieczeństwa.

Podsumowanie

Implementacja dyrektywy NIS2 jest kluczowym krokiem ku zwiększeniu bezpieczeństwa cyfrowego w Europie. Przykład firmy AVEVA pokazuje, poprzez zobowiązanie do ciągłej optymalizacji cyberbezpieczeństwa, można nie tylko łatwo wdrożyć wymagania wynikające z nowych regulacji, ale również aktywnie przyczyniać się do podnoszenia standardów w branży.