W życie weszła dyrektywa NIS2

Co to oznacza dla przedsiębiorstw o wysokim stopniu automatyzacji i cyfryzacji?

Nie ulega wątpliwości, że technologie takie jak AI, IoT oraz szeroko rozumiana automatyzacja,  w dużym stopniu przyczyniają się do rozwoju światowej gospodarki. Transformacja cyfrowa pozwoli zwiększyć produktywność, a tym samym dostępność wielu produktów i usług. O potrzebie cyfryzacji przemysłu mogliśmy się przekonać szczególnie w okresie pandemii. Trwająca rewolucja – koncepcja Przemysłu 4.0 –  niesie jednak ze sobą także konkretne zagrożenia, w tym przede wszystkim ze strony cyberprzestępców. Kluczowe jest zatem, aby wraz z rozwojem technologii automatyzujących działalność przemysłową, dbać również o zwiększenie ochrony infrastruktury cyfrowej przed atakami z zewnątrz.

Na ten problem silny nacisk kładzie unijna dyrektywa NIS2, która weszła w życie 16 stycznia 2023 roku. Z jej zapisami musi się zapoznać każdy zakład, który już dziś osiągnął wysoki stopień automatyzacji lub właśnie planuje inwestycje w tym obszarze. Poniżej znaleźć można więcej informacji na ten temat.

Czym jest dyrektywa NIS2?

NIS2, czyli dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej, to ogólnounijne prawodawstwo, które daje krajom członkowskim narzędzia do zwiększenia poziomu ochrony przed zagrożeniami cybernetycznymi. Jednocześnie dyrektywa nakłada na kraje unijne dodatkowe obowiązki związane z szeroko rozumianym cybersecurity.

Pierwsze unijne przepisy dotyczące cyberbezpieczeństwa zostały wprowadzone w 2016 roku, a w Polsce przyjęto je w 2018 roku. Od tamtego czasu wiele się zmieniło – również za sprawą pandemii, która gwałtownie przyspieszyła proces przenoszenia biznesów do sieci oraz cyfrowej transformacji przemysłu.

W odpowiedzi na powyższe, prawo zostało uaktualnione na mocy dyrektywy NIS2. Ma ona na celu zmodernizowanie obowiązujących przepisów w taki sposób, aby były one adekwatne do obecnego poziomu cyfryzacji m.in. usług publicznych, jak i biznesu oraz przemysłu.

Dyrektywa NIS2 nakłada na państwa unijne szereg obowiązków związanych z dostosowaniem przepisów krajowych do realnego zagrożenia ze strony cyberprzestępczości.

Państwa muszą m.in. powołać zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) oraz krajowe organy ds. sieci i systemów informatycznych (NIS).

Dodatkowo dyrektywa wprowadza zasadę współpracy państw członkowskich w zakresie m.in. wymiany informacji dotyczących cyberbezpieczeństwa.

Szczególnie ważnym zagadnieniem, dotykającym bezpośrednio np. prywatne przedsiębiorstwa, jest wprowadzenie „kultury bezpieczeństwa we wszystkich sektorach, które są niezbędne dla naszej gospodarki i społeczeństwa […]”. Co należy przez to rozumieć?

Przedsiębiorstwa muszą lepiej dbać o cyberbezpieczeństwo

Dyrektywa NIS2 wprowadza istotne rozszerzenie listy podmiotów, które muszą zwiększyć ochronę zasobów przed atakami cybernetycznymi.

W dokumencie unijnym jest mowa przede wszystkim o sektorach kluczowych – czyli np. energetyce, branży wodno-kanalizacyjnej, transporcie czy bankowości – jednak pojawia się w niej również wzmianka na temat tzw. podmiotów ważnych.

Chodzi tutaj o podmioty, które z uwagi na wysoki stopień cyfryzacji i automatyzacji są szczególnie narażone na ataki hakerskie (crackerskie). Tego typu ataki grożą nie tylko przestojami w produkcji (co może być szkodliwe dla krajowej i unijnej gospodarki), ale również kradzieżą własności intelektualnej, w tym patentów.

Z zapisami dyrektywy NIS2 muszą się zapoznać przedsiębiorstwa, w których procesy produkcyjne są oparte o nowoczesne układy sterowania IACS (Industrial Automation and Control Systems), czyli m.in. działające w branży:

  • spożywczej,
  • chemicznej,
  • motoryzacyjnej,

Układy IACS zapewniają wysoką wydajność, powtarzalność produkcji i zachowanie najwyższej jakości, natomiast z uwagi na ich podłączenie do sieci stają się też oczywistym celem ataków cyberprzestępców. Dyrektywa NIS2 zwraca na to uwagę, a właściciele przedsiębiorstw bezpośrednio zainteresowanych tym zagadnieniem (lub ich działy IT) powinni już dziś skupić się na zwiększeniu poziomu ochrony przed zagrożeniami cybernetycznymi.

Od czego zacząć?

Wiedząc, jak realne jest ryzyko zaatakowania sieci wewnętrznej zautomatyzowanego przedsiębiorstwa, należy w pierwszej kolejności rzetelnie przeanalizować poziom zabezpieczeń przed takimi zdarzeniami.

Podstawę stanowi audyt sieciowy, w ramach którego eksperci oceniają poziom cyberbezpieczeństwa OT w przedsiębiorstwie. Usługę przeprowadzenia audytu sieciowego znajdą Państwo w ofercie RAControls.

Składają się na nią m.in. inwentaryzacja zasobów sieciowych obszaru OT, weryfikacja konfiguracji pod kątem bezpieczeństwa, analiza wydajności urządzeń sieciowych, identyfikacja zagrożeń i podatności na ataki w obszarze OT, a także sformułowanie zaleceń mających na celu zminimalizowanie ryzyka ataku hakerskiego oraz pomoc w projektowaniu i uruchamianiu nowoczesnej sieci przemysłowej.

RAControls oferuje także możliwość skorzystania z bezpłatnych warsztatów-konsultacji „Cyberbezpieczeństwo w przemyśle”

więcej informacji… 

Głównym celem warsztatów jest przekazanie uczestnikom najistotniejszych informacji dotyczących zagrożeń cybernetycznych wynikających z rozwoju obszaru OT oraz określenie zaleceń dla poprawy zabezpieczeń.

Eksperci RAControls prowadzą warsztaty w zakładach produkcyjnych a teraz także online. 

Kontakt w sprawie rozwiązań zwiększających bezpieczeństwo cybernetyczne zakładów  produkcyjnych:

Tomasz Drewniok, OT Security Business Consultant

kom.: +48 785 293 262 | e-mail: tdrewniok@racontrols.pl

pobierz publikację racontrols

W ofercie RAControls znajdą Państwo również szereg innych rozwiązań realnie zwiększających poziom ochrony przed zagrożeniami cybernetycznymi, pozwalającymi dostosować Państwa przedsiębiorstwo do wymagań dyrektywy NIS2.

Broszura przybliża najważniejsze zagadnienia i taktyki stosowane przy tworzeniu zabezpieczeń na różnych warstwach systemów sterowania.

Korzystając z zalet nowoczesnych rozwiązań warto jednocześnie pamiętać o bezpieczeństwie swojego przedsiębiorstwa i znajdujących się w nim zasobów.

Udostępnij artykuł:

ZOBACZ RÓWNIEŻ:

Kontakt - audyty i usługi