Przejdź do głównej zawartości

Nis2

Dyrektywa NIS2 (Network and Information Systems Directive 2) to nowelizacja przepisów UE w zakresie cyberbezpieczeństwa. Ma na celu zwiększenie odporności cyfrowej organizacji kluczowych dla funkcjonowania państwa i gospodarki. Security Engineer odgrywa kluczową rolę w spełnieniu technicznych i operacyjnych wymagań tej dyrektywy.

📘 Czym jest NIS2?

  • Następca dyrektywy NIS z 2016 r. – bardziej szczegółowy, obowiązkowy i obejmujący szerszy zakres podmiotów
  • Dotyczy zarówno operatorów usług kluczowych (essential entities), jak i ważnych podmiotów (important entities)
  • Wprowadza konkretne obowiązki dotyczące zarządzania ryzykiem, reagowania na incydenty i raportowania
  • Obowiązuje również firmy prywatne działające w sektorach krytycznych (energia, zdrowie, transport, usługi cyfrowe)

🧱 Wymogi wobec organizacji

  • Zarządzanie ryzykiem – identyfikacja, ocena i minimalizacja ryzyk związanych z ICT
  • Zabezpieczenia techniczne i operacyjne – ochrona systemów, danych i usług
  • Zarządzanie incydentami – detekcja, odpowiedź i zgłaszanie poważnych incydentów do CSIRT w ciągu 24h
  • Bezpieczeństwo łańcucha dostaw – obowiązek weryfikacji dostawców i ich praktyk
  • Testowanie i audyt – obowiązek przeprowadzania testów penetracyjnych, audytów i ćwiczeń
  • Szkolenie personelu – obowiązek edukacji w zakresie cyberbezpieczeństwa

🔧 Rola Security Engineera w kontekście NIS2

  • Pomiar dojrzałości bezpieczeństwa systemów – gap analysis względem wymagań NIS2
  • Wdrażanie mechanizmów detekcji i odpowiedzi (SIEM, EDR, SOAR)
  • Opracowanie procedur obsługi incydentów, w tym klasyfikacji i eskalacji
  • Ocena dostawców IT – analiza ich bezpieczeństwa i zgodności z polityką firmy
  • Przygotowanie organizacji do raportowania i komunikacji z CSIRT/KSC
  • Wsparcie dla zarządzania ryzykiem i udział w regularnych przeglądach

⚙️ Obszary krytyczne dla zgodności

  • Backupy i odporność na ransomware
  • MFA i kontrola dostępu do systemów krytycznych
  • Monitoring i alerting 24/7
  • Aktualizacje i zarządzanie podatnościami
  • Segregacja sieci (np. OT vs IT)

✅ Dobre praktyki

  • Zmapuj wymagania NIS2 do istniejących procedur ISO 27001, RODO i polityk wewnętrznych
  • Przygotuj plan naprawczy (remediation plan) dla obszarów niezgodnych
  • Włącz NIS2 do codziennego zarządzania bezpieczeństwem – nie traktuj jako osobny projekt
  • Weryfikuj zgodność także u dostawców zewnętrznych (outsourcing, SaaS, chmura)
  • Zapewnij, że zarząd jest świadomy obowiązków i zagrożeń – to ich odpowiedzialność

NIS2 to nie kolejny dokument do archiwum – to realna odpowiedzialność za ciągłość działania i odporność organizacji.