Treści
Od NIS do NIS2. Jak twórcy oprogramowania przystosowują je do nowych regulacji UE – na przykładzie AVEVA
Od NIS do NIS2. Jak twórcy oprogramowania przystosowują je do nowych regulacji UE – na przykładzie AVEVA
NIS2 to nowa dyrektywa UE precyzująca i rozszerzająca zakres przepisów dotyczących cyberbezpieczeństwa. W odpowiedzi na te wymogi, firmy technologiczne, takie jak AVEVA, aktywnie wdrażają strategie zgodne z najwyższymi standardami.
Cyberbezpieczeństwo ma kluczowe znaczenie w erze cyfrowej, a celem nowej dyrektywy Unii Europejskiej o nazwie NIS2 jest zapewnianie jego wyższego poziomu przez podniesienie standardów ochrony w sektorze IT/OT. Jest odpowiedzią na wzrost zagrożeń w cyberprzestrzeni. Dyrektywa wprowadza surowsze wymogi dla różnego rodzaju podmiotów i nakłania do stosowania najlepszych praktyk w dziedzinie cyberbezpieczeństwa.
Dyrektywa NIS (Network and Information Systems) w pierwotniej wersji została przyjęta 6 lipca 2016 r. Była pierwszym ogólnoeuropejskim prawem w zakresie cyberbezpieczeństwa. Nakładała na państwa członkowskie szereg obowiązków, dotyczących między innymi powołania instytucji nadzorczych oraz wprowadzenia mechanizmów współpracy. W Polsce jej zapisy realizuje ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku.
Z biegiem czasu i w miarę pojawiania się nowych typów cyberzagrożeń pojawiła się potrzeba rozszerzenia zakresu dyrektywy. 14 grudnia 2022 przyjętą więc dyrektywę NIS2 precyzującą i rozszerzającą zakres przepisów dotyczących cyberbezpieczeństwa. Polska ma czas na wprowadzenie jej do krajowego porządku prawnego do 17 października 2024. Oznacza to, że już wkrótce zapisy dyrektywy będą dotyczyć podmiotów działających w Polsce.
Rozszerzony Zakres i Zaostrzone Wymogi
Kluczowe elementy Dyrektywy NIS2:
- Poszerzenie zakresu podmiotów objętych dyrektywą: W ramach NIS2, więcej sektorów, w tym publiczny, zdrowia, cyfrowy i energetyczny, musi stosować się do rygorystycznych standardów bezpieczeństwa cyfrowego. Dyrektywa obejmuje teraz również dostawców usług cyfrowych, takich jak chmura, media społecznościowe i platformy e-commerce.
- Zaostrzenie wymogów bezpieczeństwa: Podmioty te są zobowiązane do wdrażania zaawansowanych mechanizmów obronnych, systematycznej oceny ryzyka oraz zarządzania incydentami bezpieczeństwa cyfrowego. NIS2 wymaga również regularnego testowania systemów, aby zapewnić ich odporność na ataki cybernetyczne.
- Szybkie i transparentne zgłaszanie incydentów: Organizacje muszą zgłaszać naruszenia bezpieczeństwa w ciągu 24 godzin od ich wykrycia, co pozwala na szybką reakcję i minimalizację potencjalnych szkód.
- Wzmocnienie współpracy międzynarodowej: Dyrektywa promuje lepszą koordynację działań na szczeblu UE poprzez sieć współpracy NIS, co umożliwia skuteczniejsze zarządzanie kryzysami i wymianę informacji na temat zagrożeń.
- Kary za niezgodność: NIS2 wprowadza również możliwość nałożenia surowszych kar finansowych na organizacje, które nie przestrzegają przepisów, zwiększając tym samym motywację do utrzymania wysokich standardów bezpieczeństwa.
W odpowiedzi na te wymogi, firmy technologiczne, takie jak AVEVA, aktywnie wdrażają strategie zgodne z najwyższymi standardami.
Praktyki Cyberbezpieczeństwa w AVEVA
AVEVA jako lider z ponad 40-letnim doświadczeniem w dostarczaniu oprogramowania przemysłowego, rozumie wagę zabezpieczenia danych swoich klientów. Firma stosuje model Secure Development Lifecycle (SDL), który jest zgodny z normami IEC 62443, co obejmuje:
- Budowanie bezpieczeństwa od podstaw: AVEVA implementuje zabezpieczenia już na etapie projektowania systemów, używając składników spełniających uznane standardy.
- Enforced Encryption: Wszystkie dane są chronione za pomocą wymuszonego szyfrowania, co zapewnia ochronę informacji wrażliwych.
- Penetration Testing: Regularne testy penetracyjne pozwalają identyfikować i eliminować potencjalne luki bezpieczeństwa.
- Continuous Compliance Monitoring: Monitoring zgodności z przepisami cyberbezpieczeństwa pozwala na bieżącą ocenę i dostosowanie praktyk zabezpieczeń.
Działania na rzecz ciągłej modernizacji
Modernizacja przemysłowa musi uwzględniać zarówno cyberbezpieczeństwo, jak i przestrzeganie nowych przepisów. AVEVA wspiera swoich klientów, oferując elastyczne subskrypcje (AVEVA™ Flex Subscription Program), które ułatwiają dostęp do najnowszych aktualizacji oprogramowania i funkcji bezpieczeństwa.
Zintegrowane rozwiązania dla lepszej ochrony
AVEVA korzysta z narzędzi takich jak Unified Operation Center (systemy wspomagania decyzji), które umożliwiają integrację danych, wizualizację i zarządzanie alarmami. Są one wzmocnione przez zaawansowane technologie uczenia maszynowego i sztucznej inteligencji, co zwiększa ich zdolność do wykrywania i reagowania na anomalie w bezpieczeństwie.
Współpraca z globalnymi partnerami
Przez współpracę z wiodącymi organizacjami takimi jak Microsoft, Accenture i Virsec Systems, AVEVA zapewnia dostęp do najnowocześniejszych rozwiązań i technologii. Partnerstwa te skupiają się na dostarczaniu systemów o najwyższych standardach cyberbezpieczeństwa.
Podsumowanie
Implementacja dyrektywy NIS2 jest kluczowym krokiem ku zwiększeniu bezpieczeństwa cyfrowego w Europie. Przykład firmy AVEVA pokazuje, poprzez zobowiązanie do ciągłej optymalizacji cyberbezpieczeństwa, można nie tylko łatwo wdrożyć wymagania wynikające z nowych regulacji, ale również aktywnie przyczyniać się do podnoszenia standardów w branży.