Cyberbezpieczeństwo w kontekście przepisów prawa

W dzisiejszym cyfrowym świecie, cyberbezpieczeństwo stało się jednym z najważniejszych aspektów funkcjonowania każdej organizacji. Firmy, rządy i inne podmioty muszą nieustannie chronić się przed ewoluującymi zagrożeniami w cyberprzestrzeni. Inwestycja w cyberbezpieczeństwo buduje również zaufanie klientów i partnerów biznesowych.

Dlaczego cyberbezpieczeństwo jest tak ważne?

Zagrożenia takie jak phishing i ransomware są dziś bardzo powszechne. Skutki wywołane przez złośliwe oprogramowanie lub ataki wykorzystujące socjotechniki mogą prowadzić do strat finansowych, a także do utraty reputacji w oczach klientów. Skuteczna ochrona IT wymaga zaawansowanych narzędzi, technologii i specjalistów, którzy potrafią monitorować sieć, analizować podejrzane zdarzenia i reagować na ataki. Security Operations Center (SOC) odgrywa kluczową rolę w zapewnieniu tej ochrony.

Wymogi prawne dotyczące cyberbezpieczeństwa w firmach

Dyrektywa NIS-2

Dyrektywa NIS2 to przepisy Unii Europejskiej mające na celu zwiększenie cyberbezpieczeństwa w różnych sektorach. Zastąpiła wcześniejszą dyrektywę NIS1, podnosząc standardy i rozszerzając zakres oddziaływania.

Kluczowe aspekty dyrektywy NIS2:

• Cel: Ustanowienie jednolitych ram prawnych w całej UE w celu utrzymania cyberbezpieczeństwa.
• Zakres: Obejmuje 18 sektorów krytycznych, takich jak energia, transport, opieka zdrowotna, finanse, administracja publiczna i inne. Dotyczy również dostawców usług cyfrowych i publicznych usług łączności elektronicznej.
• Wymagania: Nakłada na państwa członkowskie obowiązek zwiększenia zdolności w zakresie cyberbezpieczeństwa oraz wprowadzenia środków zarządzania ryzykiem i wymogów sprawozdawczych dla podmiotów z różnych sektorów.
• Data wejścia w życie: Dyrektywa weszła w życie 16 stycznia 2023 r. Państwa członkowskie miały czas do 17 października 2024 r. na wdrożenie jej do prawa krajowego, a przepisy powinny być stosowane od 18 października 2024 r.

Kogo dotyczy dyrektywa NIS2?

• Podmioty kluczowe (essential entities) i podmioty istotne (important entities).
• Średnie i duże podmioty w sektorach krytycznych.
• Sektory objęte dyrektywą to m.in. energetyka, transport, opieka zdrowotna, finanse, gospodarka wodna, infrastruktura cyfrowa, administracja publiczna, sektor żywności, ścieki, przemysł, zarządzanie odpadami i przestrzeń kosmiczna.

Podmioty objęte dyrektywą NIS2 mają większe wymagania dotyczące zarządzania, obsługi i ujawniania luk w zabezpieczeniach, testowania cyberbezpieczeństwa i efektywnego wykorzystywania szyfrowania. Dyrektywa precyzuje raportowanie incydentów i wprowadza odpowiedzialność kierownictwa za zgodność ze środkami zarządzania ryzykiem w cyberbezpieczeństwie.

Rozporządzenie DORA 

Rozporządzenie DORA (Digital Operational Resilience Act) to akt prawny Unii Europejskiej, mający na celu zwiększenie odporności cyfrowej sektora finansowego.

Kogo dotyczy rozporządzenie DORA?

Podmioty finansowe, takie jak instytucje kredytowe, instytucje płatnicze, dostawcy usług płatniczych, firmy inwestycyjne, zakłady ubezpieczeń i reasekuracji, oraz inne podmioty działające w sektorze finansowym.

Jakie wymagania stawia rozporządzenie DORA?

• Zarządzanie ryzykiem ICT: Wymaga od podmiotów finansowych wdrożenia solidnych ram zarządzania ryzykiem związanym z technologiami informacyjno-komunikacyjnymi (ICT).
• Ochrona przed incydentami cyberbezpieczeństwa: Podmioty muszą być przygotowane na incydenty związane z cyberbezpieczeństwem i wdrażać odpowiednie środki ochrony.
• Zgłaszanie incydentów: Rozporządzenie określa kryteria klasyfikacji incydentów związanych z ICT, w tym liczbę klientów dotkniętych incydentem, czas trwania, zasięg geograficzny, utratę danych oraz skutki ekonomiczne. Poważne incydenty muszą być zgłaszane właściwym organom nadzorczym.
• Testowanie odporności cyfrowej: Podmioty finansowe muszą regularnie testować swoje systemy i procedury, aby zidentyfikować potencjalne słabości i luki.
• Zarządzanie zewnętrznymi dostawcami usług ICT: Rozporządzenie wprowadza zasady dotyczące monitorowania i zarządzania ryzykiem związanym z korzystaniem z usług zewnętrznych dostawców ICT.
• Rejestrowanie cyberzagrożeń: Podmioty finansowe są zobowiązane do rejestrowania wszystkich incydentów związanych z ICT oraz znaczących cyberzagrożeń. Cyberzagrożenie oznacza potencjalne okoliczności, które mogą wyrządzić szkodę.
• Uwierzytelnianie: Stosowanie metod uwierzytelniania, współmiernych z klasyfikacją i profilem ryzyka zasobów ICT.

Ponadto, rozporządzenie DORA ma na celu zmniejszenie obciążenia administracyjnego i wyeliminowanie powielających się obowiązków w zakresie zgłaszania incydentów, szczególnie w przypadku podmiotów podlegających również dyrektywie PSD2.

Dyrektywa PSD2

Dyrektywa PSD2 (Payment Services Directive 2) to unijna regulacja dotycząca usług płatniczych. Jej celem jest zwiększenie bezpieczeństwa transakcji elektronicznych, promowanie innowacji i konkurencji na rynku płatności, a także ochrona konsumentów.

Najważniejsze aspekty dyrektywy PSD2:

• Silne uwierzytelnianie klienta (SCA): Wprowadza wymóg stosowania silnego uwierzytelniania klienta przy transakcjach elektronicznych, co oznacza konieczność użycia co najmniej dwóch elementów z kategorii wiedzy (coś, co wie tylko użytkownik), posiadania (coś, co ma tylko użytkownik) i cech biometrycznych (coś, czym jest użytkownik).
• Dostęp stron trzecich (TPP): Umożliwia licencjonowanym podmiotom trzecim, takim jak dostawcy usług płatniczych (Payment Initiation Service Providers – PISP) i dostawcy usług dostępu do informacji o rachunku (Account Information Service Providers – AISP), dostęp do rachunków płatniczych klientów za ich zgodą.
• Raportowanie incydentów: Instytucje finansowe są zobowiązane do zgłaszania poważnych incydentów operacyjnych i incydentów bezpieczeństwa związanych z płatnościami.
• Wyłączenie obowiązku zgłaszania incydentów na podstawie PSD2, jeśli podmiot podlega DORA: Rozporządzenie DORA wyłącza obowiązek raportowania incydentów zgodnie z PSD2 dla dostawców usług płatniczych objętych zakresem DORA, aby uniknąć powielania obowiązków.
• Zmiany w PSD2 w związku z DORA: Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2556 wprowadziła zmiany w dyrektywie PSD2 w odniesieniu do operacyjnej odporności cyfrowej sektora finansowego, co jest skorelowane z rozporządzeniem DORA.

Jak zabezpieczyć swoją firmę zgodnie z wymogami dyrektyw NIS-2 oraz DORA?

Rekrutacja zespołu cybersecurity dla Twojej firmy

Rozumiemy, że każda organizacja ma unikalne potrzeby w zakresie cyberbezpieczeństwa. Dlatego oferujemy również usługi rekrutacji zespołu specjalistów ds. cybersecurity, którzy będą pracować po stronie klienta. Pomagamy w znalezieniu najlepszych talentów na rynku, dopasowanych do specyfiki Twojej firmy i jej wymagań.

Outsourcing SOC 24

Decyzja o wyborze między budową własnego centrum operacji bezpieczeństwa a skorzystaniem z usług zarządzanych SOC zależy od zasobów finansowych i ludzkich, skali działalności oraz specyficznych potrzeb organizacji. Outsourcing SOC oferuje szereg korzyści:

• Oszczędność czasu i pieniędzy: Nie musisz rekrutować zespołu ekspertów ani inwestować w drogi sprzęt.
• Dostęp do najlepszych technologii: Dostawcy usług SOC inwestują w najnowsze narzędzia do wykrywania i reagowania na zagrożenia.
• Skalowalność i elastyczność: Zewnętrzny SOC rośnie razem z Twoją firmą, dostosowując się do jej potrzeb.
• Ciągłość działania: Profesjonalne zespoły SOC są dostępne 24/7, zapewniając pełną ochronę i szybki czas reakcji na incydenty.

Antal oferuje usługi SOC 24, zapewniając kompleksową ochronę przed cyberzagrożeniami. Dzięki naszym ekspertom bezpieczeństwa cyfrowego z dużym doświadczeniem w największych firmach o zasięgu globalnym, gwarantujemy najwyższą jakość usług i skuteczne reagowanie na incydenty.