Βρισκόμαστε κάτι λιγότερο από ένα χρόνο από τη καταληκτική ημερομηνία, 17 Οκτώβρη 2024, που η Οδηγία 2022/2555 Network and Information Security 2 (NIS 2[1]) θα πρέπει να έχει υιοθετηθεί δια νόμου από τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Η εφαρμογή και οι συνέπειες σε περίπτωση μη συμμόρφωσης θα είναι άμεση με ισχύ από τις 18 Οκτώβρη 2024.
Η Οδηγία NIS 2 έρχεται να αντικαταστήσει την NIS που θεσπίστηκε τον Ιούλιο του 2016 και αφορούσε την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Η Οδηγία NIS στόχευε στην αύξηση της ανθεκτικότητας ολόκληρης της Ευρωπαϊκής Ένωσης στον κυβερνοχώρο μέσω ρυθμιστικών μέτρων. Ωστόσο, η νομοθεσία κλήθηκε να αντιμετωπίσει ορισμένες προκλήσεις στις οποίες δε δόθηκε κατάλληλη απάντηση, με αποτέλεσμα μια κατακερματισμένη προσέγγιση σε επίπεδο κρατών μελών.
Του Δημήτρη Τσακτσήρα
Cybersecurity Solutions Manager
Space Hellas – www.space.gr
Διακρίσεις, Προκλήσεις, Υποχρεώσεις
Η νέα οδηγία έρχεται να απαντήσει στις προκλήσεις με ενιαία προσέγγιση για όλα τα κράτη μέλη και ορίζοντας μια βάση από μέτρα ασφαλείας. Φυσικά τα κράτη μέλη μπορούν να διαφοροποιηθούν, αλλά μόνο αυστηροποιώντας το πλαίσιο και επεκτείνοντας το πεδίο εφαρμογής. Μερικές διαφορές στην NIS 2 είναι:
- Η διεύρυνση των κλάδων που επηρεάζονται από το νόμο. Συγκεκριμένα οι οργανισμοί χωρίζονται σε Essential οντότητες (energy, transport, banking, financial markets infrastructure, health, drinking water, wastewater, digital infrastructure, public administration, space) και Important οντότητες (postal and courier services, waste management, the manufacture/production/distribution of chemicals, food production/processing/distribution, manufacturing, digital providers).
- Η διοίκηση θα έχει ενεργό και καθοριστικό ρόλο στην εναρμόνιση με την οδηγία.
- Οι αρμόδιες αρχές μπορούν να επιβάλουν διοικητικά πρόστιμα μέχρι 10 εκ. ευρώ ή το 2% του συνολικού ετήσιου κύκλου εργασιών του οργανισμού.
- Παρέχεται κατάλογος με τα μέτρα ασφάλειας που απαιτούνται.
- Οι οργανισμοί θα πρέπει να ελέγχουν επιμελώς τους συνεργάτες τους για την ασφάλεια της εφοδιαστικής αλυσίδας.
- Οι οντότητες θα πρέπει να κοινοποιούν, εντός 24 ωρών, στην αρμόδια αρχή κάθε σημαντική απειλή που θα μπορούσε να προκαλέσει σημαντικό περιστατικό.
Δυο από τα κυριότερα άρθρα της Οδηγίας είναι το Άρθρο 21 και το Άρθρο 23. Στο πρώτο δίνεται λίστα με τα απαιτούμενα μέτρα που χωρίζονται στις τρεις παρακάτω κατηγορίες, ενώ στο δεύτερο αναλύονται οι υποχρεώσεις για την αναφορά των περιστατικών.
Cyber Strategy / Governance
- Πολιτικές για την ανάλυση κινδύνου και την ασφάλεια των πληροφοριακών συστημάτων
- Πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων
- Εκπαίδευση και ενημέρωση
Detection and Response
- Χειρισμός περιστατικών
- Διαχείριση αναφορών
- Επιχειρησιακή συνέχεια και διαχείριση των κρίσεων
Infrastructure and Application Security
- Ασφάλεια Πληροφοριών και δικτύου
- Ανάπτυξη ασφαλών πρακτικών
- Ασφάλεια της αλυσίδας εφοδιασμού (προμηθευτές ή πάροχοι υπηρεσιών των οντοτήτων)
- Πολιτικές ελέγχου πρόσβασης και διαχείριση
Οργανισμοί όπως τράπεζες και τηλεπικοινωνιακοί πάροχοι που είναι ενταγμένοι στην NIS και πρέπει να συμμορφώνονται και με άλλα πρότυπα έχουν ήδη ένα καλό επίπεδο ασφάλειας και πληρούν ήδη τις απαιτήσεις. Μια από τις βασικές προκλήσεις είναι η διαχείριση των αναφορών και η αποτελεσματική διαδικασία αυτών, ώστε να εξοικονομείται χρόνος από τις ομάδες ώστε δίνουν έμφαση στην αντιμετώπιση του περιστατικού.
Όμως, οι οργανισμοί που θα ενταχθούν για πρώτη φορά είναι υποχρεωμένοι να δράσουν άμεσα. Χρειάζεται να εκπονήσουν μαζί με τους συνεργάτες το πλάνο συμμόρφωσης και να αποφασίσουν ποια μέτρα της λίστας θα τα καλύψουν με ίδιες δυνάμεις και ποια θα τα λαμβάνουν ως υπηρεσία. Δεδομένου της έλλειψης προσωπικού[2] και ιδιαίτερα έμπειρου τα κομμάτια που κατ’ ελάχιστο μπορούν να καλυφθούν από εξωτερικό συνεργάτη είναι το Incident Response και Reporting. Για αποδοτικό Incident Response και Reporting ο συνεργάτης πρέπει να διαθέτει κατ’ ελάχιστο ένα εξελιγμένο SOC με έμπειρους αναλυτές και να χρησιμοποιεί EDR/XDR εργαλεία.
Μπορεί η Ευρωπαϊκή Ένωση να απαιτεί την επαύξηση της κυβερνοασφάλειας, αλλά παράλληλα στηρίζει με συγχρηματοδοτικά πακέτα μέσω του προγράμματος Digital Europe Programme (DIGITAL[3]). Το budget του Cybersecurity Work Programme για το 2021-2022 ήταν στα 269 εκ. ευρώ, ενώ το WP για το 2023-2024[4] υπολογίζεται στα 375 εκ. ευρώ.
Η επίδραση στο OT Security
Οι κλάδοι των επιχειρήσεων και οργανισμών που διαθέτουν OT υποδομή πρόκειται να δοκιμαστούν περισσότερο. Όπως έχει αναφερθεί σε προηγούμενο άρθρο βρισκόμαστε στην 4η Βιομηχανική επανάσταση όπου τα βιομηχανικά περιβάλλοντα προσπαθούν να μετασχηματιστούν ώστε να εκμεταλλευτούν τις νέες τεχνολογικές δυνατότητες. Αυτό έχει ως επακόλουθο να έχουν μεγαλύτερο αποτύπωμα στον “έξω” κόσμο άρα πιο εκτεθειμένα, και ευάλωτα στις κυβερνοεπιθέσεις. Οι OT ομάδες έχουν κατανοήσει ότι πρέπει να αυξηθεί η κυβερνοασφάλεια στο περιβάλλον της παραγωγής, ώστε να προστατευτούν από τις απειλές. Σε διαφορετική περίπτωση είναι σχεδόν βέβαιο ότι κάποια στιγμή θα αντιμετωπίσουν κάποια επίθεση που μπορεί να προκαλέσει από απώλεια κερδών μέχρι σοβαρό αντίκτυπο στη κοινωνία.
Σε αυτή τη συνθήκη έρχεται να προστεθεί η απαίτηση για συμμόρφωση με την Οδηγία NIS 2 σε λιγότερο από ένα χρόνο. Με την αναφορά της Οδηγίας ότι η προστασία των assets των οργανισμών πρέπει να είναι ανάλογη του ρίσκου που τα ακολουθεί γίνεται αντιληπτό ότι θα πρέπει να αυξήσουν τα επίπεδα ασφάλειας. Είναι μια δύσκολη άσκηση λόγω της ιδιαιτερότητας του περιβάλλοντος όπου από τη μια πρέπει η παραγωγή να είναι αδιάλειπτη και από την άλλη πρέπει να εφαρμοστούν μέτρα ασφαλείας που να είναι αποδοτικά χωρίς να επηρεάζουν την παραγωγή.
Ο κατάλογος με τα μέτρα ασφαλείας ορίζει την κατεύθυνση που θα πρέπει να κινηθούν οι οργανισμοί όμως είναι απαραίτητο για τις οντότητες με OT υποδομές να δοθούν πιο εξειδικευμένες Οδηγίες και Πρότυπα. Οδηγίες που θα λαμβάνουν υπόψιν τις ιδιαιτερότητες του κάθε κλάδου ξεχωριστά. Δύο τέτοια παραδείγματα είναι το NCCS[5] στον κλάδο της ενέργειας και το πρότυπο TS 50701[6] για τους σιδηροδρόμους.
Ο χρόνος μετρά αντίστροφα και ακολουθεί μια πολύ απαιτητική χρονιά όπου θα πρέπει να βρεθεί η ισορροπία μεταξύ των αντίρροπων δυνάμεων.
[1] https://eur-lex.europa.eu/legal-content/EL/TXT/HTML/?uri=CELEX:32022L2555&qid=1697417515735
[2] https://www.isaca.org/about-us/newsroom/press-releases/2023/new-isaca-research-59-percent-of-cybersecurity-teams-are-understaffed
[3] https://digital-strategy.ec.europa.eu/en/activities/digital-programme
[4] https://ec.europa.eu/newsroom/dae/redirection/document/94610
[5] https://acer.europa.eu/news-and-events/news/acer-submits-european-commission-revised-network-code-electricity-cybersecurity
[6] https://www.enisa.europa.eu/events/ENISA-ERA_Conference/enisa-era-conference-slides/4-status-update-on-cenelec-wg-26-benoliel-schlehuber.pdf