- 7 listopada 2024 r. ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa) opublikowała projekt wytycznych w sprawie rozporządzenia wykonawczego Komisji (UE) 2024/2690 z dnia 17 października 2024 r. ustanawiającego zasady stosowania dyrektywy NIS 2 w odniesieniu do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie.
- Celem dyrektywy NIS 2 jest zapewnienie wysokiego poziomu odpowiedzialności za środki zarządzania ryzykiem w cyberbezpieczeństwie oraz obowiązki w zakresie zgłaszania incydentów cyberbezpieczeństwa. Rozporządzenie wykonawcze do NIS 2 jest adresowane do określonych typów dostawców m.in. usług DNS, chmurowych, internetowych platform handlowych czy usług zarządzanych. Z kolei wytyczne ENISA mają na celu ułatwienie zrozumienia stawianych im wymagań i dostosowania do nich.
- Wytyczne zostały opracowane przez ENISA we współpracy z grupą roboczą NIS Cooperation Group ds. zarządzania ryzykiem i podatnościami w cyberbezpieczeństwie. W procesie uczestniczyły również grupy robocze ds. dostawców usług cyfrowych i infrastruktury cyfrowej, a także eksperci z ECATS (European Competent Authorities for Trust Services) oraz ECASEC (European Competent Authorities for Secure Electronic Communications). Dokument jest wynikiem konsultacji prowadzonych od czerwca do połowy października 2024 r.
- Projekt dokumentu określa wytyczne, przykłady dowodów na ich spełnienie oraz wskazówki. Odnoszą się one do wymogów technicznych i metodycznych dotyczących środków zarządzania ryzykiem w cyberbezpieczeństwie stawianych określonym podmiotom objętym dyrektywą NIS 2. Wytyczne obejmują kwestie, które należy wziąć pod uwagę przy wdrażaniu konkretnych środków. Przykłady dowodów na spełnienie wymagań rozporządzenia wykonawczego mają charakter poglądowy. Natomiast wskazówki to dodatkowe uwagi, które można wziąć pod uwagę przy doborze i wdrożeniu środków.
- ENISA w swoim dokumencie przedstawia szczegółowe mapowanie wymagań na uznane międzynarodowe standardy i ramy bezpieczeństwa. Obejmują one ISO/IEC 27001:2022 (międzynarodowy standard określający wymagania dla systemu zarządzania bezpieczeństwem informacji) oraz ISO/IEC 27002:2022 (zbiór szczegółowych wytycznych i najlepszych praktyk w zakresie kontroli bezpieczeństwa), a także NIST Cybersecurity Framework 2.0 (amerykańskie ramy określające pięć kluczowych funkcji cyberbezpieczeństwa: identyfikację, ochronę, wykrywanie, reagowanie i odzyskiwanie). Dodatkowo uwzględniono standardy ETSI EN 319 401 (europejski standard dla dostawców usług zaufania, np. podpisu elektronicznego) oraz CEN/TS 18026:2024 (standard dotyczący bezpieczeństwa systemów przemysłowych i IoT). To mapowanie ma pomóc organizacjom w lepszym zrozumieniu, jak istniejące standardy bezpieczeństwa odnoszą się do nowych wymogów.
- Dokument został udostępniony do dalszych konsultacji – zainteresowane podmioty mogą zgłaszać uwagi do 9 grudnia 2024 r. do godz. 18:00 CET. Choć wytyczne mają charakter niewiążący, to mogą być cennym źródłem wiedzy nie tylko dla podmiotów bezpośrednio objętych regulacją, ale także dla innych organizacji, które chcą podnieść poziom swojego cyberbezpieczeństwa.