Про послуги з кібербезпеки в епоху Директиви NIS 2 

Кількість кібератак зростає. Більше того, вони стають все більш витонченими, а креативність кіберзлочинців ускладнює забезпечення безпеки даних та інфраструктури. У відповідь на це було запроваджено регуляторні рамки, такі як Директива NIS. Дізнайся, чи зобов’язана твоя організація впроваджувати рекомендації Директиви NIS 2, яка набирає чинності, і як експертні послуги Sii можуть допомогти їй у цьому процесі.

У 2016 році було запроваджено спільні для всього ЄС правила безпеки мереж та інформаційних систем. Динамічна оцифровка багатьох галузей промисловості, а також державних послуг призвела до необхідності оновлення нормативних актів та їх адаптації до нових викликів.

Директива NIS 2 – чим вона відрізняється від попередніх нормативних актів?

Відповідь – Директива про мережі та інформаційні системи 2 (NIS 2), введена в дію в 2023 році і опублікована ENISA, Агентством Європейського Союзу з кібербезпеки. Це оновлена версія Директиви NIS 1, яка встановлює мінімальні стандарти безпеки та зобов’язує повідомляти про серйозні інциденти Європейській групі реагування на інциденти комп’ютерної безпеки (CSIRT) або національним органам влади.

Які зміни запроваджує Директива NIS 2?

• Суворі стандарти для аналізу ризиків, аудиту та обробки інцидентів, а також кібер-освіти.
• Забезпечення дотримання в усіх країнах ЄС.
• Забезпечення безперервності ланцюжка поставок та бізнесу.
• Посилення зобов’язань щодо звітності.
• Посилення правових наслідків за порушення правил.
• Охоплення регулюванням більшої кількості секторів.

Однією з суттєвих відмінностей NIS 1 від NIS 2 є розширення сфери її дії. Досі наявна директива охоплювала дві групи організацій: постачальників ключових послуг (KSP) і постачальників цифрових послуг (DUC). Сфера дії NIS 2 поширюється на інші галузі, включно з транспортом, охороною здоров’я, енергетикою, фінансами та державним управлінням, а також запроваджує критерій розміру – середні та великі компанії мають дотримуватися вимог директиви. NIS 2 також поширюється на всі компанії, незалежно від розміру, які мають ключове значення для певних секторів, економіки або суспільства.

Довірте безпеку даних вашої компанії експертам

Вирішальне значення для ефективності цих директив має роль служб кібербезпеки. Саме їхні провайдери допомагають організаціям орієнтуватися в складному ландшафті кіберзагроз та регуляторних зобов’язань.

– Наш досвід охоплює різні аспекти кібербезпеки для широкого кола клієнтів – від малого бізнесу до глобальних підприємств, – говорить Łukasz Sitkowski, Business Development Manager в Sii. – Ми допомагаємо компаніям впроваджувати стратегії управління ризиками кібербезпеки шляхом проведення експертних аудитів, підвищення обізнаності про загрози, розробки політик безпеки та управління інцидентами, – пояснює він.

Sii створила команду експертів з кібербезпеки з понад 160 фахівців, серед яких досвідчені аудитори та архітектори з численними сертифікатами, такими як OSCP, CEH, CISSP, GIAC GCIH, GIAC GCFE та CompTIA Security+. Завдяки глибоким знанням своїх експертів, Центр компетенції з кібербезпеки здатний забезпечити організаціям комплексний захист від новітніх загроз, що він робить, зокрема, за допомогою свого підрозділу Security Operations Centre (SOC). За допомогою сучасних хмарних рішень клієнти можуть скористатися пропозицією SOC-as-a-service, адаптуючи рівень та обсяг захисту до вимог конкретної компанії та обираючи режим роботи 24/7 або 8/5.

Як Sii може допомогти вашій організації впровадити стандарт NIS 2?

Sii пропонує безкоштовну швидку оцінку (Quick Assessment), яка визначає, чи застосовується NIS 2 до вашого бізнесу, і встановлює вимоги, необхідні для досягнення відповідності.

Для всебічного, поглибленого аналізу Sii розробила послугу розширеної оцінки (Extended Assessment), яка вивчає поточний стан безпеки та визначає сфери для вдосконалення, щоб відповідати нормативним вимогам. Потім Sii розробляє детальний план з визначенням пріоритетів, адаптований до потреб вашої компанії, існуючих рішень та наявних ліцензій.

Sii також надає повну підтримку в процесі впровадження змін. Наш досвід охоплює як організаційні, так і технічні аспекти, щоб забезпечити плавний перехід до відповідності NIS 2.

Крім того, Sii пропонує безперервну операційну підтримку за допомогою спеціальних керованих послуг, таких як управління ризиками третіх сторін або SOC 24/7.

Проєкт Sii з кібербезпеки для американської компанії зі списку Fortune 500

Sii має великий досвід у підвищенні кібербезпеки організацій, реалізувавши понад 150 проєктів у сфері ІТ-безпеки.

Одним із прикладів є проєкт, виконаний для американської компанії, що надає фінансові послуги, такі як фінансове та інвестиційне планування, інвестиційний банкінг та управління активами.

Проблема, з якою організація звернулася до Sii, полягала у збільшенні кількості кібератак та неефективності існуючої команди SOC. Впровадивши 24/7 SOC-підтримку, Sii скоротила середній час вирішення інцидентів кібербезпеки на 50%.

Покращення кібербезпеки Flying Tiger Copenhagen

Експерти Sii також підвищили рівень внутрішньої безпеки та надали підтримку у визначенні, впровадженні та підтримці засобів безпеки для Flying Tiger Copenhagen, данської мережі з майже 1 000 магазинів аксесуарів по всьому світу. Завдяки проведенню оцінки безпеки організації та ІТ-середовища, а також наданню послуг SOC в режимі 8/5, клієнт отримав безперервний моніторинг та вирішення інцидентів відповідно до SLA, що дозволило досягти необхідного рівня кібербезпеки.

Впровадження NIS 1 в Польському агентстві аеронавігаційних послуг

Крім того, Sii є досвідченим партнером у підготовці великих організацій до зміни правил кібербезпеки.

Фахівці Sii впровадили процеси для команди CSIRT в PANSA. Клієнт, як ключовий оператор послуг, був зобов’язаний відповідати вимогам директиви NIS 1. Команда експертів Sii проаналізувала поточний стан безпеки, розробила процеси обробки інцидентів та моніторингу безпеки, а також створила правила кореляції для системи SIEM.

– Безпека даних та систем є важливою для кожної компанії, незалежно від її розміру, каже Dawid Jankowski, Cybersecurity Competency Center Director в Sii. – Клієнти очікують, що конфіденційні дані залишаться конфіденційними, витік яких може призвести до катастрофічних наслідків як для фінансів, так і для репутації компанії, що може призвести до втрати довіри та контрактів, переривання виробництва або навіть банкрутства, – додає він.