Dyrektywa NIS2 (Directive (EU) 2022/2555) wprowadza istotną zmianę w podejściu do cyberbezpieczeństwa. Jej celem jest zapewnienie, że kluczowe usługi pozostaną dostępne nawet w warunkach poważnego incydentu. Z tego względu ciągłość działania (business continuity) została jednoznacznie wskazana jako obowiązkowy element zarządzania ryzykiem.
Art. 21 ust. 2 NIS2 wprowadza minimalny katalog środków, które muszą zostać wdrożone w ramach zarządzania ryzykiem cyberbezpieczeństwa. Katalog ten ma charakter funkcjonalny i jest osadzony w podejściu all-hazards, czyli przygotowania na różne scenariusze zakłóceń.
Obejmuje on m.in. polityki analizy ryzyka i bezpieczeństwa systemów informacyjnych (lit. a), obsługę incydentów (incident handling, lit. b), oraz wymóg zapewnienia ciągłości działania (business continuity), w tym zarządzania kopiami zapasowymi, odtwarzania po awarii oraz zarządzania kryzysowego.
NIS2 wymaga wprowadzenia środków, które pozwalają na utrzymanie zdolności operacyjnej organizacji w czasie trwania incydentu, a nie dopiero po jego zakończeniu.
W tym ujęciu ciągłość działania obejmuje nie tylko dostępność systemów, lecz także zdolność do:
Jeżeli organizacja traci te zdolności, to nawet przy istnieniu kopii zapasowych i planów odtworzeniowych nie spełnia funkcjonalnego celu NIS2, jakim jest ograniczenie skutków incydentów dla świadczenia usług.
Obsługa incydentów, o której mowa w art. 21 ust. 2 lit. b, zakłada ciągłość procesów reagowania od momentu wykrycia zdarzenia aż do jego opanowania. W praktyce oznacza to konieczność utrzymania komunikacji pomiędzy osobami pełniącymi role decyzyjne, zespołami technicznymi oraz innymi jednostkami zaangażowanymi w reagowanie.
Wiele realnych scenariuszy incydentów cyberbezpieczeństwa — takich jak ataki typu ransomware, DDoS czy awarie systemów katalogowych — prowadzi do częściowej lub całkowitej niedostępności infrastruktury IP. W takich warunkach podstawowe kanały komunikacji, takie jak poczta elektroniczna, komunikatory czy systemy chmurowe, przestają być dostępne.
Brak alternatywnego kanału komunikacji może prowadzić do sytuacji, w której:
Z perspektywy NIS2 oznacza to brak zdolności do realizacji zarówno lit. b (incident handling), jak i lit. c (business continuity).
Ciągłość działania, rozumiana zgodnie z NIS2, wymaga istnienia kanału komunikacji, który:
Właśnie dlatego art. 21 ust. 2 lit. j wskazuje na potrzebę stosowania bezpiecznych, w tym awaryjnych, systemów komunikacji, jeżeli jest to uzasadnione ryzykiem. Przepis ten domyka logicznie wymogi z lit. b i c, wskazując, że zdolność komunikacyjna jest jednym z filarów odporności organizacyjnej.
SMSEagle odpowiada na te wymagania, dostarczając niezależny kanał komunikacji typu out-of-band, oparty o sieć GSM/LTE. Rozwiązanie to nie jest uzależnione od dostępności Internetu ani wewnętrznej infrastruktury IP organizacji.
W praktyce umożliwia ono:
Wnioskiem jest, że sprzętowa bramka SMS SMSEagle może wspierać realizację wymogów NIS2 w obszarze zarówno obsługi incydentów (art. 21 ust. 2 lit. b), zapewnienia ciągłości działania i zarządzania kryzysowego (art. 21 ust. 2 lit. c), oraz bezpiecznej komunikacji awaryjnej (art. 21 ust. 2 lit. j).
NIS2 traktuje ciągłość działania jako zdolność organizacji do funkcjonowania w warunkach zakłóceń, a nie wyłącznie jako zestaw planów i procedur odtworzeniowych. Obsługa incydentu i ciągłość działania są w dyrektywie nierozerwalnie powiązane, a komunikacja stanowi element wspólny obu tych obszarów.
Organizacja, która nie jest w stanie komunikować się i koordynować działań w trakcie incydentu, nie realizuje funkcjonalnego celu art. 21 NIS2 nawet jeżeli formalnie posiada backupy, plany DR i dokumentację ciągłości działania.
W tym kontekście rozwiązania takie jak SMSEagle mogą stanowić element wspierający realizację wybranych wymogów NIS2, w szczególności w zakresie utrzymania zdolności komunikacyjnej istotnej dla obsługi incydentów (art. 21 ust. 2 lit. b), ciągłości działania i zarządzania kryzysowego (art. 21 ust. 2 lit. c) oraz bezpiecznej komunikacji awaryjnej (art. 21 ust. 2 lit. j).
Z perspektywy NIS2 oznacza to wzmocnienie zdolności organizacji do utrzymania minimalnej, lecz kluczowej sprawności operacyjnej w trakcie incydentu, co wpisuje się w cel dyrektywy polegający na ograniczaniu skutków zakłóceń dla świadczenia usług.
Dyrektywa NIS2 (EU 2022/2555) wprowadza istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem. Odpowiedzialność organizacji nie kończy się już na własnej infrastrukturze – obejmuje ona również dostawców i usługodawców, od których zależy ciągłość działania firmy.
Dyrektywa NIS2 (2022/2555) zastępuje wcześniejsze regulacje z 2016 roku, wprowadzając ujednolicone ramy zarządzania cyberbezpieczeństwem dla podmiotów kluczowych i ważnych w Unii Europejskiej.
Celem dyrektywy NIS2 jest podniesienie poziomu cyberbezpieczeństwa oraz odporności operacyjnej organizacji świadczących usługi kluczowe i ważne dla funkcjonowania gospodarki i społeczeństwa.
