Dyrektywa NIS2 (EU 2022/2555) wprowadza istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem. Odpowiedzialność organizacji nie kończy się już na własnej infrastrukturze – obejmuje ona również dostawców i usługodawców, od których zależy ciągłość działania firmy.
W praktyce redukcja ryzyka w łańcuchu dostaw polega na zmniejszaniu krytycznych zależności od firm trzecich. Celem jest taka organizacja systemów, aby awaria lub atak u dostawcy nie zablokowały podstawowych procesów reagowania w organizacji.
Przykład: jeśli organizacja korzysta z zewnętrznego systemu w chmurze do wysyłki powiadomień, to w przypadku ataku typu DDoS połączenie może zostać zerwane. Z perspektywy NIS2 problemem nie jest samo korzystanie z takiej usługi, lecz brak alternatywnego kanału, co uniemożliwia uruchomienie procedur ratunkowych.
Artykuł 21 NIS2 wprost wskazuje bezpieczeństwo łańcucha dostaw jako obowiązkowy element zarządzania ryzykiem. Dyrektywa wymienia je jako jeden z minimalnych środków, które organizacja musi wdrożyć:
„supply chain security, including security-related aspects concerning the relationships between each entity and its direct suppliers or service providers”
— Art. 21 ust. 2 lit. d NIS2
Przepisy idą jednak krok dalej. Artykuł 21 wskazuje, że nie chodzi wyłącznie o formalne relacje z dostawcami, ale o realną ocenę ryzyka, jaka z nich wynika:
„entities shall take into account the vulnerabilities specific to each direct supplier or service provider and the overall quality of their cybersecurity practices”
— Art. 21 ust. 3 NIS2
W obszarze komunikacji oznacza to, że im więcej pośredników uczestniczy w przesyłaniu informacji (np. platforma → agregator → podwykonawca → operator), tym trudniej jest:
Podczas weryfikacji zgodności z przepisami najczęściej wskazuje się na trzy problemy:
Brak przejrzystości
Trudno jednoznacznie określić, kto dokładnie uczestniczy w dostarczaniu komunikatu i gdzie przetwarzane są dane (logi, treści alertów).
Ryzyko kaskadowe
Awaria u jednego dostawcy może jednocześnie dotknąć bardzo wielu klientów, paraliżując cały ekosystem usług.
Całkowita zależność od sieci IP
Większość narzędzi komunikacyjnych wymaga dostępu do internetu i usług tożsamości. W przypadku poważnego ataku (np. ransomware), gdy konieczne jest odcięcie sieci, te narzędzia stają się bezużyteczne.
Przykład: system alarmowy formalnie „istnieje”, ale do jego uruchomienia wymagane jest logowanie do panelu SaaS przez SSO. W momencie izolacji sieci organizacja traci możliwość powiadomienia zespołów reagowania.
Dyrektywa NIS2 nie nakazuje rezygnacji z dostawców zewnętrznych. Wymaga jednak wdrożenia środków proporcjonalnych do ryzyka. W komunikacji kryzysowej oznacza to najczęściej:
Artykuł 22 umożliwia ocenę ryzyka w krytycznych łańcuchach dostaw na poziomie całej Unii. Artykuł 25 z kolei wzmacnia perspektywę audytową, wskazując, że wdrożone środki powinny być spójne i możliwe do porównania:
„Member States shall encourage the use of European and international standards and technical specifications relevant to the security of network and information systems”
— Art. 25 NIS2
Dla organizacji jest to jasny sygnał: w audycie liczy się nie tylko „co wdrożono”, ale czy da się to sensownie opisać, udokumentować i obronić jako adekwatne do ryzyka.
Rozwiązania instalowane lokalnie (on–premise), takie jak bramki SMSEagle, wpisują się w strategię redukcji ryzyka w łańcuchu dostaw poprzez ograniczenie zależności od zewnętrznych, wielowarstwowych usług komunikacyjnych oraz odzyskanie kontroli nad krytycznym kanałem alarmowym.
W praktyce oznacza to:
Przykład: podczas incydentu bezpieczeństwa organizacja podejmuje decyzję o odcięciu części infrastruktury IT od sieci zewnętrznej. Systemy biznesowe, poczta i komunikatory są niedostępne, jednak lokalna bramka SMS nadal funkcjonuje i umożliwia natychmiastowe powiadomienie zespołu technicznego lub osób dyżurnych. Dzięki temu procedura reagowania może zostać uruchomiona bez opóźnień, mimo ograniczeń po stronie infrastruktury IP.
Dyrektywa NIS2 w sposób jednoznaczny przesuwa odpowiedzialność za cyberbezpieczeństwo poza granice własnej infrastruktury organizacji, czyniąc bezpieczeństwo łańcucha dostaw integralnym elementem zarządzania ryzykiem. Artykuł 21 jasno wskazuje, że relacje z dostawcami i usługodawcami – w tym dostawcami usług komunikacyjnych – muszą być oceniane pod kątem podatności, jakości praktyk bezpieczeństwa oraz wpływu na ciągłość działania. Oznacza to, że ryzyko wynikające z nadmiernej zależności od podmiotów trzecich nie może być traktowane jako problem „po stronie dostawcy”, lecz jako realne ryzyko operacyjne organizacji.
W kontekście komunikacji kryzysowej kluczowym źródłem ryzyka pozostaje długość i złożoność łańcucha pośredników oraz pełna zależność od sieci IP i usług chmurowych. Im więcej ogniw bierze udział w dostarczeniu komunikatu, tym większe prawdopodobieństwo, że incydent po stronie jednego z dostawców uniemożliwi uruchomienie procedur reagowania w krytycznym momencie.
Właśnie w tym obszarze rozwiązania działające lokalnie, takie jak SMSEagle, stanowią praktyczny element strategii redukcji ryzyka w łańcuchu dostaw. Skracając łańcuch zależności, eliminując pośredników chmurowych i zapewniając niezależność od publicznej sieci internetowej, umożliwiają utrzymanie kluczowego kanału alarmowego nawet w scenariuszach poważnych incydentów i izolacji sieci. Jednocześnie pełna kontrola nad danymi i logami ułatwia spełnienie wymogów rozliczalności i obronę przyjętych rozwiązań w audycie. W efekcie SMSEagle nie jest jedynie narzędziem technicznym, lecz elementem dojrzałego podejścia do zarządzania ryzykiem komunikacyjnym w duchu wymagań NIS2.
Dyrektywa NIS2 (EU 2022/2555) wprowadza istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem. Odpowiedzialność organizacji nie kończy się już na własnej infrastrukturze – obejmuje ona również dostawców i usługodawców, od których zależy ciągłość działania firmy.
Dyrektywa NIS2 (2022/2555) zastępuje wcześniejsze regulacje z 2016 roku, wprowadzając ujednolicone ramy zarządzania cyberbezpieczeństwem dla podmiotów kluczowych i ważnych w Unii Europejskiej.
Celem dyrektywy NIS2 jest podniesienie poziomu cyberbezpieczeństwa oraz odporności operacyjnej organizacji świadczących usługi kluczowe i ważne dla funkcjonowania gospodarki i społeczeństwa.
