Celem dyrektywy NIS2 jest podniesienie poziomu cyberbezpieczeństwa oraz odporności operacyjnej organizacji świadczących usługi kluczowe i ważne dla funkcjonowania gospodarki i społeczeństwa.
Jednym z podstawowych elementów wskazanych w NIS2 jest uwierzytelnianie wieloskładnikowe (MFA). Dyrektywa wymienia je wprost w art. 21 jako jeden z minimalnych środków zarządzania ryzykiem cyberbezpieczeństwa, obok takich obszarów jak bezpieczeństwo łańcucha dostaw, ciągłość działania czy obsługa incydentów. Pokazuje to, że MFA jest traktowane jako istotny mechanizm ochrony dostępu do systemów i danych.
W tym artykule pokażemy, jak MFA wpisuje się w wymagania dyrektywy NIS2 oraz dlaczego sposób dostarczania dodatkowego składnika uwierzytelniania ma znaczenie z punktu widzenia odporności organizacji i bezpieczeństwa łańcucha dostaw. Wyjaśnimy również, w jaki sposób narzędzia takie jak SMSEagle pozwalają realizować MFA w sposób przewidywalny i możliwy do obrony w kontekście regulacyjnym, także w scenariuszach ograniczonej dostępności usług zewnętrznych lub internetu.
Art. 21 ust. 2 lit. j NIS2 wskazuje stosowanie MFA „w stosownych przypadkach”. To sformułowanie nie oznacza dowolności. Nakłada ono na organizacje obowiązek świadomej decyzji opartej na analizie ryzyka, a nie swobodnego wyboru.
W środowiskach, w których występują:
brak MFA istotnie zwiększa ryzyko incydentu. W takich przypadkach organizacja musi być w stanie uzasadnić zarówno wdrożenie MFA, jak i sposób jego realizacji w sposób możliwy do obrony w audycie.
Z perspektywy regulacyjnej MFA jest procesem operacyjnym, który składa się z kilku powiązanych etapów – ocenie podlega każdy z nich. Wspomniany proces obejme wytworzenie dodatkowego składnika uwierzytelniającego, jego dostarczenie do użytkownika oraz późniejszą weryfikację wraz z obsługą sytuacji wyjątkowych, takich jak opóźnienia, błędy lub niedostępność kanału komunikacyjnego.
Każdy z tych etapów może wprowadzać ryzyko, jednak w praktyce największe znaczenie ma moment dostarczenia kodu OTP. To właśnie na tym etapie najczęściej pojawiają się zależności od infrastruktury zewnętrznej, dostawców usług komunikacyjnych lub platform pośredniczących. Z punktu widzenia NIS2 oznacza to, że skuteczność MFA zależy nie tylko od samej metody uwierzytelniania, lecz również od odporności i przewidywalności całego procesu operacyjnego, który za nią stoi.
Jeżeli MFA opiera się na jednorazowych hasłach przesyłanych SMS-em, kanał ich dostarczenia staje się elementem łańcucha zależności technicznych i organizacyjnych. Na jego działanie wpływają m.in.:
Z punktu widzenia NIS2 oznacza to, że kanał OTP:
SMSEagle to sprzętowa bramka SMS i realizuje dostarczanie kodów OTP w modelu on-premise; urządzenia jest instalowane bezpośrednio w infrastrukturze organizacji. W takim podejściu generowanie oraz wysyłka jednorazowych haseł odbywają się lokalnie, a komunikacja z użytkownikiem realizowana jest bezpośrednio z urządzenia SMSEagle do sieci operatora GSM.
Istotną cechą tego modelu jest brak konieczności korzystania z zewnętrznych platform chmurowych, brokerów komunikacyjnych czy stałego dostępu do internetu. Dzięki temu proces dostarczania OTP pozostaje pod pełną kontrolą organizacji i nie wprowadza dodatkowych zależności, które mogłyby stać się punktem krytycznym w sytuacji awarii lub incydentu bezpieczeństwa. W kontekście NIS2 oznacza to uproszczenie łańcucha dostaw oraz większą przewidywalność działania mechanizmu MFA.
Z perspektywy NIS2 zastosowanie lokalnej bramki SMS w procesie MFA ma kilka istotnych konsekwencji regulacyjnych:
Dyrektywa NIS2 wymaga, aby cały mechanizm uwierzytelniania był adekwatny do poziomu ryzyka, odporny operacyjnie oraz możliwy do obrony w kontekście zależności od podmiotów trzecich. Oznacza to, że ocenie podlega nie tylko fakt istnienia MFA, lecz także sposób jego realizacji i wpływ ewentualnych awarii na dostęp do systemów.
W tym kontekście rozwiązania lokalne, takie jak SMSEagle, pełnią rolę elementu redukującego ryzyko w łańcuchu dostaw procesu MFA. Skrócenie ścieżki dostarczania OTP, ograniczenie zależności od zewnętrznych usług oraz zachowanie kontroli nad logami i danymi uwierzytelniającymi zwiększają odporność mechanizmu uwierzytelniania w scenariuszach incydentowych. Dzięki temu MFA staje się częścią odporności operacyjnej organizacji, zgodnie z intencją i literą NIS2.
Dyrektywa NIS2 (EU 2022/2555) wprowadza istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem. Odpowiedzialność organizacji nie kończy się już na własnej infrastrukturze – obejmuje ona również dostawców i usługodawców, od których zależy ciągłość działania firmy.
Dyrektywa NIS2 (2022/2555) zastępuje wcześniejsze regulacje z 2016 roku, wprowadzając ujednolicone ramy zarządzania cyberbezpieczeństwem dla podmiotów kluczowych i ważnych w Unii Europejskiej.
Celem dyrektywy NIS2 jest podniesienie poziomu cyberbezpieczeństwa oraz odporności operacyjnej organizacji świadczących usługi kluczowe i ważne dla funkcjonowania gospodarki i społeczeństwa.
