Dyrektywa NIS2 (2022/2555) zastępuje wcześniejsze regulacje z 2016 roku, wprowadzając ujednolicone ramy zarządzania cyberbezpieczeństwem dla podmiotów kluczowych i ważnych w Unii Europejskiej.
Jednym z podstawowych wymogów operacyjnych jest Artykuł 23, który określa harmonogram i zakres raportowania incydentów bezpieczeństwa do właściwych organów oraz zespołów CSIRT.
W praktyce realizacja tych obowiązków może być utrudniona w sytuacjach, w których standardowe kanały komunikacji oparte na protokole IP ulegają degradacji lub celowej izolacji, np. w wyniku ataków DDoS, incydentów ransomware lub awarii usług bazowych (DNS, Active Directory). Artykuł analizuje, w jaki sposób dodatkowe kanały komunikacji Out-of-Band (OOB) takie jak SMSEagle mogą wspierać odporność procesów raportowania.
Artykuł 23 nakłada na podmioty objęte dyrektywą obowiązek zgłaszania incydentów, które mają istotny wpływ na świadczenie usług. Zgodnie z ust. 3, za istotny uznaje się incydent, który wywołał lub może wywołać poważne zakłócenia operacyjne, straty finansowe lub znaczną szkodę u odbiorców usług.
Proces raportowania (ust. 4) obejmuje trzy etapy:
Dyrektywa nie narzuca konkretnego kanału technicznego raportowania. Kluczowe znaczenie ma wykazanie, że działania były podejmowane bez zbędnej zwłoki oraz w sposób adekwatny do charakteru i skali incydentu.
W praktyce reagowania na incydenty o wysokiej dotkliwości organizacje często stosują środki, które czasowo ograniczają dostępność sieci IP. Do najczęstszych scenariuszy należą:
W takich warunkach system raportowania oparty wyłącznie na kanałach IP może wykazywać ograniczoną odporność operacyjną, co zwiększa ryzyko opóźnień w realizacji obowiązków wynikających z Art. 23. Nie oznacza to naruszenia dyrektywy per se, lecz potencjalny obszar ryzyka, który może zostać oceniony przez organy nadzorcze w ramach kontroli poincydentalnej.
Jednym ze sposobów ograniczenia ryzyka operacyjnego jest zastosowanie dodatkowych kanałów komunikacji Out-of-Band, które nie współdzielą infrastruktury z siecią IP. Przykładem jest wykorzystanie sieci 4G/5G i korzystających z nich sprzętowych bramek SMS takich jak SMSEagle.
Kanały OOB mogą pełnić funkcję uzupełniającą, w szczególności w zakresie:
Należy podkreślić, że komunikacja OOB nie zastępuje formalnych kanałów raportowania do CSIRT, które są określane przez regulacje krajowe, lecz może wspierać terminowe uruchomienie tych procedur
Artykuł 23 ust. 2 nakłada obowiązek informowania odbiorców usług o incydentach oraz środkach zaradczych, które mogą oni podjąć. W sytuacjach, w których standardowe kanały (strona WWW, e-mail) są niedostępne, alternatywne formy komunikacji mogą umożliwić realizację tego obowiązku „bez zbędnej zwłoki”.
Kanały OOB, podobnie jak komunikacja głosowa czy procedury manualne, mogą stanowić jedno z narzędzi wspierających ten proces, w zależności od charakteru działalności i profilu ryzyka organizacji.
Dyrektywa NIS2 kładzie istotny nacisk na możliwość udokumentowania przebiegu zdarzeń oraz działań podjętych w odpowiedzi na incydent. W tym kontekście:
tworzą spójny materiał dowodowy oceniany przez audytorów.
Znaczniki czasu generowane przez niezależne kanały komunikacyjne (np. sieć operatora GSM) mogą stanowić element uzupełniający, wspierający rekonstrukcję osi czasu zdarzeń, pod warunkiem ich spójności z dokumentacją procesową i procedurami Incident Response. Same w sobie nie przesądzają jednak o spełnieniu obowiązków raportowych.
SMSEagle odpowiada na te wymagania, dostarczając niezależny kanał komunikacji typu Out-of-Band, oparty o sieć GSM/LTE. Rozwiązanie to nie jest uzależnione od dostępności Internetu ani wewnętrznej infrastruktury IP organizacji.
W praktyce umożliwia ono:
Wnioskiem jest, że sprzętowa bramka SMS SMSEagle może wspierać realizację wymogów NIS2 w obszarze zarówno obsługi incydentów (art. 21 ust. 2 lit. b), zapewnienia ciągłości działania i zarządzania kryzysowego (art. 21 ust. 2 lit. c), oraz bezpiecznej komunikacji awaryjnej (art. 21 ust. 2 lit. j).
Realizacja obowiązków wynikających z Artykułu 23 NIS2 wymaga nie tylko znajomości wymogów prawnych, lecz także odporności procesów organizacyjnych na scenariusze awaryjne. Dyrektywa nie narzuca konkretnych rozwiązań technicznych, lecz oczekuje, że podmioty będą w stanie wykazać adekwatność i terminowość swoich działań.
Zastosowanie dodatkowych kanałów komunikacji Out-of-Band, w tym rozwiązań instalowanych lokalnie i opartych na sieci 4G/5G, może stanowić jeden z elementów strategii zarządzania ryzykiem i ciągłością raportowania, obok procedur organizacyjnych, komunikacji głosowej oraz alternatywnych ścieżek decyzyjnych. Kluczowe pozostaje ich właściwe osadzenie w całościowym systemie zarządzania bezpieczeństwem informacji.
Dyrektywa NIS2 (EU 2022/2555) wprowadza istotne zmiany w podejściu do zarządzania cyberbezpieczeństwem. Odpowiedzialność organizacji nie kończy się już na własnej infrastrukturze – obejmuje ona również dostawców i usługodawców, od których zależy ciągłość działania firmy.
Dyrektywa NIS2 (2022/2555) zastępuje wcześniejsze regulacje z 2016 roku, wprowadzając ujednolicone ramy zarządzania cyberbezpieczeństwem dla podmiotów kluczowych i ważnych w Unii Europejskiej.
Celem dyrektywy NIS2 jest podniesienie poziomu cyberbezpieczeństwa oraz odporności operacyjnej organizacji świadczących usługi kluczowe i ważne dla funkcjonowania gospodarki i społeczeństwa.
