Dyrektywa NIS2 a rozwiązania do kontroli dostępu, monitorowania i wizualizacji systemów bezpieczeństwa
Dyrektywa NIS2 wprowadza nowe podejście do cyberbezpieczeństwa, rozszerzając zakres podmiotów i branż objętych wymaganiami dyrektywy. Ponadto zgodnie z załącznikami I i II dyrektywa ta dzieli je na podmioty kluczowe (do których zalicza się firmy działające w takich branżach jak energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, gospodarka wodno-ściekowa, infrastruktura cyfrowa, zarządzanie usługami technologii informacyjnych i komunikacyjnych – ICT, administracja publiczna i przestrzeń kosmiczna) oraz podmioty ważne, do których należą m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów oraz żywności, ogólnie pojęta produkcja, usługi cyfrowe oraz badania naukowe.
Każde z państw Unii Europejskiej (UE) jest zobowiązane do ustanowienia własnego wykazu przedsiębiorstw kluczowych i ważnych na bazie wytycznych dyrektywy. Dyrektywa NIS2 nakłada na takie podmioty obowiązek wdrożenia rozwiązań w zakresie analizy i zarządzania ryzykiem, tworzenia polityki bezpieczeństwa, obsługi incydentów, zabezpieczenia łańcucha dostaw oraz opracowania planu ciągłości działań.
Państwa członkowskie UE są z kolei zobowiązane do powołania organów, których zadaniem jest m.in. kontrola i audyty podmiotów objętych dyrektywą, przyjmowanie zgłoszeń o incydentach oraz koordynacja działań w zakresie cyberbezpieczeństwa na szczeblach krajowym i unijnym. Dyrektywa przewiduje również wysokie kary finansowe dla podmiotów nierealizujących podane w niej wymogi.
Dyrektywa NIS2 nie odnosi się bezpośrednio ani do systemów kontroli dostępu (KD), ani do monitorowania i wizualizacji systemów bezpieczeństwa w obiektach, typu SMS (Security Management System). Niemniej, zgodnie z ustępem 79, w zakresie zarządzania bezpieczeństwem wymagane jest uwzględnienie takich zagrożeń, jak m.in. kradzież, pożar oraz nieuprawniony dostęp fizyczny do infrastruktury informatycznej. W takim układzie prawidłowo funkcjonujący system kontroli dostępu o odpowiednim poziomie zabezpieczeń jest istotny w zakresie przeciwdziałania temu, by osoby niepożądane mogły swobodnie poruszać się po obiekcie, dokonywać kradzieży środków (np. laptopa) umożliwiających dostęp do sieci informatycznej, doprowadzić do uszkodzenia kluczowych elementów infrastruktury czy też podsłuchiwać komunikację, wpinając się do sieci informatycznej. Z kolei zastosowanie systemu do monitorowania i wizualizacji zagrożeń na mapach ułatwia detekcję oraz sprawną reakcję w sytuacjach awaryjnych.
Do oceny jakości i poziomu bezpieczeństwa oferowanego przez dane rozwiązanie najlepiej posłużyć się obowiązującymi normami. Systemy KD podlegają normie PN-EN 60839-11, która definiuje 4 stopnie zabezpieczenia. System RACS 5 umożliwia spełnienie wymogów dla wszystkich stopni, w tym również dla stopnia czwartego. Ponadto system RACS 5 oferuje takie funkcjonalności w zakresie cyberbezpieczeństwa, jak:
- obsługa kart zbliżeniowych w technologii MIFARE® DESFire®, na których dane są szyfrowane niezłamanym do tej pory systemem szyfrowania;
- szyfrowanie we wszystkich torach komunikacji systemu (m.in. AES128CBC, TLS 1.2);
- kontrolowanie wielopoziomowego dostępu do oprogramowania zarządzającego przez operatorów.
Oferowane przez firmę Roger system kontroli dostępu RACS 5 oraz system do monitorowania i wizualizacji VISO SMS mogą być stosowane przez podmioty zarówno krytyczne, jak i ważne, umożliwiając realizację wymogów dyrektywy NIS2 w zakresie podniesienia poziomu zabezpieczenia systemów informatycznych, zwłaszcza w odniesieniu do fizycznego dostępu do infrastruktury krytycznej i monitorowania zagrożeń. ⦁
Roger
Gościszewo 59, 82-400 Sztum
roger@roger.pl
www.roger.pl