Mimo że unijny termin na wdrożenie Dyrektywy NIS2 minął 17 października 2024 roku, Polska – podobnie jak wiele krajów Unii – wciąż znajduje się w fazie wdrożeniowej. Projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa jest nadal w toku. I choć nie znamy konkretnej daty wprowadzenia go do polskiego prawodawstwa, coraz częściej słychać głosy, że ma to nastąpić w ciągu najbliższych 6 miesięcy.
Brak ustanowionych regulacji prawnych nie zwalnia jednak z odpowiedzialności, dlatego warto wcześniej przygotować swój biznes na wdrożenie dyrektywy. Wiele firm technologicznych, w tym Google, już wspiera zarówno swoich klientów, jak i europejski system cybernetyczny w dostosowaniu się do wymagań i zwiększenia bezpieczeństwa na kontynencie.
Z poniższego artykułu dowiesz się, jakie rozwiązania zostały zastosowane w chmurowych narzędziach Google, aby ułatwić ich użytkownikom osiągnięcie zgodności z dyrektywą NIS2. Pokażemy Ci też, w jaki sposób FOTC może wesprzeć Cię we wdrożeniu w Twojej organizacji znowelizowanych założeń regulacyjnych.
Czym jest NIS2?
Dyrektywa UE w sprawie bezpieczeństwa sieci i informacji 2.0 (NIS2, dyrektywa (UE) 2022/2555) to zaktualizowany akt prawny dotyczący cyberbezpieczeństwa. Zastępuje ona wcześniejszą dyrektywę NIS1 (dyrektywa (UE) 2016/1148).
Głównym jej celem jest ujednolicenie i podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Cel ten ma zostać osiągnięty poprzez rozszerzenie zakresu regulacji na większą liczbę sektorów i podmiotów, które zostały uznane za kluczowe w porównaniu do obowiązującego obecnie prawa.
Dodatkowo, NIS2 wprowadza surowsze wymogi dotyczące zarządzania ryzykiem cyberbezpieczeństwa i sprawozdawczości. Wzmacnia także mechanizmy nadzoru i egzekwowania przepisów, usprawniając współpracę i wymianę informacji zarówno na poziomie krajowym, jak i unijnym. Szczegółowo pochyliliśmy się nad tymi aspektami w artykule NIS2 – co to jest i jak zabrać się za wdrożenie.
Modele bezpieczeństwa chmury
Zanim zagłębimy się w konkretne rozwiązania Google w kontekście dostosowania do NIS2, wyjaśnijmy, czym jest model shared fate, na którym opierają się przygotowania firmy do dyrektywy.
Kluczowe dla zrozumienia podejścia Google do dostosowania klientów do dyrektywy NIS2 jest poznanie różnicy między dwoma głównymi modelami bezpieczeństwa na rynku chmur obliczeniowych. Wyróżniamy tradycyjny model „wspólnej odpowiedzialności” (shared responsibility) oraz wspomniany model „wspólnego losu” (shared fate), na którym opiera się Google.
Czym różnią się te dwa modele?
1. Model wspólnej odpowiedzialności (shared responsibility)
To klasyczne podejście można opisać prostą zasadą: dostawca chmury odpowiada za ochronę samej chmury, a klient za bezpieczeństwo wewnątrz niej.
Używając analogii – dostawca buduje solidne i bezpieczne fundamenty, ale za wszystko, co klient na nich postawi, czyli aplikacje, dane czy konfiguracje dostępu, odpowiada już sam klient. Chociaż ten podział ról jest logiczny, często pozostawia organizacje same w obliczu zagrożeń i zmieniających się przepisów.
2. Model wspólnego losu (shared fate)
Choć model współdzielonej odpowiedzialności dobrze sprawdza się w praktyce, Google poszło o krok dalej. W modelu „wspólnego losu” dostawca staje się aktywnym partnerem, który współpracuje na rzecz bezpieczeństwa klienta.
Wracając do naszej analogii: Google nie tylko zapewnia bezpieczne fundamenty swojej chmury, ale działa niczym kierownik budowy. Aktywnie pomaga klientowi w bezpiecznym prowadzeniu prac, poprzez:
- dostarczanie domyślnie bezpiecznych „materiałów” (szablonów i kodu infrastruktury);
- oferowanie gotowych „planów” (rozwiązań i architektur) na złożone wyzwania;
- bieżące ostrzeganie przed potencjalnymi błędami i ryzykiem (narzędzia analityczne).
Jak Google pomaga osiągnąć zgodność z NIS2?
W jaki więc sposób firma wspomaga swoich klientów w osiągnięciu zgodności z dyrektywą NIS2?
Szyfrowanie danych
Przede wszystkim, Google zapewnia domyślne szyfrowanie wszystkich danych klientów w spoczynku (czyli podczas przechowywania w chmurze), eliminując potrzebę dodatkowych działań po stronie użytkownika. Ponadto, dane przesyłane poza granice chmury Google są również szyfrowane i uwierzytelniane podczas transportu (przesyłania).
System powiadamiania klientów
Poza szyfrowaniem danych, Google stosuje rygorystyczny mechanizm reagowania na incydenty bezpieczeństwa. Zakłada on powiadamianie klientów o naruszeniach i szybkie podejmowanie działań w celu minimalizacji szkód. Wspomniane działanie to wynik wymogów nakładanych przez NIS2.
Dyrektywa wprowadza wielostopniowy system raportowania poważnych incydentów do odpowiednich organów krajowych:
- Wstępne zgłoszenie w ciągu 24 godzin.
- Szczegółowy raport w ciągu 72 godzin.
- Raport końcowy w ciągu miesiąca.
Aby uprościć raportowanie, Google oddaje klientom dostęp Security Command Center. To scentralizowane narzędzie służy do powiadamiania zarówno klientów, jak i odpowiednich organów, a także do bieżącego monitorowania błędów konfiguracyjnych i luk w zabezpieczeniach.
Umożliwia ono automatyczne generowanie raportów zgodności oraz łatwe przesyłanie danych do platform SIEM/SOAR, takich jak Chronicle Security Operations, co znacząco przyspiesza zgłaszanie naruszeń bezpieczeństwa.
Dodatkowo, Google wspiera klientów w ocenie ryzyka i testowaniu środowisk chmurowych pod kątem potencjalnych zagrożeń.
Nadzór, audyty i luki bezpieczeństwa
Aby spełniać standardy bezpieczeństwa i zgodność z regulacjami, Google regularnie poddaje swoje systemy i procesy niezależnym audytom zewnętrznym. Obejmują one między innymi zarządzanie bezpieczeństwem informacji (ISO/IEC 27001), kontrolę usług (SOC 2) oraz transparentność raportowania kontroli organizacji (SOC 3).
Wszystkie przeprowadzone audyty oraz uzyskane certyfikaty bezpieczeństwa są dostępne publicznie. Umożliwia to zarówno użytkownikom, jak i potencjalnym partnerom na niezależną ocenę zaangażowania Google w zapewnienie bezpieczeństwa danych.
Cyberbezpieczeństwo podwykonawców
Dyrektywa NIS2 kładzie duży nacisk na weryfikację bezpieczeństwa całego łańcucha dostaw. Google stara się to zapewnić na trzech poziomach: od własnego personelu, przez infrastrukturę, aż po partnera wdrożeniowego.
- Personel Google – pracownicy Google przechodzą rygorystyczne weryfikacje oraz regularne, obowiązkowe szkolenia z bezpieczeństwa.
- Infrastruktura i poddostawcy – Google skrupulatnie audytuje podwykonawców, którzy wspierają globalną infrastrukturę, zapewniając jej integralność i bezpieczeństwo.
- Certyfikowany partner wdrożeniowy – decydując się na wdrożenie z certyfikowanym partnerem, takim jak FOTC, masz pewność, że sam proces migracji, konfiguracji i wsparcia również spełnia najwyższe standardy bezpieczeństwa.
W ten sposób łańcuch dostaw jest w pełni zabezpieczony, co stanowi kompleksową odpowiedź na kluczowe wymogi dyrektywy NIS2.
Wsparcie doradcze i szkoleniowe
NIS2 wprowadza zmiany w kwestii odpowiedzialności za zarządzanie ryzykiem w cyberprzestrzeni. Od momentu wprowadzenia dyrektywy, to kadra menedżerska jest zobowiązana do zatwierdzania planów cyberbezpieczeństwa, nadzorowania ich realizacji oraz uczestnictwa w szkoleniach.
Aby wspomóc firmy w spełnianiu tych wymogów, FOTC oferuje kompleksowe szkolenia, których celem jest podniesienie świadomości oraz umiejętności w zakresie ochrony przed cyberzagrożeniami.
Szkolenia są przeznaczone zarówno dla administratorów, jak i użytkowników. Administratorzy dowiedzą się, jak zabezpieczyć firmę przed wyciekiem danych i atakami, a użytkownicy nauczą się rozpoznawać zagrożenia i chronić swoje konta podczas codziennej pracy.
Warsztatowy charakter szkoleń pozwala uczestnikom na natychmiastowe wykorzystanie nowo zdobytej wiedzy w praktyce. Program jest oparty na analizie prawdziwych ataków i prób wyłudzenia, co umożliwia przećwiczenie najbardziej realistycznych scenariuszy.
Twoja rola w przygotowaniu się do dyrektywy
Pamiętaj, że chociaż infrastruktura Google Cloud i narzędzia jakie oferuje Google Workspace są zaprojektowane zgodnie z wymogami NIS2, sama zgodność nie kończy się na integracji ze środowiskiem Google.
Oznacza to, że musisz przygotować użytkowników i informacje wewnątrz swojej organizacji do zgodności z NIS2 według dokumentacji Google i wymagań dyrektywy. Celem certyfikowanych partnerów Google, jak i samego producenta, jest wskazanie Ci kierunku i dostarczenie niezbędnych informacji, które stanowią punkt wyjścia do osiągnięcia zgodności z przepisami.
Zadbaj o zgodność z NIS2 z pomocą ekspertów
Czujesz się przytłoczony złożonością dyrektywy NIS2 i nie wiesz, od czego zacząć? Nie musisz przechodzić przez to w samotności. Specjaliści FOTC pomogą Ci wykorzystać pełen potencjał chmury Google,aby Twoja firma była w pełni zgodna z nowymi przepisami i odporna na cyberzagrożenia.
Jeśli chodzi o zgodność z NIS2, możemy wesprzeć Twoją firmę w takich obszarach, jak m.in.:
- Bezpieczna migracja i wdrożenie Google Workspace z szyfrowaniem danych i gwarancją ciągłości działania (SLA).
- Ciągły monitoring bezpieczeństwa 24/7 i natychmiastowe reagowanie na incydenty w Twojej organizacji.
- Szczegółowe audyty bezpieczeństwa, które identyfikują i eliminują potencjalne luki w konfiguracji Google Workspace.
- Praktyczne szkolenia dla administratorów i pracowników, podnoszące świadomość i umiejętności w zakresie cyberbezpieczeństwa.