Dyrektywa NIS2 w rozwiązaniach kontroli dostępu oraz w systemach do monitorowania i wizualizacji bezpieczeństwa
Dyrektywa NIS2 (ang. Network and Information Security Directive), której termin implementacji został wyznaczony na 17 października 2024 roku, stanowi nowelizację dyrektywy NIS z 2016 roku. Wprowadza ona nowe podejście do cyberbezpieczeństwa, rozszerzając zakres podmiotów i branż objętych jej wymogami. Dodatkowo, zgodnie z załącznikami I i II, dyrektywa ta dzieli je na podmioty kluczowe, do których zalicza się takie branże jak: energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, gospodarka wodno-ściekowa, infrastruktura cyfrowa, zarządzanie usługami technologii informacyjnych i komunikacyjnych (ICT), administracja publiczna i przestrzeń kosmiczna, jak i również podmioty ważne, do których należą m.in. usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja i dystrybucja chemikaliów oraz żywności, ogólnie pojęta produkcja, usługi cyfrowe oraz badania naukowe.
Każde z państw Unii Europejskiej (UE) jest zobowiązane do ustanowienia własnego wykazu przedsiębiorstw kluczowych i ważnych na bazie wytycznych dyrektywy. Dyrektywa NIS2 nakłada na ww. podmioty obowiązek wdrożenia rozwiązań w zakresie analizy i zarządzania ryzykiem, tworzenia polityki bezpieczeństwa, obsługi incydentów, zabezpieczenia łańcucha dostaw oraz opracowania planu ciągłości działań. Państwa członkowskie UE są z kolei zobowiązane do utworzenia organów, których zadaniem jest m.in. kontrola i audyty podmiotów objętych dyrektywą, przyjmowanie zgłoszeń o incydentach oraz koordynacja działań w zakresie cyberbezpieczeństwa na szczeblu krajowym i unijnym. Dyrektywa przewiduje również wysokie kary finansowe dla podmiotów nierealizujących podane w niej wymogi.
Dyrektywa NIS2 nie odnosi się bezpośrednio ani do systemów kontroli dostępu (KD), ani do monitorowania i wizualizacji systemów bezpieczeństwa w obiektach, typu SMS (ang. Security Management System). Niemniej zgodnie z ustępem 79 w zakresie zarządzania bezpieczeństwem wymagane jest uwzględnienie takich zagrożeń, jak m.in. kradzież, pożar oraz nieuprawniony dostęp fizyczny do infrastruktury informatycznej. W takim układzie prawidłowo funkcjonujący system kontroli dostępu o odpowiednim poziomie zabezpieczeń jest istotny w zakresie przeciwdziałania temu, by osoby niepożądane mogły swobodnie poruszać się po obiekcie, dokonywać kradzieży środków (np. laptopa) umożliwiających dostęp do sieci informatycznej, doprowadzić do uszkodzenia kluczowych elementów infrastruktury czy też podsłuchiwać komunikację, wpinając się do sieci informatycznej. Z kolei zastosowanie systemu do monitorowania i wizualizacji zagrożeń na mapach ułatwia detekcję oraz sprawną reakcję w sytuacjach awaryjnych.
Do oceny jakości oraz poziomu bezpieczeństwa oferowanego przez dane rozwiązanie najlepiej posłużyć się obowiązującymi normami. Systemy KD podlegają normie PN-EN 60839-11, która definiuje 4 stopnie zabezpieczenia (tzw. grade). System RACS 5 umożliwia spełnienie wymogów dla wszystkich stopni, w tym również dla stopnia czwartego. Dodatkowo system RACS 5 oferuje takie funkcjonalności w zakresie cyberbezpieczeństwa jak:
- obsługa kart zbliżeniowych w technologii MIFARE® DESFire®, na których dane są szyfrowane niezłamanym do tej pory systemem szyfrowania;
- szyfrowanie we wszystkich torach komunikacji systemu (m.in. AES128CBC, TLS 1.2);
- kontrolowanie wielopoziomowego dostępu do oprogramowania zarządzającego przez operatorów.
Oferowany przez firmę Roger system kontroli dostępu RACS 5 oraz system do monitorowania i wizualizacji VISO SMS mogą być stosowane zarówno przez podmioty krytyczne, jak i ważne, umożliwiając realizację wymogów dyrektywy NIS2 w zakresie podniesienia poziomu zabezpieczenia systemów informatycznych, zwłaszcza w odniesieniu do fizycznego dostępu do infrastruktury krytycznej oraz monitorowania zagrożeń.