Pomagamy Ci przygotować się do CRA i NIS2

Dlaczego wybór producenta traktującego cyberbezpieczeństwo poważnie, ma kluczowe znaczenie dla Twojej spółki

Cyberbezpieczeństwo to gorący temat dla kierowników spółki, nic więc dziwnego, że Unia Europejska stara się zmniejszyć ryzyko cyberataków na organizacje. Jej najnowsze dążenia koncentrują się na dwóch dyrektywach: Ustawie o odporności cybernetycznej (CRA) oraz Dyrektywie w zakresie bezpieczeństwa sieci i informacji, wydanie 2 (NIS2). Kierownicy spółki, którzy obecnie dokonują kontroli przestrzegania przepisów, dobrze zrobiliby współpracując z producentami, takimi jak Hanwha Vision, którzy są zaangażowani w cyberbezpieczeństwo i wyprzedzają konkurencję w spełnianiu dyrektyw NIS2 i CRA.

Parlament Europejski i Rada Europejska od dawna podchodzą z ostrożnością do kwestii wykorzystywania i ochrony danych, zwłaszcza danych osobowych. Jednak wraz z rosnącą cyberprzestępczością i coraz większymi możliwościami niewłaściwego wykorzystania sieci i podłączonych urządzeń przez podmioty przestępcze, które rosną gwałtownie wraz z platformami technologicznymi, prawodawcy wzmacniają cyberobronę państw członkowskich UE i organizacji, które w nich działają.

Agencja Unii Europejskiej ds. cyberbezpieczeństwa, ENISA, twierdzi, że pojawiają się nowe zagrożenia dla cyberbezpieczeństwa ze względu na dużą ilość danych, które urządzenia mogą teraz gromadzić i postępy w sztucznej inteligencji, sprawiając, że cyberataki stają się bardziej złożone i skalowalne, ukierunkowane na łańcuch dostaw (incydenty z udziałem stron trzecich będą stanowić 17% naruszeń w 2021 r., w porównaniu z mniej niż 1% w 2020 r.) oraz urządzenia Internetu rzeczy (IoT), które są wykorzystywane jako bramy do większych ataków. W tym kontekście pojawia się nowa dyrektywa CRA i zamiana pierwotnej dyrektywy NIS, która bezpośrednio reaguje na nowe zagrożenia.

Dyrektywa NIS2

Dyrektywa NIS2 została przyjęta przez Parlament Europejski i Radę w grudniu 2020 r. Daje ona państwom członkowskim czas do października 2024 r. na wdrożenie wymogów NIS2 do ustawodawstwa krajowego. Dyrektywa ma na celu poprawę cyberbezpieczeństwa sieci i systemów informatycznych w całej UE.

Ma ona zastosowanie zarówno do operatorów usług kluczowych (OES), jak i dostawców usług cyfrowych (DSP) – kluczem do zrozumienia obowiązków organizacji jest określenie, do której kategorii należy. OES świadczą usługi o zasadniczym znaczeniu dla gospodarki lub społeczeństwa i obejmują przedsiębiorstwa energetyczne, transport, bankowość i opiekę zdrowotną. DSP świadczą usługi online dla dużej liczby użytkowników i obejmują wyszukiwarki, platformy mediów społecznościowych i rynki internetowe. Hanwha Vision jest definiowana jako producent technologii wizyjnej i DSP.

Pierwsza dyrektywa NIS koncentrowała się wyłącznie na OES, ale biorąc pod uwagę rosnące rozpowszechnienie usług cyfrowych, które mogą być słabym ogniwem wykorzystywanym przez podmioty przestępcze, dyrektywa NIS2 rozszerza wymogi na dostawców DSP. Zapewnia ona, że DSP podejmują odpowiednie środki w celu zarządzania ryzykiem, na które narażone są ich sieci i systemy informatyczne.

Dostawcy DSP będą zobowiązani do:

  • Przestrzegania w pełni ustawy o cyberodporności.
  • Przeprowadzania regularnych ocen ryzyka w celu identyfikacji i oceny zagrożeń dla ich sieci i systemów informatycznych.
  • Wdrażania odpowiednich środków bezpieczeństwa w celu ograniczenia ryzyka zidentyfikowanego w ocenie ryzyka.
  • Zgłaszania incydentów cyberbezpieczeństwa odpowiednim organom krajowym.
  • Współpracy z odpowiednimi organami krajowymi w przypadku wystąpienia incydentu cyberbezpieczeństwa.

Dyrektywa NIS2 jest pozytywnym krokiem dla sektora wideo; zapewnia, że każdy producent, który chce prowadzić działalność w państwach członkowskich UE, musi przestrzegać odpowiednich przepisów. Zabezpieczenie sieci z różnymi urządzeniami i usługami wymaga aktywnego udziału całego łańcucha dostaw. Dyrektywa NIS2 znacznie to ułatwia. Co więcej, kamery mogą stanowić zagrożenie, jeśli nie pochodzą od renomowanych producentów, nie tylko ze względu na gromadzone dane (które mogą być wrażliwe i osobiste), ale także jako brama do większego cyberataku. Ponieważ sieci stają się coraz większe i bardziej złożone, zwłaszcza w miarę rozwoju inteligentnych miast, mocne cyberbezpieczeństwo w całym łańcuchu dostaw staje się kluczowe.

Przygotowanie do dyrektywy NIS2

Najlepszym sposobem na zabezpieczenie organizacji na przyszłość jest współpraca wyłącznie z dostawcami, którzy są gotowi do zapewnienia zgodności z dyrektywą NIS2 i stosują najlepsze możliwe metody w zakresie cyberbezpieczeństwa. Chociaż dokładne wymagania nie zostały jeszcze wprowadzone przez UE, obecnie bezpieczne jest dążenie do zgodności z ustawą CRA, ponieważ istnieje duże prawdopodobieństwo, że producent, który spełnia wymogi CRA, będzie również spełniał wymogi NIS2.

Przestrzeganie przepisów CRA

Wraz z rosnącą liczbą inteligentnych urządzeń w spółkach i domach, Komisja Europejska chce zapewnić odpowiedni poziom cyberbezpieczeństwa dla każdego produktu używanego w państwach członkowskich oraz regularne aktualizacje zabezpieczeń przez cały okres użytkowania produktu. Oznaczenie CE pojawi się na każdym produkcie lub oprogramowaniu spełniającym wymogi, aby pomóc kierownikom spółek i konsumentom zidentyfikować właściwe produkty. CRA ma zastosowanie do produktów, które są podłączone do Internetu, takich jak inteligentne telewizory, routery WiFi, inteligentne lodówki i kamery wideo.

Chociaż w Parlamencie Europejskim i Radzie ustawa ta jest przedmiotem dyskusji i prawdopodobnie wejdzie w życie najwcześniej w 2024 r., Hanwha Vision już teraz przestrzega wytycznych określonych w CRA dzięki kompleksowym procesom cyberbezpieczeństwa, które wdrożyła. Zapewnia ona, że DSP podejmują odpowiednie środki w celu zarządzania ryzykiem, na które narażone są ich sieci i systemy informatyczne.

Sprzedawcy muszą również wykazać, że przeprowadzają regularne oceny ryzyka w celu identyfikacji, oceny i ograniczania wszelkich zagrożeń dla swojej sieci. Działania te są regularnie przeprowadzane przez zespół S-CERT (Security-Computer Emergency Response Team) Hanwha Vision, w tym testy penetracyjne i kontrola bezpieczeństwa.

Wszystkie produkty Hanwha Vision zostały zaprojektowane i opracowane z myślą o bezpieczeństwie i posiadają certyfikat UL CAP w ramach zaawansowanego systemu na chipie Wisenet 7 (SoC). Celem dalszej poprawy bezpieczeństwa wszystkich swoich użytkowników, Hanwha Vision regularnie ujawnia potencjalne zagrożenia i luki w zabezpieczeniach w ramach swojej polityki otwartego ujawniania informacji i zapewnia użytkownikom informacje o funkcjach bezpieczeństwa swoich produktów oraz o tym, jak z nich korzystać.

Wierzchołek góry lodowej cyberbezpieczeństwa

Najnowsze kroki legislacyjne UE są częścią szerszego dążenia do wspierania odporności cybernetycznej poprzez kształtowanie polityki, dotacje na innowacje i inne środki. Komisja Europejska wyraźnie koncentruje się na zabezpieczaniu produktów i usług przed cyberatakami, a współpraca z producentami kładącymi duży nacisk na cyberbezpieczeństwo w projektowaniu swoich produktów, pomoże organizacjom w przyszłości zabezpieczyć ich działalność w Europie.

Z tego względu ważne jest, aby użytkownicy wybierali producenta wideo, który wykracza poza swoje obowiązki w zakresie zabezpieczania swoich produktów i oprogramowania – cyberbezpieczeństwo nie jest obszarem, w którym „wystarczająco dobre” wystarczy. Ryzyko i koszty związane z wyciekiem danych są zbyt wysokie, aby uzasadnić wybór kamer o niskiej jakości cyberbezpieczeństwa. Współpraca z producentem nieustannie poszukującym nowych zagrożeń i luk w zabezpieczeniach zapewni, że Twój system wideo będzie wyprzedzał konkurencję pod względem dotrzymywania przepisów.

Znaczenie certyfikatów i zasad

Jeżeli chcesz mieć pewność, że sieć wideo jest tak bezpieczna w cyberprzestrzeni, jak to tylko możliwe, podczas dokonywania wyboru należy zwrócić uwagę na kilka „znaków zaufania” producenta. Musisz otrzymać wyraźne dowody jego zaangażowania w promowanie cyberbezpieczeństwa, nie tylko w projektowaniu produktów, ale także we wszystkich działaniach, kulturze, a nawet w obszarze kierownictwa myślowego. Zasady bezpieczeństwa, w tym reagowanie na luki w zabezpieczeniach i reagowanie na incydenty/zgłaszanie incydentów, to podstawowe wymogi.

Certyfikaty, w tym UL CAP (UL Cybersecurity Assurance Program) i zgodność z NDAA (National Defense Authorization Act) lub akredytacje, takie jak brytyjski program Cyber Essentials, mogą zapewnić dalsze bezpieczeństwo. Ponieważ dotrzymywanie przepisów NDAA wymaga, aby firmy produkcyjne nie produkowały ani nie używały chipów krzemowych i innych komponentów z krajów znajdujących się na czarnej liście, może to być ważnym wskaźnikiem cyberodporności łańcucha dostaw producenta.

Co więcej, dzielenie się wiedzą i zasobami, a także współtworzenie bazy podatności CVE (Hanwha Vision jest partnerem programu CVE), może świadczyć o długoterminowym zaangażowaniu w poprawę cyberbezpieczeństwa. Hanwha Vision jest dumna z tego, że od wielu lat udoskonala środki bezpieczeństwa i przyczynia się do najlepszych rozwiązań w zakresie cyberbezpieczeństwa w Wielkiej Brytanii i Europie.

Marka zaufania w przyszłości?

Podobnie jak przestrzeganie NDAA, CRA i NIS2 stają się kolejnym punktem, który organy decyzyjne mogą wykorzystać do oceny zaangażowania producenta w cyberbezpieczeństwo. Poszukiwanie dostawców mających proaktywne podejście i wieloaspektową strategię zabezpieczania produktów, przyniesie Ci korzyści w dłuższej perspektywie, ponieważ cyberataki stają się coraz częstsze, bardziej złożone i kosztowne. Masz swobodę i elastyczność inwestowania w najlepsze rozwiązania CCTV dla organizacji bez wkładania słabego ogniwa w Twoją sieć.