Najčešće tehničke pogreške u pripremi za NIS2
NIS2 donosi znatno širi obuhvat i strože zahtjeve od prethodne direktive te predstavlja najveću promjenu u području kibernetičke sigurnosti za europske organizacije u posljednjem desetljeću. Uključuje strože tehničke mjere, jasnu odgovornost uprave, detaljna pravila izvještavanja i snažne nadzorne ovlasti. Subjekti iz sektora definiranih u Annex I (Essential) i Annex II (Important) moraju uskladiti svoje procese i sustave, uz mogućnost visokih kazni koje dosežu do 10 milijuna eura ili 2 posto ukupnog globalnog prometa, ovisno o tome što je veće.
Uz rok od samo 24 sata za početno izvještavanje o značajnom incidentu i potrebu za dokazivanjem stvarnih tehničkih kontrola, postaje jasno da se usklađivanje ne može svesti na administrativno ispunjavanje zahtjeva. Organizacije koje odgađaju pripremu najčešće zapnu upravo na tehničkim i operativnim dijelovima, a ne na formalnoj dokumentaciji. Priprema za NIS2 vrlo brzo otkriva stvarne slabosti infrastrukture: nedostatak vidljivosti, loše konfigurirane sustave i nepostojanje integriranih sigurnosnih mehanizama.
Nedovoljna razina tehničkih kontrola
Članak 21 NIS2 direktive navodi obvezne tehničke i organizacijske mjere koje uključuju upravljanje ranjivostima, zaštitu podataka, sigurnost nabavnog lanca, upravljanje identitetima i pristupima, sigurnosne konfiguracije sustava, nadzor mreže i redovitu provjeru učinkovitosti mjera. U praksi mnoge organizacije imaju samo osnovne kontrole poput antivirusnog rješenja, firewalla i višefaktorske autentikacije, dok elementi poput kontinuiranog nadzora, segmentacije i naprednog logiranja izostaju.
Tehnički dug koji se godinama nakupljao često se pokušava nadoknaditi pisanjem politika i procedura, ali direktiva traži stvarnu operativnu sigurnost. Bez konkretnih tehničkih kontrola koje zaista rade u produkciji, organizacija formalno može izgledati usklađeno, ali ostaje ranjiva na napade i ne može dokazati usklađenost pred nadzornim tijelom.
Nepotpun inventar sustava i podataka
Točan inventar imovine jedan je od temelja svake sigurnosne priče, a NIS2 to neizravno očekuje kroz zahtjeve iz članaka 20 i 21. Organizacije često nemaju jasnu sliku o svim poslužiteljima, servisima, aplikacijama, API pozivima, mrežnoj opremi i ključnim podatkovnim tokovima. Poseban problem predstavljaju neregistrirane ili povijesne aplikacije i servisi izloženi internetu o kojima se više ne vodi evidencija.
Bez pravilno izrađene karte imovine i podataka nije moguće odrediti što je zaista kritično, što spada u opseg NIS2 obveza, niti gdje treba uvesti najstrože kontrole. Rezultat su procjene rizika koje su preopćenite i mjere koje se primjenjuju na kriva mjesta ili u pogrešnom redoslijedu.
Loše konfigurirano ili nepotpuno logiranje
Jedan od najvažnijih zahtjeva NIS2 odnosi se na brzu identifikaciju, analizu i izvještavanje o incidentima. Članak 23 propisuje obvezu inicijalne prijave značajnog incidenta u roku od 24 sata, dopunjenu izvješćem u roku od 72 sata. Bez cjelovitog, sinkroniziranog i pravilno konfiguriranog logiranja organizacija praktično ne može ispuniti ovaj zahtjev.
U praksi nedostaju logovi administrativnih aktivnosti, sigurnosnih promjena, kritičnih aplikacijskih događaja i aktivnosti na backup sustavima. Često se SIEM sustavi koriste samo za osnovne zapisnike, dok ključni događaji uopće nisu uključeni. Posljedica je nemogućnost preciznog razumijevanja incidenta, sporija reakcija i poteškoće pri izradi kvalitetnog izvješća prema nadležnim tijelima.
Nedostatak mrežne segmentacije
Ravna mreža i široki pristupi još su uvijek standard u mnogim okruženjima, iako direktiva kroz načela smanjenja površine napada i kontrole lateralnog kretanja jasno očekuje pametnije dizajniranu arhitekturu. U praksi se i dalje događa da se kritični sustavi, korisničke radne stanice i backup okruženja nalaze u istim mrežnim segmentima, što napadaču omogućava brzo širenje nakon inicijalne kompromitacije.
Mikrosegmentacija virtualnih okruženja, strogo odvajanje administrativnih zona, izolacija backupa i kritičnih servisa traže dodatni rad i promjene u dizajnu mreže, ali predstavljaju jednu od najvažnijih tehničkih mjera za ispunjavanje stvarnih očekivanja NIS2 direktive. Bez segmentacije, svaki incident potencijalno postaje incident cijele organizacije.
Slaba priprema za incidente
NIS2 očekuje da organizacije imaju pripremljene planove odgovora na incidente, forenzičke postupke, mehanizme za ranu detekciju prijetnji i testirane procese oporavka. U stvarnosti često postoji plan na papiru, ali bez odgovarajućih tehničkih kapaciteta za njegovu provedbu. Nedostaje centralizirani pregled događaja, ne postoje playbookovi za različite vrste incidenata, backupovi nisu redovito testirani, a integritet podataka se ne provjerava sustavno.
Kada se incident dogodi, organizacija tek tada otkrije da nema dovoljno podataka za rekonstrukciju događaja ili da je oporavak iz backupa spor, neizvjestan ili nepotpun. To otežava ispunjavanje obveza iz članka 23, ali i produžuje vrijeme oporavka i vraćanja u normalan rad.
Povremena, umjesto kontinuirane procjene ranjivosti
Ranjivosti u sustavima ne pojavljuju se u ritmu godišnjih ili polugodišnjih revizija, ali većina organizacija skeniranja provodi upravo u takvim intervalima. NIS2 u članku 21 izričito naglašava obvezu upravljanja ranjivostima kao kontinuirani proces, a ne jednokratnu aktivnost. Povremena skeniranja ostavljaju dug vremenski prozor u kojem organizacija ostaje otvorena za poznate ranjivosti.
U praksi često izostaju autentikacijska skeniranja, validacija nakon zakrpa i sustavno praćenje novih ranjivosti koje pogađaju ključne tehnologije. Bez jasnog procesa prioritetizacije i praćenja rezultata, izvješća o ranjivostima ostaju nerealizirana lista problema umjesto konkretnog plana rada.
Prevelik fokus na korisnike, premalo na tehničku jezgru
Edukacija korisnika važan je dio svakog sigurnosnog programa, ali ne može nadomjestiti loše konfigurirane sustave, nepostojanje nadzora ili izostanak segmentacije. U nekim okruženjima većina resursa odlazi upravo na edukaciju, dok jezgra infrastrukture ostaje u stanju u kojem jedan incident može dovesti do širokog prekida usluge.
Ako arhitektura, administracija i nadzor nisu kvalitetno implementirani, niti najsvjesniji korisnici ne mogu spriječiti ozbiljne posljedice kompromitacije. NIS2 kroz svoje zahtjeve jasno upućuje na to da je odgovornost uprave šira od organiziranja povremenih edukacija i da uključuje brigu o tehničkim temeljima sigurnosti.
NIS2 ne predstavlja samo dodatnu regulativu, nego i priliku da organizacije podignu svoju zrelost i uvedu red u tehničke procese sigurnosti. Pravilno postavljena infrastruktura olakšava svakodnevni rad, smanjuje operativne rizike i omogućuje bržu reakciju na incidente. Tvrtke koje se na vrijeme pripreme mogu usklađivanje provesti bez stresa i bez pritiska na zadnji trenutak, dok one koje odgađaju kasnije moraju istovremeno rješavati i tehničke i organizacijske izazove.
Ako trebate tih i strukturiran pristup procjeni stanja ili planiranju sljedećih koraka, AresISEC vam može pomoći u pripremi. NIS2 za mnoge subjekte predstavlja izazov, ali je ujedno i prilika da se sigurnost konačno podigne na razinu koja odgovara stvarnim rizicima.
Izvori:
EUR-Lex – NIS2 Directive (EU) 2022/2555
European Commission – NIS2 Directive Overview
ENISA – NIS Investigation and Guidance
ENISA – Security Measures Under NIS2
European Commission – Digital Strategy: Cybersecurity
