Assa Abloy: Značaj NIS2 direktive za upravljanje fizičkim pristupom

Nova evropska direktiva NIS2 uvodi strožije zahtjeve za sigurnost mrežnih i informacijskih sistema. U kontekstu all-hazards pristupa, kontrola fizičkog pristupa postaje ključni faktor usklađenosti i otpornosti na hibridne prijetnje. Tu na scenu stupaju inteligentna pristupna rješenja, koja mogu pomoći organizacijama da odgovore na nove regulatorne izazove i izbjegnu ozbiljne sankcije.

Piše: David Moser, viši potpredsjednik i direktor odjela za digitalna i pristupna rješenja ASSA ABLOY Opening Solutions EMEIA; E-mail: david.moser@assaabloy.com

Tokom implementacije nove evropske direktive NIS2 najveća pažnja usmjerena je na njen utjecaj na cyber sigurnost. Ipak, utjecaj na tehničku zaštitu i strategiju pristupa kompanija jednako je važan. NIS2 uvodi novi nivo fokusiranosti na kibernetičko-fizičku otpornost – uz ozbiljne kazne za organizacije koje ne ispune zahtjeve propisane ovim okvirom.

All-hazards pristup

Ova direktiva zamjenjuje prvobitnu NIS direktivu o mrežnoj i informacijskoj sigurnosti iz 2016. godine i   donosi strožije zakonske zahtjeve u pogledu minimalnih standarda IT sigurnosti u kritičnoj infrastrukturi. Također, proširuje obuhvat na više novih sektora. Evropska komisija procjenjuje da će oko 160.000 kompanija odmah biti obuhvaćeno novim propisima. Najvažnija promjena za menadžere sigurnosti i upravitelje objekata jeste prelazak na tzv. all-hazards pristup regulativi. U praksi to znači da su kompanije obavezne pojačati digitalne sigurnosne mjere dodatnim procesima i uređajima koji fizički štite njihovu digitalnu infrastrukturu. Na taj način, kibernetičko-fizička otpornost – i sve veća povezanost ciljeva i operacija cyber i fizičkih sigurnosnih timova – postaje ključni element odgovora na rast broja i složenosti hibridnih kibernetičko-fizičkih napada.

Obuhvat, usklađenost, finansijske kazne

NIS2 regulativa obuhvata znatno širi spektar organizacija i sektora. Pored tradicionalnih infrastrukturnih oblasti kao što su energetika, komunalne usluge, transport, telekomunikacije, upravljanje otpadom i data centri, direktiva uključuje i šire shvatanje nacionalne kritične infrastrukture, u koju stavlja: zdravstveni sektor (uključujući i medicinsko istraživanje), digitalne usluge te brojne proizvodne industrije poput prehrambene, hemijske, automobilske i drugih. Organizacije koje posluju u ovim sektorima trebale bi provjeriti da li i same potpadaju pod nove obaveze.

Značajan element novih obaveza jeste prošireni all-hazards pristup. Prema članu 21, subjekti moraju “preduzeti odgovarajuće i srazmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima po sigurnost mrežnih i informacijskih sistema (…) i sprečavanje ili minimiziranje utjecaja sigurnosnih incidenata na korisnike njihovih usluga i druge servise”. Drugim riječima, svi dijelovi objekta gdje bi zlonamjerne osobe mogle fizički pristupiti digitalnoj infrastrukturi – uključujući IoT uređaje, terminale za upravljanje pristupom, servere i druge sisteme – sada moraju imati adekvatnu zaštitu od digitalnih, fizičkih i hibridnih prijetnji. Uređaji i protokoli kontrole pristupa moraju biti na nivou zadatka.

Kazne za neusklađenost s direktivom NIS2 mogu biti ozbiljne. Kompanije mogu biti kažnjene novčanim iznosom do deset miliona eura ili 2% globalnog godišnjeg prihoda. Stoga zastarjeli sistemi zaključavanja predstavljaju veliki rizik i potencijalnu odgovornost.

Utjecaj direktive na kontrolu pristupa

Implikacije direktive NIS2 na sigurnosno i infrastrukturno upravljanje – kao i na moguće finansijske sankcije – su značajne, posebno u kontekstu “all-hazards” pristupa.

Mjere za implementaciju i nadzor procesa u skladu s ovim pristupom uključuju precizniju analizu rizika za digitalne uređaje na lokaciji, sigurnost lanca nabavke kroz sigurniju kupovinu i upravljanje podacima, kontrolu fizičkog pristupa osoblju i posjetiocima, obuke iz cyber higijene, planiranje kontinuiteta poslovanja u slučaju incidenta i druge mjere. Sigurnosni timovi trebaju hitno procijeniti postojeću kibernetičko-fizičku otpornost kako bi brzo identifikovali područja koja zahtijevaju dodatne mjere ili nadogradnju.

Upravljanje pristupom ključni je element u naporima svake kompanije da postigne usklađenost s NIS2 direktivom. Inteligentna rješenja za pristup mogu poboljšati kibernetičko-fizičku otpornost kroz naprednije upravljanje identitetima, praćenje pristupa i mogućnost cjelodnevne daljinske kontrole objekta. Akreditivi koji zahtijevaju redovnu ponovnu validaciju ili automatski istječu znatno smanjuju rizik od neovlaštenih ključeva u opticaju – što je još jedna ranjivost digitalne infrastrukture.

ASSA ABLOY ima rješenja

Digitalna pristupna rješenja kompanije ASSA ABLOY omogućavaju zaštitu svakog sloja sigurnosnog sistema i mogu znatno doprinijeti postizanju usklađenosti s NIS2 direktivom. Ona štite organizacije i njihove podatke tako što omogućavaju potpunu kontrolu nad time ko, kada i gdje ima pristup, uz mogućnost trenutačnog poništavanja izgubljenih akreditiva. Rješenja podržavaju i online i offline kontrolu pristupa, unapređujući tokove rada kroz fleksibilno upravljanje – bilo daljinski ili na licu mjesta. Ponuda uključuje digitalne sisteme pristupa i hardver za nadogradnju postojećih instalacija, pružajući skalabilnu kontrolu nad pristupnim tačkama koje ranije nisu bile dostupne, uz zaštitu od 1. do 4. sigurnosne klase. Bežična rješenja jednostavna su za instalaciju, bez potrebe za ožičenjem ili građevinskim zahvatima.

Fizički pristup često se smatra jednom od najvećih „stražnjih vrata“ za cyber kriminalce u eri sve češćih hibridnih napada. Zatvaranje tih vrata pomoću digitalnih rješenja za pristup osigurat će ispunjavanje NIS2 obaveza i osloboditi donosioce sigurnosnih odluka brige o usklađenosti.

Stručnjaci kompanije ASSA ABLOY dostupni su za savjetovanje o specifičnim funkcijama i prednostima koje su usklađene sa zahtjevima direktive i doprinose jačanju kibernetičko-fizičkog sigurnosnog okvira bilo koje organizacije.