Kryptografia w kontekście NIS2: Jak Dostosować Polityki dotyczące Kryptografii do Ostatnich Wymagań UE

Kryptografia w kontekście NIS2: Jak Dostosować Polityki dotyczące Kryptografii do Ostatnich Wymagań UE

Wraz ze zwiększeniem tempa, z jakim dyrektywa NIS2 ugruntowuje się na terenie Europy, organizacje, których dotyczy spotykają się z nowymi i zdecydowanie bardziej konkretnymi zobowiązaniami dotyczącymi cyberbezpieczeństwa. Jednym z kluczowych elementów, który doczekał się adekwatnej uwagi jest kryptografia. W tym wpisie przybliżamy wymagania kryptograficzne wyszczególnione w wymogach technicznych i metodycznych dotyczących dyrektywy NIS2 oraz przedstawiamy rady oraz konkretne kroki, jakie firmy mogą podjąć, aby osiągnąć zgodność jej wymaganiami tym samym wzmacniając bezpieczeństwo swoich danych.

Dlaczego kryptografia jest jednym z filarów NIS2

Dyrektywa NIS2 nakazuje spełnianie wysokich standardów cyberbezpieczeństwa, szczególnie dla operatorów usług kluczowych. Na mocy art. 21 pkt 2 lit. h organizacje są zobowiązane do wykorzystania kryptografii w celu zapewnienia poufności, autentyczności oraz integralności danych – zarówno w trakcie przesyłu, jak i przechowywania. Jest to więc nie tylko szeroko rozumiana dobra praktyka, ale wymaganie wynikające z obowiązujących regulacji . Wykorzystywanie kryptografii wiąże się nie tylko z obowiązkiem jego dokumentowania, a także wymaga utrzymywania i regularnego weryfikowania oficjalnych polityk kryptograficznych.

Kluczowe Elementy Polityki Kryptograficznej zgodnej z NIS2

W punkcie 9 załącznika do Rozporządzenia Nr 2024/2690 zostało wyszczególnione jakie elementy muszą znaleźć się w polityce kryptograficznej. Oto one:

1. Wymagania kryptograficzne oparte na zasobach

Kryptograficzne środki wykorzystywane w organizacji muszą być oparte na klasyfikacji zasobów oraz ocenie ryzyka. Przykładowo, wrażliwe dane (takie jak dane osobowe, informacje finansowe) powinny być chronione z wykorzystanie zdecydowanie mocniejszych algorytmów kryptograficznych niż publicznie dostępne dane.

2. Akceptowalne Protokoły i Algorytmy

Polityki kryptograficzne muszą wyszczególniać jakie konkretne protokoły (lub ich rodziny) oraz algorytmy kryptograficzne są dozwolone. Oznacza to określenie akceptowalnych:

  • Siły szyfrów (przykładowo AES-256 zamiast AES-128)
  • Praktyk użytkowania (takich jak szyfrowanie end-to-end dla konkretnych danych)
  • Protokołów (stosowanie TLS 1.3 w komunikacji)

Zalecane jest również, aby wykorzystać podejście umożliwiające, szybkie i akceptowalne kosztowo zaadaptowanie się do nowszych, silniejszych rozwiązań i standardów gdy tylko staną się one powszechne.

3. Kompleksowe Zarządzanie Kluczami

Jest to jeden z najszerzej rozwiniętych punktów regulacji dotyczących kryptografii. Firmy są zobowiązane do zdefiniowania procedur dotyczących:

  • Generacji kluczy
  • Wydawania i walidowania certyfikatów
  • Bezpiecznej dystrybucji i aktywacji kluczy
  • Przechowywania i kontroli dostępu
  • Odzyskiwania i archiwizacji
  • Logowania i monitorowania cyklu życia kluczy
  • Ustawiania dat ważności w celu ograniczenia życia kluczy

4. Regularne Aktualizacje Polityki

Polityki kryptograficzne powinny być regularnie sprawdzane i aktualizowane tak, aby odzwierciedlały aktualną sytuację kryptograficzną na świecie – standardy kryptografii postkwantowej czy wykrycie nowych podatności w istniejących i wykorzystywanych algorytmach.

Zalecenia dla Organizacji

Aby spełnić te wymagania reuglacyjne (a również zadbać o przyszłość strategii cyberbezpieczeństwa w zakresie kryptografii), warto rozważyć następujące kroki:

  • Przeprowadzić pełną klasyfikację zasobów oraz zidentyfikować systemy oraz dane, które wymagają szyfrowania.
  • Stworzyć lub zaktualizować polityki kryptograficzne, aby zawierały szczegółowe wymagania techniczne zgodne z regulacjami.
  • Zaimplementować narzędzia do zarządzania cyklem życia kluczy – manualne zarządzanie nimi nie jest wystarczająco efektywne.
  • Przeglądnąć i udokumentować wykorzystywane algorytmy, tym samym rezygnując z każdego rozwiązania poniżej aktualnych standardów w branży (np. SHA-1).
  • Pozostać w ciągłej gotowości do zmian i aktualizacji, między innymi poprzez rozplanowanie gotowości  do zabezpieczenia się przez wyzwaniami związanymi z algorytmami kwantowymi.
  • Przeprowadzać regularne audyty, które pozwolą okresowo sprawdzać skuteczność i bezpieczeństwo wykorzystywanych rozwiązań kryptograficznych.

Podsumowanie

NIS2 nie jest zwyczajną zachętą do stosowania najlepszych kryptograficznych praktyk. Ta dyrektywa wymusza ich stosowanie i żąda dojrzałego podejścia do ich utrzymywania. Nie jest to jednak, jak mogłoby się wydawać, uciążliwy element utrudniający spełnianie wymagań. Jest to okazja, aby ustandaryzować, zmodernizować oraz zapewnić przejrzystość jednego z najbardziej krytycznych aspektów bezpieczeństwa danych, pokazując jednocześnie dojrzałą i odpowiedzialną postawę organizacji w kwestiach związanych z bezpieczeństwem.

Cyberbezpieczeństwo zaczyna się od silnych fundamentów. A w dzisiejszym, cyfrowym świecie, te fundamenty powinny być coraz lepiej szyfrowane.

Potrzebujesz pomocy w przygotowaniu Twojej organizacji do spełniania wymagań NIS2? Nasi specjaliści mogą pomóc przygotować polityki kryptograficzne, aby spełniały wszystkie oczekiwania wymienione w regulacjach.

CyCommSec Sp. z o.o.
TAX ID: PL5213689034

REGON: 360799346
Company
O nas
Blog
Kontakt
Services
Wszystko w jednej usłudze
Działania jednorazowe
Cyber a’la carte
Fuse AI
Legal
Privacy Policy
© 2024 CyCommSec. All right reserved.