NIS2 je za dveřmi a s ní i řada nových výzev, které se mohou stát noční můrou každé firmy, která se na ně dostatečně nepřipraví. Máte vše pod kontrolou, nebo si naivně myslíte, že to „nějak dopadne“? V našem článku vám přinášíme rady, jak se vyhnout nejčastějším chybám a zajistit, že vaše firma úspěšně splní nová pravidla kybernetické bezpečnosti. Buďte o krok napřed a připravte se s námi.
Do října 2024 by mělo všech 27 členských států Evropské unie integrovat nařízení o kybernetické bezpečnosti NIS2 do svých národních legislativ. Připravované změny regulace kybernetické bezpečnosti nicméně budou účinné nejdříve začátkem roku 2025. Které podniky jsou povinné směrnici NIS2 implementovat?
Základní organizace: Do této skupiny spadají organizace, které jsou klíčové pro fungování kritické infrastruktury. Jde například o odvětví energetiky, dopravy, vodního hospodářství, zdravotnictví a bankovnictví. Tyto sektory jsou považované za zásadní pro zajištění bezpečnosti a stability státu, a proto na ně NIS2 klade přísné požadavky na kybernetickou bezpečnost.
Důležité organizace: Tato kategorie zahrnuje podniky, které mají významný vliv na ekonomiku a společnost, i když nejsou přímo součástí kritické infrastruktury. Patří sem přední firmy z oblasti potravinářského a chemického průmyslu, výrobci elektrospotřebičů, strojů a vozidel. Z důvodu jejich velikosti a potenciálního dopadu na trh se i na tyto společnosti vztahují přísná pravidla kybernetické bezpečnosti.
Nová směrnice významně rozšiřuje počet sektorů a entit, které musí být v souladu se zákonem. Zatímco NIS1 se zaměřovala na omezený počet sektorů, NIS2 pokrývá mnohem širší spektrum, včetně například zdravotnictví, potravinářského průmyslu a veřejné správy.
→ Tip: Přečtěte si náš článek NIS2 a nový zákon o kybernetické bezpečnosti už ťuká na dveře. Koho se týká?
Navíc mají členské státy EU možnost rozšířit okruh organizací, na které se NIS2 vztahuje. Mohou přidat další organizace do svých národních seznamů, čímž by se místní úřady, vzdělávací instituce a další relevantní subjekty měly zavázat k plnění požadavků směrnice.
V České republice NÚKIB bohužel výrazně rozšířil působnost směrnice NIS2 nad rámec základních požadavků EU. Konkrétně se jedná o následující rozšíření:
Vzdělávací instituce: NÚKIB zahrnul do působnosti směrnice také některé vzdělávací instituce, což znamená, že školy a univerzity, které zpracovávají citlivé údaje nebo poskytují důležité služby, budou muset dodržovat nové kybernetické standardy.
Lokální úřady: Místní samosprávy a úřady jsou dalším novým subjektem, na který se směrnice vztahuje. Tento krok má zajistit, že i na úrovni místní správy budou dodržovaná vysoká bezpečnostní opatření.
Poskytovatelé digitálních služeb: NÚKIB rozšířil působnost na různé poskytovatele digitálních služeb, včetně cloudových poskytovatelů a poskytovatelů služeb datových center. Ti budou muset zavést přísná bezpečnostní opatření k ochraně svých systémů.
Česká republika tak přistoupila k implementaci směrnice NIS2 s vyšší mírou důslednosti, což bohužel vede ke zpoždění při zavádění těchto opatření.
…při určování firemních povinností NIS2:
Mikropodniky a malé podniky (do 50 zaměstnanců a méně než 10 milionů euro ročního obratu) mohou být z povinností vyjmuté, pokud jejich činnost není zahrnutá v příloze NIS2.
Naopak střední a velké podniky (od 50 zaměstnanců a více než 10 milionů euro ročního obratu) musí splnit všechny požadavky směrnice, včetně povinné registrace u národních autorit a prokazování souladu s legislativou NIS2.
Je třeba zdůraznit, že pokuty mohou dosáhnout:
Dále směrnice stanovuje i osobní odpovědnost manažerů, kteří mohou čelit přímým následkům, včetně veřejného zveřejnění incidentů a zákazů vykonávat funkce.
Dle článku společnosti WithSecure™ jsou toto praktické kroky, jak se na směrnici NIS2 připravit.
Identifikace kritických aktiv a rizik: Nejprve je důležité zjistit, která aktiva vaší organizace jsou kritická pro její fungování a která mohou být zranitelná vůči kybernetickým hrozbám. Tato identifikace vám pomůže se zaměřit na oblasti, které vyžadují posílenou ochranu.
Vytvoření a aktualizace bezpečnostních politik: Připravte a aktualizujte bezpečnostní politiky a postupy, které zajistí, že všechny aspekty IT bezpečnosti odpovídají požadavkům NIS2. To zahrnuje i:
politiky pro řízení přístupu,
ochranu dat,
reakci na incidenty
a obnovu po havárii.
Školení zaměstnanců: Zajistěte, aby byli všichni zaměstnanci obeznámení s bezpečnostními politikami a postupy, a pravidelně je školte v oblasti kybernetické bezpečnosti. Důraz by měl být kladený na rozpoznávání potenciálních hrozeb a správné postupy při práci s citlivými informacemi.
Outsourcing monitorovacích systémů: S naší pomocí můžete zavést pokročilé monitorovací systémy, které umožní sledování sítě v reálném čase. Nabízíme outsourcing těchto služeb pro firmy, které nemají dostatečně velký tým pro zajištění 24/7 monitoringu. Tento krok vám umožní rychle reagovat na hrozby a minimalizovat jejich dopad.
Testování a audit: Pravidelně provádějte testy firemních bezpečnostních opatření a audity kybernetické bezpečnosti, které ověří jejich účinnost. Směrnice NIS2 vyžaduje, aby organizace prováděly pravidelné hodnocení a testování bezpečnostních opatření. Tyto testy mohou zahrnovat například:
nebo audity kybernetické bezpečnosti.
Frekvence těchto testů by měla být přizpůsobená rizikovému profilu organizace a měla by zajišťovat odpovídající úroveň ochrany podle požadavků směrnic.
Nastavení plánu reakce na incidenty: Vytvořte podrobný plán reakce na bezpečnostní incidenty, který zahrnuje kroky pro:
detekci,
analýzu,
omezení
a obnovu po útoku.
Spolupráce s externími partnery: Zapojte se do spolupráce s dodavateli, poskytovateli služeb a dalšími partnery, kteří mají vliv na vaši kybernetickou bezpečnost. Spolupráce by měla zahrnovat jasné definování bezpečnostních požadavků a sdílení pouze relevantních informací potřebných pro ochranu vašich systémů. Zároveň je důležité zajistit, aby tito partneři dodržovali odpovídající bezpečnostní standardy, aby se předešlo možným rizikům.
Pravidelná revize a aktualizace opatření: Kybernetické hrozby se neustále vyvíjejí, proto je stěžejní pravidelně revidovat a aktualizovat firemní bezpečnostní opatření, aby odpovídala aktuálním požadavkům a nově vzniklým hrozbám.
Nezapomeňte na povinnou registraci u Národního úřadu pro kybernetickou bezpečnost a prokazování souladu s NIS2. Organizace, které nespadají pod výjimky, musí zajistit, že všechny zavedené postupy a politiky jsou zdokumentované a že jsou schopné doložit jejich účinnost při případném bezpečnostním auditu.
→ Tip: Využijte služeb manažera kybernetické bezpečnosti (MKB), který za vás kontroluje soulad s platnými zákony a je za něj plně zodpovědný.
Mnohé společnosti se soustředí na zabezpečení tradičních IT systémů a mohou opomenout zabezpečení kyber-fyzikálních systémů (CPS), které hrají klíčovou roli v mnoha průmyslových odvětvích, jako je energetika a výroba. CPS systémy jsou skryté ve výrobních linkách, skladovacích systémech nebo i v regulacích topení. Vyžadují zvláštní pozornost, protože bývají často nekompatibilní se standardními bezpečnostními nástroji, a pokud jsou propojené s další IT infrastrukturou, mohou být skrytou hrozbou.
Čas hraje významnou roli v přípravě na NIS2. Organizace, které spadají pod tuto směrnici, by měly okamžitě zahájit komplexní procesy spojené s implementací bezpečnostních opatření, jako je segmentace sítě a zavedení pokročilých monitorovacích systémů. Tyto procesy zahrnují také:
identifikaci kritických aktiv,
aktualizaci bezpečnostních politik,
školení zaměstnanců,
testování a audit bezpečnostních opatření,
nastavení plánu reakce na incidenty,
spolupráci s externími partnery
a pravidelnou revizi a aktualizaci bezpečnostních opatření.
Zdržení povede nejen k pokutám, ale i k riziku vážných bezpečnostních incidentů, které mohou mít fatální důsledky.
Firmy by si měly být vědomé, že NIS2 přináší i nové požadavky na hlášení incidentů. Každý „významný incident“ musí být nahlášený Národnímu úřadu pro kybernetickou bezpečnost do 24 hodin od jeho zjištění formou předběžného varování.
Následně je třeba předložit podrobnější zprávu do 72 hodin. Závěrečná zpráva obsahující detailní popis incidentu, jeho příčiny a přijatá opatření musí být předložená nejpozději do jednoho měsíce. V případě pokračujícího incidentu mohou být vyžadované další průběžné zprávy.
Úspěšná implementace NIS2 vyžaduje soustředění na tři hlavní oblasti:
Lidé: Každý zaměstnanec musí chápat svou roli v kybernetické bezpečnosti, a to prostřednictvím pravidelného školení bezpečnosti a osvěty.
Procesy: Firmy musí neustále aktualizovat své bezpečnostní procesy, jako jsou řízení incidentů a bezpečnostní audity, aby zůstaly v souladu se zákonem.
Technologie: Ujistěte se, že vaše technologická infrastruktura je vybavená vhodnými bezpečnostními nástroji, které odpovídají potřebám vaší organizace. Zaměřte se na základní oblasti, jako je ochrana dat, správa přístupu, detekce a reakce na hrozby. Tato opatření by měla být přiměřená velikosti a složitosti vaší sítě a měla by být pravidelně aktualizovaná s ohledem na nové hrozby.
K tomu je nezbytné přistoupit k řízení rizik komplexně, to zahrnuje jak interní, tak externí faktory, včetně dodavatelského řetězce. Technologie, jako je vícefaktorová autentizace (MFA) a šifrování, hrají zásadní roli v zajištění bezpečnosti dat a přístupu k citlivým systémům a informacím.
Při přípravě na směrnici NIS2 se mohou organizace dopustit několika chyb, které by mohly ohrozit jejich schopnost dosáhnout souladu s požadavky této legislativy. Zde jsou některé z nejčastějších chyb a rady, jak se jim vyhnout:
Podcenění komplexnosti implementace: Mnoho firem podceňuje časovou a technickou náročnost implementace NIS2. Směrnice klade důraz nejen na technologické řešení, ale také na procesy a kulturu kybernetické bezpečnosti v organizaci. Firmy, které s implementací otálejí, riskují, že nebudou připravené včas a budou čelit vysokým pokutám a sankcím.
Nedostatečné zapojení vedení firmy: Směrnice NIS2 vyžaduje, aby vedení organizace neslo přímou odpovědnost za řízení kybernetických rizik. Některé společnosti však podceňují důležitost zapojení vrcholového managementu, což vede k nedostatečné podpoře a zdrojům pro implementaci potřebných firemních bezpečnostních opatření. Vedení musí být plně angažované a zajistit, že strategie kybernetické ochrany zakoření v celkové strategii organizace.
Přehlížení významu bezpečnosti dodavatelského řetězce: Jak se můžete dočíst v článku společnosti HornetSecurity, firmy často zanedbávají stav kybernetické bezpečnosti svých dodavatelů a partnerů. Zranitelnost u jednoho dodavatele znamená vážné riziko pro celou organizaci. Je důležité důkladně kontrolovat bezpečnostní opatření dodavatelů a zajistit, že splňují požadavky NIS2.
Nedostatečný plán reakcí na incidenty: Některé organizace nevyvíjejí dostatečně robustní plány pro reakci na kybernetické incidenty. Reakce na incident zahrnuje okamžitá opatření, jako je detekce, analýza, omezení škod a obnova provozu. Na druhou stranu, NIS2 klade důraz na rychlé a efektivní hlášení těchto incidentů příslušným úřadům, což zahrnuje jak předběžné varování, tak podrobný report. Firmy by měly vyvinout detailní krizové plány, které pokryjí všechny tyto kroky.
Ignorování průběžného školení zaměstnanců: White & Case LLP zase zdůrazňuje, že kybernetická bezpečnost se netýká jen technologií, ale také lidí. Organizace, které nedostatečně školí své zaměstnance, riskují, že se stanou snadným cílem kybernetických útoků, například formou phishingu. Pravidelná školení bezpečnosti zaměřená na rozpoznávání a prevenci útoků jsou pro ochranu organizace nezbytná.
→ Tip: V Algotechu nabízíme mimo jiné i phishingové testy.
Pro zajištění souladu se směrnicí NIS2 se doporučuje, aby organizace využívaly interní i externí odborníky na kybernetickou bezpečnost.
Pokud hledáte podrobné a spolehlivé informace o implementaci směrnice NIS2 v České republice, doporučujeme navštívit oficiální stránky Národního úřadu pro kybernetickou bezpečnost (NÚKIB). NÚKIB je odpovědný za dozor a podporu při zavádění této legislativy NIS2 v ČR a na jejich stránkách naleznete nejen podrobné pokyny a dokumentaci, ale také aktuální doporučení, které vám pomohou v procesu přípravy na NIS2.
Na stránkách NÚKIB můžete rovněž sledovat novinky a aktuality, které se týkají kybernetické bezpečnosti a specifických požadavků směrnice NIS2 pro vaši organizaci. O NIS2 vás informujeme i na našem blogu.
Rádi bychom vás pozvali na konferenci o kybernetické bezpečnosti, která se bude konat 15. října 2024. Tato událost je ideální příležitostí pro firmy, které se chtějí dozvědět více o implementaci směrnice NIS2 a dalších klíčových tématech v oblasti kybernetické bezpečnosti.
Konference nabídne nejen zajímavé přednášky od předních odborníků v oboru, ale také prostor pro diskusi a sdílení osvědčených postupů. Pokud se chcete na tuto legislativu připravit co nejlépe, je účast na této konferenci nepostradatelná.
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky
