NIS2.
Nová směrnice Evropského parlamentu a Rady Evropy o opatřeních k zajištění vysoké společenské úrovně kybernetické bezpečnosti v EU s platností od ledna 2023 a účinností od poloviny roku 2024.
-
V českém právním řádu bude zakotvena formou novely zákona 181/2014 Sb. o kybernetické bezpečnosti (ZoKB).
-
Působnost ZoKB se po novelizaci rozšíří na střední a velké firmy od 50ti zaměstnanců výše nebo firmy s ročním obratem od 250 mil. Kč z širšího okruhu oborů.
-
Naváže na směrnici NIS1, rozšíří ale okruh povinných subjektů - v ČR se nově dotkne odhadem více než 6000 firem. Pro některé nově obsažené subjekty bude ale vyžadovat benevolentnější plnění („dvourychlostní systém“).
-
Při nesplnění podmínek bude povinným subjektům hrozit pokuta až 10 mil. EUR nebo 2% z ročního obratu.
-
Za dodržování podmínek a zavedení opatření budou zodpovědné statutární orgány dotčených subjektů.
Mohlo by Vás zajímat.
Koho se nová směrnice bude týkat:
Organizací,
-
které jsou středním nebo velkým podnikem dle Doporučení Komise 2003/361/ES z 6. května 2003, tedy zaměstnávají 50 a více zaměstnanců (včetně propojených podniků - dceřiné společnosti, koncerny apod.), nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů Kč).
-
a zároveň poskytují alespoň jednu službu v některém z oborů uvedených v přílohách směrnice: Energetika, Doprava, Infrastruktura pozemních komunikací, Bankovnictví, Zdravotnictví, Digitální infrastruktura - datová centra, Síťové uzly (DNS), Poskytovatelé služeb elektronickických komunikací - telekomunikační operátoři, Vodní hospodářství, Veřejná správa, Poštovní služby, Odpadní hospodářství, Chemický průmysl, Potravinářství, Výroba, Vědecký výzkum.
V přehledu více ZDE -->
* U některých oborů (např. "Poskytovatelé služeb elektronických komunikací", nebo "Poskytovatelé služeb DNS") budou součástí regulace všechny subjekty, bez ohledu na velikost.
* Státy mohou definovat další organizace, kde velikost nebude hrát roli.
* Navíc bude aplikováno propojení se směrnicí CER (směrnice o odolnosti kritických entit): kdo bude spadat pod regulaci směrnice CER, bude automaticky spadat i pod NIS2.
Jaká opatření bude třeba zavést:
Nová směrnice stanovuje okruhy, které by členské státy měly zapracovat do svých právních předpisů. Povinným subjektům tak vznikne povinnost zavádět opatření a provádět činnosti v oblastech jako:
- Analýza rizik a politiky bezpečnosti informací.
- Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit).
- Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti.
- Zvládání incidentů.
- Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení.
- Bezpečnost v rámci dodavatelského řetězce.
- Bezpečnost v rámci pořízení, vývoje a údržby systémů.
- Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování.
- Bezpečnost lidských zdrojů, řízení přístupů a aktiv.
- Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.
Směrnice NIS2 ovšem počítá s dvěma režimy pro posouzení povinných subjektů "IMPORTANT" a "ESSENTIAL", kde pro organizace v režimu "important" stanoví méně přísné podmínky a postupy než pro organizece v režimu "essential".
Více o rozdělení organizací ZDE -->
* Bude se zavádět certifikace subjektů (podniků nebo organizací) o tom, zda splňují požadavky, nebo certifikace produktů, které bude možné používat - garantem procesu certifikace bude NÚKIB.
* Dále bude zavedena také povinnost hlášení bezpečnostních incidentů - zodpovědným orgánem pro zpracování těchto hlášení bude opět NÚKIB.
Harmonogram
Platnost změn od roku 2024
- Finální znění směrnice NIS2 - konec roku 2022
-
Schválení Evropským parlamentem (10. 11. 2022)
-
Schálení Radou Evropy (28. 11. 2022)
-
Zvěřejnění v Úředním věstníku Evropské unie (27. 12. 2022)
-
Vstup v platnost po uplynutí 20ti denní ochranné lhůty od zvěřejnění (17. 1. 2023)
-
- Překlopení směrnice NIS2 do českého právního řádu - Novela zákona 181/2014 Sb. o kybernetické bezpečnosti - v průběhu let 2023 - 2024 (transpoziční lhůta 21 měsíců od data platnosti)
- Platnost změn a účinnost novelizovaného zákona o kybernetické bezpečnosti - od poloviny roku 2024
I přes to, že se termín účinnosti nové legislativy zdá relativně vzdálený a přesné požadavky budou známy až s vydáním novelizace příslušných právních norem, zavádění konkrétních opatření bude vyžadovat nějaký čas. Obecné principy zajišťování kybernetické bezpečnosti jsou známé již teď. A nebezpečí kybernetických útokú přetrvává dlouhodobě. Bezpečnostní opatření je proto vhodné zavádět průběžně i bez ohledu na stav příprav nové směrnice. Pokud není kybernetická bezpečnost už teď nedílnou součástí firemní strategie, nebo nepokrývá všechny potřebné oblasti, je čas začít tuto problematiku intenzivně řešit.
Příklady řešení pro jednotlivé regulované oblasti:
Nová směrnice bude u regulovaných subjektů přisuzovat velkou váhu provádění analýzy rizik a posuzování celkového stavu řízení informační bezpečnosti. Audit systému řízení informační bezpečnosti poskytne souhrnné podklady pro tvorbu bezpečnostních standardů organizace a doporučí politiky a postupy k dosažení konzistentního systému řízení informační bezpečnosti. Součástí hodnocení účinnosti bezpečnostních opatření mohou být Penetrační testy, které pomohou ověřit úroveň bezpečnostních systémů a odolnost informačních a komunikačních technologií proti reálným kybernetickým útokům.
I přes zaváděná bezpečnostní opatření se kybernetickým útokům nedá úplně vyhnout. Významnou roli pro zvládání bezpečnostních incidentů potom hrají nacvičené postupy uvnitř organizace. Klíčová je včasná detekce a rychlá reakce k zastavení útoku a zamezení rozšiřování a zvyšování dopadů. Rychlou detekci a reakci může zajistit Security Operations Center (SOC) poskytující nepřetržitý bezpečnostní dohled v režimu 24/7/365. Vzhledem k nedostatku specialistů na trhu práce a nákladům směnného provozu je vhodné zvážit využití outsourcovaného řešení.
NIS2 směrnice zdůrazní i nutnost posilování a udržování povědomí o oblasti kybernetické bezpečnosti jako součásti běžné počítačové gramotnosti. K tomu mohou sloužit Uživatelská školení kybernetické bezpečnosti vedená profesními specialisty. Nejlepší úroveň znalostí pro zvládání nástrah ale udrží kontinuální vzdělávací program například formou opakovaných e-learningových kurzů Zvyšování povědomí o kybernetické bezpečnosti. Užitečným doplňkem vzdělávacího programu potom mohou být Phishingové testy, které formou simulovaných útoků pomohou prakticky ověřit úroveň odolnosti organizace.
Při pořizování, vývoji a údržbě informačních systémů je třeba mít na paměti i vývoj technologií a změny uživatelského chování. Spolu s novými technologiemi se vyvíjí i metody útoků. Využíváním zastaralých postupů a metod zajištění kybernetické bezpečnosti může být vytvářen falešný pocit bezpečí a přitom reálná míra ochrany může být nedostatečná. Pro moderní infrastrukturu je třeba volit moderní metody ochrany. Provozní bezpečnost IT prostředí pomohou zajistit například:
- Firewally nové generace (NGFW) pro ochranu firemní sítě
- XDR ochrana serverů a koncových stanic jako náhrada tradičních antivirů
- AntiDDoS řešení jako ochrana proti zablokování firemních systémů.
Remeš Ondřej Cyber Security Manager
CYBERSECURITY MANAGER
Co bude NIS2 znamenat ve Vašem konkrétním případě?
Pomůžeme Vám to zjistit.
Prověříme, jaká opatření bude třeba zavést nejen pro zajištění souladu s novou směrnicí NIS2 a s novelizovaným zákonem o kybernetické bezpečnosti, ale i pro Vaši vlastní bezpečnost. Navrhneme řešení přímo pro Vás podle Vaší velikosti nebo oboru působnosti a doporučíme vhodné technologie.
Potkejte se s námi.
Ondřej Remeš
Garant řešení pro naplňování směrnice NIS2
Kontaktujte nás.
Zanechte nám svůj kontakt a my se Vám co nejdříve ozveme zpět.
Řešíte už kybernetickou bezpečnost a máte konkrétní dotazy?
Využijte jedinečnou příležitost zabrat si čas našich specialistů jen pro sebe.
Ve vybraných případech při navázání spolupráce pořádáme Cybersecurity snídaně. V uvolněné atmosféře a za účasti Vašich dalších kolegů je možné neformálně prodiskutovat témata týkající se kybernetické bezpečnosti konkrétně ve Vaší organizaci nebo odpovědět na dotazy, které není vhodné probírat např. na veřejných konferencích.
Informace na info.security@thein.eu.
