Na vašem soukromí nám záleží!

Používáme soubory cookie ke zlepšení uživatelského prostředí a pro reklamní účely. Prohlášení o zásadách ochrany osobních údajů.

Jak se připravit na NIS2: Nový zákon o kybernetické bezpečnosti pro střední a velké podniky

Směrnice NIS2 ukládá regulovaným firmám (přes 6000 podniků v Česku) 85 stran kyberneticko-bezpečnostních povinností. Evropská unie požaduje zavedení nejen technických opatření, ale také organizačních a procesních. Za implementaci bude zodpovídat management, na který budou směřovány i případné pokuty. Zaveďte změny do firmy, ještě než směrnice vejde v platnost. Čas na zavedení, vytyčený od EU, vám nemusí stačit.
Jana Šilarová

17. 8. 2023

Dotknou se regulace z NIS2 i vaší organizace?

Ještě netušíte, zda nová směrnice o kybernetické bezpečnosti postihne i vás? Anebo o regulacích z NIS2 zatím nic nevíte?

Přečtěte si úvod do směrnice NIS2

Opatření z NIS2 ovlivní celou organizaci. Za implementaci zodpovídá management

Organizace musí navrhnout a zavést přiměřená opatření, která posílí kybernetickou bezpečnost. Nejenom na úrovni ochrany či šifrování dat. Střední a velké podniky musí zavést bezpečnostní procesy, organizovat školení či korigovat bezpečnost napříč dodavatelským řetězcem. Za dodržování NIS2 ponese zodpovědnost vedení organizace. 

Povinnosti NIS2 jsou rozdělené do 10 tématických okruhů, které musíte splnit

Konkrétní požadavky na kybernetickou bezpečnost se budou lišit dle vašeho zařazení do kategorie important či essential a úprav zákona, který v roce 2024 vejde v platnost. V zásadě se opatření týkají 10 okruhů, které více či méně musí přijmout každá regulovaná organizace.

1. Analýza rizik 

Alfa-omega NIS2. Směrnice udává jako nezbytné zanalyzovat rizika na úrovni kybernetické bezpečnosti a připravit scénáře, které mimořádné situace řeší. K tomu potřebujete zmapovaná aktiva, informace o fungování ve firmě a firemní data v požadovaném detailu. Analýzu nebudete chtít vypracovávat na papír a ztráčet čas přepisováním a složitým dohledáváním informací, a proto navíc potřebujete nástroj, ve kterém ji provedete.

ITSM nástroje od ALVAO vám pomohou s analýzou rizik

2. Bezpečnostní incidenty

NIS2 vám ukládá povinnost možným incidentům nejen předcházet, ale také být připraveni je vyřešit, zaevidovat a nahlásit příslušným orgánům. Řešení incidentů je hlavním bodem NIS2. Za nedodržování budou udělovány ty nejvyšší pokuty, protože i jeden závažný incident může paralyzovat podniky v několika zemích najednou.

Incident = událost, která má negativní dopad na bezpečnost informačního systému nebo dat v organizaci. Incidentem je např. neoprávněný přístup k datům, šíření škodlivého softwaru (malware), ztráta dat, narušení normálního provozu, atd.

NÚKIBU se musíte ozvat do 24 hodin od incidentu

Obě regulovaná odvětví, jak important, tak essential, jsou povinny hlásit takové incidenty, které mají významný dopad na poskytování jejich služeb – nejpozději do 24 hodin od jejich zjištění. EU takové incidenty definuje jako událost, která způsobila nebo může způsobit:

  • provozní narušení služeb nebo finanční ztráty dané organizaci.
  • značnou materiální nebo nehmotnou újmu jiným fyzickým nebo právnickým osobám.

Nemáte zkušenosti s řešením incidentů ve firmě? Rok na zavedení nutných opatření vám nemusí stačit

Jestliže jste doteď v organizaci incidenty neřešili doporučujeme s opatřeními začít co nejdříve. Jedna věc je incident zvládnout, druhá je reportovat jeho průběh/dopad a přijmout opatření na jeho základě. Na obojí si NÚKIB posvítí při pravidelných kontrolách.

Jak incidenty zaznamenávat a řešit? Jak připravit organizaci na možné útoky? Konzultanti z ALVAO si připravili krátkou, ale trefnou přednášku o Řešení nejen bezpečnostních incidentů v praxi.

Podívat se na záznam přednášky

Banner na záznam přednášky: Řešení nejen bezpečtnostních incidentů v praxi

3. Kontinuita činností

V praxi je nezbytné nastavení systémů a praktických postupů, které minimalizují dopady možných incidentů. Tzn. plán krizového řízení, který vám umožní rychlou a koordinovanou reakci na krizovou situaci.

Neobejdete se ani bez Disaster recovery – soubor zásad, nástrojů a postupů, které vám umožní obnovit provoz a pokračovat v něm bez ohledu na incident. 

V neposlední řadě byste měli mít zálohovaná data, které vám s kontinuitou činností – rozběhnutím provozu po incidentu – pomohou. K tomu potřebujete vědět, kde je záloha uložená, kdo za ni zodpovídá, atd. Systém vás provede jednotlivými procesy – reagujete pohotově, efektivně a krizovou situaci dokážete podchytit ještě v zárodku.

Více o Service Desku

Banner: Service Desk je pravá ruka IT manažera. Odkaz na stránky ALVAO Service Desk.

4. Bezpečnost dodavatelského řetězce

Máte dostatečné informace o vašich dodavatelích? Dokumentujete všechny organizace v dodavatelském řetězci? Dokážete smlouvy s nimi jednoduše dohledat? S příchodem NIS2 budete muset. Vaší povinností je zajistit bezpečnost v rámci dodavatelského řetězce.

Organizace ve vyšších povinnostech zodpovídají za bezpečnost svých dodavatelů 

Regulace nemusí zasáhnout jenom konkrétní podnik. Týkat se mohou i dodavatelů firem z oblasti vyšších povinností (essential). Je možné, že dodavatelé budou nuceni přijmout požadovaná bezpečnostní opatření.

V některých případech může být možné na základě právních předpisů zakázat plnění konkrétním dodavatelem, nepřijme-li opatření, které vyplývají z NIS2.

5. Software, licence, přístupy

Každá organizace musí mít přehled o systémech, které na zaměstnanecké technice běží. To znamená, dostat pod kontrolu informace o nainstalovaném softwaru i využitých licencích. Jste povinni monitorovat programy na počítačích zaměstnanců, a tím zamezit instalaci i použití pirátského či nelegálního softwaru.

Management je povinný plánovat údržbu softwaru i operačních systémů na technice – vše musíte udržovat aktuální a bezpečné s ochranou firewallu. Místnosti jako serverovna by měla mít regulovaný přístup a organizace by měla vědět, kdo má přístup do jakých oddělení. S přesnými informacemi již nemusíte mít strach z auditů, plánování rozpočtu ani zbytečných nákladů na licence. Spravujte softwarová aktiva v ALVAO.

Více o Software Asset Managementu

Banner: Získejte přehled o nainstalovaném softwaru i využitých licencích s ALVAO

6. Experti na kybernetickou bezpečnost

Každý regulovaný subjekt musí jmenovat zodpovědnou osobu za kybernetickou bezpečnost.

  • Organizacím v nižším režimu postačí jeden člověk. Zaměstnanec odpovědný za řízení a rozvoj kyberbezpečnosti, dohled nad jejím stavem a komunikaci s vrcholným vedením. 
  • Firmy zařazené do vyšších povinností musejí zaměstnat – manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiv + auditora kybernetické bezpečnosti.

Organizace musí řídit vlastní/interní audity, evidovat informace z nich a na základě jejich závěrů přijímat opatření pro zlepšování systému řízení bezpečnosti informací.

7. Vzdělávání managementu i zaměstnanců

Vedení organizace má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních své zaměstnance. A to konkrétně např. vytvářením vzdělávacích plánů.

8. Šifrování dat

Vaše data by měla být adekvátně šifrována nebo alespoň chráněna před možnými útoky. Informace a data, by se neměla dostat mimo vaší organizaci, a pokud ano, jedině s vaším vědomím.

9. Bezpečnost lidských zdrojů, řízení přístupů i aktiv

Máte popsaná aktiva? Znáte jejich závislosti napříč organizací? Evidujete přístupy zaměstnanců k jednotlivým aktivům? Řízení aktiv patří k základům kybernetické bezpečnosti a hlavním bodům směrnice NIS2. 

Aktiva by měly být známá, identifikována a popsána, stejně tak kritické systémy a IT služby. Dále byste měli evidovat majetek na konkrétní uživatele společně s právy k němu, protože jedině tak docílíte bezpečnosti. Kompletní data vám ukážou, kdo má jaký přístup k technice, a kde jsou aktiva provázaná.

Více o Hardware Asset Managementu

Banner: S ALVAO získáte 100% přehled o firemním majetku

10. Vícefaktorové ověřování a komunikační nástroje 

Komunikace v týmech a organizaci by měla probíhat v rámci zabezpečených platforem a přístup k důležitým údajům by měl být podmíněn vícefaktorovým ověřováním. 

Sjednejte si schůzku s ALVAO konzultanty

Konkrétní povinnosti NIS2 se mohou změnit

Výše zmíněné okruhy zůstanou stejné, jejich podrobnosti se mohou lehce změnit s příchodem zákona o kybernetické bezpečnosti, který zavede výše definované regulace ze „surové“ NIS2 do praxe v České republice.

EU doporučuje využívat certifikované produkty

Směrnice NIS2 ukládá Evropské komisi i České republice pravomoc kdykoliv v budoucnu stanovit povinnost regulovaným osobám, využívat pouze certifikované produkty, služby nebo procesy. V případě České rebubliky by takový seznam s největší pravděpodobností kopíroval software, který stát nabízí v eGovernment cloud, ve kterém najdete i ALVAO.

Máte certifikaci ISO 27001? NIS2 nebude problém!

Úprava je inspirovaná standardy i best practicies, které vychází např. z požadavků ISO 27 001. Máte-li tuto normu, nemělo by přizpůsobení se požadavkům zákonů být složité. 

Vytěžte z povinností NIS2 něco dobrého. Splněním regulací jste kousek od získání certifikace ISO 27001

Splněním regulací z NIS2 vyhovíte požadavkům EU, ale certifikát ani podobné ověření o vaší bezpečnosti nezískáte. Zúročte čas i úsilí, který investujete do NIS2 a rovnou získejte certifikaci ISO 27001. Mezinárodně uznávané osvědčení o bezpečnosti vašich služeb vám otevře dveře k novým zakázkám. 

Průvodce, jak ALVAO pomáhá se směrnicí NIS 2 ke stažení.

Pokuty za nedodržování NIS2 budou dosahovat až 10 mil. EUR

Zejména při nedodržování pravidel spojených s řízením rizik a bezpečnostních incidentů hrozí pokuta o maximální velikost 10 000 000 Kč nebo 2 % z celkového celosvětového ročního obratu.

Kdy s opatřeními začít, a kdy směrnice začne platit?

Nejdéle do října 2024 vytvoří členské státy legislativu (v České republice Zákon o kybernetické bezpečnosti), která obsáhne povinnosti z NIS2. Po přijetí a vejití zákona v platnost dostanete 1 rok na zavedení technických a organizačních opatření.

„Organizacím nedoporučuji čekat na přijetí zákona. Opatřeních je mnoho a jestliže jste ve společnosti kybernetickou bezpečnost zatím neřešili, nemusí být jednoduché vše splnit v požadovaném čase,“ varuje konzultant za bezpečnost Petr Vitouch z ALVAO.

Přečtěte si článek o zavádění bezpečnostních opatření s pomocí ITSM nástrojů

Požadavky NIS2 zvládnete s ALVAO

Pomůžeme vám vyhovět požadavkům NIS2. Do stovek firem v Česku, na Slovensku i ve Velké Británii jsme dodali nástroje, které zjednodušují řízení majektu i služeb IT, a tím zajišťují kybernetickou bezpečnost. 

Kontaktujte naše konzultanty

Zjistěte jak ALVAO pomáhá s bezpečností ve zdravotnictví, bankovním sektoru i výrobních firmách...

Odebírejte CIO newsletter

  • to nejlepším z našeho blogu
  • tipy a triky z IT managmentu
  • inspirativní rozhovory s CIO českých i zahraničních firem
  • pozvánky na webináře a konference


Přihlaste se k odběru newsletteru