Dotknou se regulace z NIS2 i vaší organizace?
NIS2 nabude účinnosti v České republice od 1.11.2025. Co to znamená v praxi? Organizace musí navrhnout a zavést přiměřená opatření, která posílí kybernetickou bezpečnost, nejenom na úrovni ochrany či šifrování dat. Střední a velké podniky musí zavést bezpečnostní procesy, organizovat školení či korigovat bezpečnost napříč dodavatelským řetězcem. Za dodržování NIS2 ponese zodpovědnost vedení organizace.
Co znamená nový zákon o kybernetické bezpečnosti?
Vzhledem k tomu, že směrnice NIS2 přináší zásadní změny v oblasti kybernetické bezpečnosti, rozhodl se NÚKIB místo novelizace stávající úpravy připravit zcela nový zákon o kybernetické bezpečnosti (nZKB). Tento zákon nahradí dosavadní právní předpisy v oblasti kybernetické bezpečnosti v České republice a nabude účinnosti 1. listopadu 2025.
Na koho nový zákon dopadne a jaké jsou základní povinnosti regulovaných organizací? Přečtěte si zde.
Portál NÚKIB uvádí: "Hlavním cílem nové regulace je nastavení alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky či bezpečnostně významných odvětvích a splňují další vybraná kritéria. Jelikož směrnice NIS2 rozšířila okruh regulovaných odvětví i služeb, bude nový zákon dopadat na výrazně větší počet organizací."
Základní povinnosti organizací dle portálu NÚKIB jsou:
- Ohlášení služby, kterou organizace poskytuje.
- Nahlášení kontaktních údajů osob odpovědných za kybernetickou bezpečnost v organizaci.
- Postupné zavádění bezpečnostních opatření.
- Hlášení kybernetických bezpečnostních incidentů.
- Provádění protiopatření vydaných NÚKIB.
Jejich rozsah záleží na tom, zdali společnost spadá do vyššího či nižšího režimu.
Stáhněte si záznam webináře, kde vám prakticky ukážeme, jak se na tento zákon připravit!
Povinnosti NIS2, které musíte splnit
Dotýkají se vaší společnosti směrnice NIS2 a zákon o kybernetické bezpečnosti? Pak vás budou zajímat konkrétní požadavky na kybernetickou bezpečnost, které se lišií dle vašeho zařazení do kategorie "important" či "essential".
TIP: Splněním regulací z NIS2 vyhovíte požadavkům EU, ale certifikát ani podobné ověření o vaší bezpečnosti nezískáte. Zúročte čas i úsilí, který investujete do NIS2 a rovnou získejte certifikaci ISO 27001. Mezinárodně uznávané osvědčení o bezpečnosti vašich služeb vám otevře dveře k novým zakázkám.
Analýza rizik
Alfa-omega NIS2. Směrnice udává jako nezbytné zanalyzovat rizika na úrovni kybernetické bezpečnosti a připravit scénáře, které mimořádné situace řeší. K tomu potřebujete zmapovaná aktiva, informace o fungování ve firmě a firemní data v požadovaném detailu. Analýzu nebudete chtít vypracovávat na papír a ztráčet čas přepisováním a složitým dohledáváním informací, a proto navíc potřebujete nástroj, ve kterém ji provedete.
Bezpečnostní incidenty
NIS2 vám ukládá povinnost možným incidentům nejen předcházet, ale také být připraveni je vyřešit, zaevidovat a nahlásit příslušným orgánům. Řešení incidentů je hlavním bodem NIS2. Za nedodržování budou udělovány ty nejvyšší pokuty, protože i jeden závažný incident může paralyzovat podniky v několika zemích najednou.
Incident = událost, která má negativní dopad na bezpečnost informačního systému nebo dat v organizaci. Incidentem je např. neoprávněný přístup k datům, šíření škodlivého softwaru (malware), ztráta dat, narušení normálního provozu, atd.
NÚKIBU se musíte ozvat do 24 hodin od incidentu
Obě regulovaná odvětví jsou povinna hlásit incidenty, které mají významný dopad na poskytování jejich služeb – nejpozději do 24 hodin od jejich zjištění. EU takové incidenty definuje jako událost, která způsobila nebo může způsobit:
- provozní narušení služeb nebo finanční ztráty dané organizaci.
- značnou materiální nebo nehmotnou újmu jiným fyzickým nebo právnickým osobám.
Bezpečnostní incidenty zaznamenané v ALVAO se odesílají do NÚKIBu automaticky a ve vyžadovaném formátu. Dříve bylo nutné poslat e-mail, přiložit XML report a ručně dohledat všechny potřebné informace. Jakmile je incident zaznamenán, může být odeslán do NÚKIBu.
Nemáte zkušenosti s řešením incidentů ve firmě?
Jestliže jste doteď v organizaci incidenty neřešili, doporučujeme s opatřeními začít co nejdříve. Je potřeba incident zvládnout, reportovat jeho průběh/dopad a přijmout opatření na jeho základě. Na obojí si NÚKIB posvítí při pravidelných kontrolách.
Jak incidenty zaznamenávat a řešit? Jak připravit organizaci na možné útoky? Konzultanti z ALVAO si připravili krátkou, ale trefnou přednášku o Řešení nejen bezpečnostních incidentů v praxi.
Podívat se na záznam přednášky
Kontinuita činností
V praxi je nezbytné nastavení systémů a praktických postupů, které minimalizují dopady možných incidentů. Tzn. plán krizového řízení, který vám umožní rychlou a koordinovanou reakci na krizovou situaci.
Neobejdete se ani bez Disaster recovery – soubor zásad, nástrojů a postupů, které vám umožní obnovit provoz a pokračovat v něm bez ohledu na incident.
V neposlední řadě byste měli mít zálohovaná data, které vám s kontinuitou činností (rozběhnutím provozu po incidentu) pomohou. K tomu potřebujete vědět, kde je záloha uložená, kdo za ni zodpovídá, atd. Systém vás provede jednotlivými procesy - reagujete pohotově, efektivně a krizovou situaci dokážete podchytit ještě v zárodku.
Bezpečnost dodavatelského řetězce
Máte dostatečné informace o vašich dodavatelích? Dokumentujete všechny organizace v dodavatelském řetězci? Dokážete smlouvy s nimi jednoduše dohledat? S příchodem NIS2 budete muset.
Regulace nemusí zasáhnout jenom konkrétní podnik. Organizace ve vyšších povinnostech zodpovídají za bezpečnost svých dodavatelů, přičemž týkat se mohou i dodavatelů firem z oblasti vyšších povinností (essential). Je tedy možné, že dodavatelé budou nuceni přijmout požadovaná bezpečnostní opatření.
Vaší povinností je zajistit bezpečnost v rámci dodavatelského řetězce, s čímž vám ALVAO pomůže.
V některých případech může být možné na základě právních předpisů zakázat plnění konkrétním dodavatelem, nepřijme-li opatření, které vyplývají z NIS2.
Stáhněte si záznam webináře ITSM jako základ kybernetické bezpečnosti.
Software, licence, přístupy
Každá organizace musí mít přehled o systémech, které na zaměstnanecké technice běží. To znamená, dostat pod kontrolu informace o nainstalovaném softwaru i využitých licencích. Jste povinni monitorovat programy na počítačích zaměstnanců, a tím zamezit instalaci i použití pirátského či nelegálního softwaru.
Management je povinný plánovat údržbu softwaru i operačních systémů na technice - vše musíte udržovat aktuální a bezpečné s ochranou firewallu. Místnosti jako serverovna by měla mít regulovaný přístup a organizace by měla vědět, kdo má přístup do jakých oddělení. S přesnými informacemi již nemusíte mít strach z auditů, plánování rozpočtu ani zbytečných nákladů na licence. Spravujte softwarová aktiva v ALVAO.
Více o Software Asset Managementu
Experti na kybernetickou bezpečnost
Každý regulovaný subjekt musí jmenovat zodpovědnou osobu za kybernetickou bezpečnost.
- Organizacím v nižším režimu postačí jeden člověk. Zaměstnanec odpovědný za řízení a rozvoj kyberbezpečnosti, dohled nad jejím stavem a komunikaci s vrcholným vedením.
- Firmy zařazené do vyšších povinností musejí zaměstnat – manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiv + auditora kybernetické bezpečnosti.
Organizace musí řídit vlastní/interní audity, evidovat informace z nich a na základě jejich závěrů přijímat opatření pro zlepšování systému řízení bezpečnosti informací.
Vzdělávání managementu i zaměstnanců
Vedení organizace má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních své zaměstnance. A to konkrétně např. vytvářením vzdělávacích plánů.
Šifrování dat
Vaše data by měla být adekvátně šifrována nebo alespoň chráněna před možnými útoky. Informace a data, by se neměla dostat mimo vaší organizaci, a pokud ano, jedině s vaším vědomím.
Bezpečnost lidských zdrojů, řízení přístupů i aktiv
Máte popsaná aktiva? Znáte jejich závislosti napříč organizací? Evidujete přístupy zaměstnanců k jednotlivým aktivům? Řízení aktiv patří k základům kybernetické bezpečnosti a hlavním bodům směrnice NIS2.
Aktiva by měly být známá, identifikována a popsána, stejně tak kritické systémy a IT služby. Dále byste měli evidovat majetek na konkrétní uživatele společně s právy k němu, protože jedině tak docílíte bezpečnosti. Kompletní data vám ukážou, kdo má jaký přístup k technice, a kde jsou aktiva provázaná.
Více o Hardware Asset Managementu
Vícefaktorové ověřování a komunikační nástroje
Komunikace v týmech a organizaci by měla probíhat v rámci zabezpečených platforem a přístup k důležitým údajům by měl být podmíněn vícefaktorovým ověřováním.
EU doporučuje využívat certifikované produkty
Směrnice NIS2 ukládá Evropské komisi i České republice pravomoc kdykoliv v budoucnu stanovit povinnost regulovaným osobám, využívat pouze certifikované produkty, služby nebo procesy. V případě České rebubliky by takový seznam s největší pravděpodobností kopíroval software, který stát nabízí v eGovernment cloud, ve kterém najdete i ALVAO.
Máte certifikaci ISO 27001? NIS2 nebude problém! Úprava je inspirovaná standardy i best practicies, které vychází např. z požadavků ISO 27 001. Máte-li tuto normu, nemělo by přizpůsobení se požadavkům zákonů být složité.
Pokuty za nedodržování NIS2 budou dosahovat až 10 mil. EUR
Zejména při nedodržování pravidel spojených s řízením rizik a bezpečnostních incidentů hrozí pokuta o maximální velikost 10 000 000 Kč nebo 2 % z celkového celosvětového ročního obratu.
Požadavky NIS2 zvládnete s ALVAO
Pomůžeme vám vyhovět požadavkům NIS2. Do stovek firem po celém světě sme dodali nástroje, které zjednodušují řízení majektu i služeb IT, a tím zajišťují kybernetickou bezpečnost.