Obsah článku
- Dotknou se regulace z NIS2 i vaší organizace?
- Opatření z NIS2 ovlivní celou organizaci. Za implementaci zodpovídá management
- Povinnosti NIS2 jsou rozdělené do 10 tématických okruhů, které musíte splnit
- Konkrétní povinnosti NIS2 se mohou změnit
- EU doporučuje využívat certifikované produkty
- Máte certifikaci ISO 27001? NIS2 nebude problém!
- Vytěžte z povinností NIS2 něco dobrého. Splněním regulací jste kousek od získání certifika...
- Pokuty za nedodržování NIS2 budou dosahovat až 10 mil. EUR
- Kdy s opatřeními začít, a kdy směrnice začne platit?
- Požadavky NIS2 zvládnete s ALVAO
Dotknou se regulace z NIS2 i vaší organizace?
Ještě netušíte, zda nová směrnice o kybernetické bezpečnosti postihne i vás? Anebo o regulacích z NIS2 zatím nic nevíte?
Opatření z NIS2 ovlivní celou organizaci. Za implementaci zodpovídá management
Organizace musí navrhnout a zavést přiměřená opatření, která posílí kybernetickou bezpečnost. Nejenom na úrovni ochrany či šifrování dat. Střední a velké podniky musí zavést bezpečnostní procesy, organizovat školení či korigovat bezpečnost napříč dodavatelským řetězcem. Za dodržování NIS2 ponese zodpovědnost vedení organizace.
Povinnosti NIS2 jsou rozdělené do 10 tématických okruhů, které musíte splnit
Konkrétní požadavky na kybernetickou bezpečnost se budou lišit dle vašeho zařazení do kategorie important či essential a úprav zákona, který v roce 2024 vejde v platnost. V zásadě se opatření týkají 10 okruhů, které více či méně musí přijmout každá regulovaná organizace.
1. Analýza rizik
Alfa-omega NIS2. Směrnice udává jako nezbytné zanalyzovat rizika na úrovni kybernetické bezpečnosti a připravit scénáře, které mimořádné situace řeší. K tomu potřebujete zmapovaná aktiva, informace o fungování ve firmě a firemní data v požadovaném detailu. Analýzu nebudete chtít vypracovávat na papír a ztráčet čas přepisováním a složitým dohledáváním informací, a proto navíc potřebujete nástroj, ve kterém ji provedete.
2. Bezpečnostní incidenty
NIS2 vám ukládá povinnost možným incidentům nejen předcházet, ale také být připraveni je vyřešit, zaevidovat a nahlásit příslušným orgánům. Řešení incidentů je hlavním bodem NIS2. Za nedodržování budou udělovány ty nejvyšší pokuty, protože i jeden závažný incident může paralyzovat podniky v několika zemích najednou.
Incident = událost, která má negativní dopad na bezpečnost informačního systému nebo dat v organizaci. Incidentem je např. neoprávněný přístup k datům, šíření škodlivého softwaru (malware), ztráta dat, narušení normálního provozu, atd.
NÚKIBU se musíte ozvat do 24 hodin od incidentu
Obě regulovaná odvětví, jak important, tak essential, jsou povinny hlásit takové incidenty, které mají významný dopad na poskytování jejich služeb – nejpozději do 24 hodin od jejich zjištění. EU takové incidenty definuje jako událost, která způsobila nebo může způsobit:
- provozní narušení služeb nebo finanční ztráty dané organizaci.
- značnou materiální nebo nehmotnou újmu jiným fyzickým nebo právnickým osobám.
Nemáte zkušenosti s řešením incidentů ve firmě? Rok na zavedení nutných opatření vám nemusí stačit
Jestliže jste doteď v organizaci incidenty neřešili doporučujeme s opatřeními začít co nejdříve. Jedna věc je incident zvládnout, druhá je reportovat jeho průběh/dopad a přijmout opatření na jeho základě. Na obojí si NÚKIB posvítí při pravidelných kontrolách.
Jak incidenty zaznamenávat a řešit? Jak připravit organizaci na možné útoky? Konzultanti z ALVAO si připravili krátkou, ale trefnou přednášku o Řešení nejen bezpečnostních incidentů v praxi.
Podívat se na záznam přednášky
3. Kontinuita činností
V praxi je nezbytné nastavení systémů a praktických postupů, které minimalizují dopady možných incidentů. Tzn. plán krizového řízení, který vám umožní rychlou a koordinovanou reakci na krizovou situaci.
Neobejdete se ani bez Disaster recovery – soubor zásad, nástrojů a postupů, které vám umožní obnovit provoz a pokračovat v něm bez ohledu na incident.
V neposlední řadě byste měli mít zálohovaná data, které vám s kontinuitou činností – rozběhnutím provozu po incidentu – pomohou. K tomu potřebujete vědět, kde je záloha uložená, kdo za ni zodpovídá, atd. Systém vás provede jednotlivými procesy – reagujete pohotově, efektivně a krizovou situaci dokážete podchytit ještě v zárodku.
4. Bezpečnost dodavatelského řetězce
Máte dostatečné informace o vašich dodavatelích? Dokumentujete všechny organizace v dodavatelském řetězci? Dokážete smlouvy s nimi jednoduše dohledat? S příchodem NIS2 budete muset. Vaší povinností je zajistit bezpečnost v rámci dodavatelského řetězce.
Organizace ve vyšších povinnostech zodpovídají za bezpečnost svých dodavatelů
Regulace nemusí zasáhnout jenom konkrétní podnik. Týkat se mohou i dodavatelů firem z oblasti vyšších povinností (essential). Je možné, že dodavatelé budou nuceni přijmout požadovaná bezpečnostní opatření.
V některých případech může být možné na základě právních předpisů zakázat plnění konkrétním dodavatelem, nepřijme-li opatření, které vyplývají z NIS2.
5. Software, licence, přístupy
Každá organizace musí mít přehled o systémech, které na zaměstnanecké technice běží. To znamená, dostat pod kontrolu informace o nainstalovaném softwaru i využitých licencích. Jste povinni monitorovat programy na počítačích zaměstnanců, a tím zamezit instalaci i použití pirátského či nelegálního softwaru.
Management je povinný plánovat údržbu softwaru i operačních systémů na technice – vše musíte udržovat aktuální a bezpečné s ochranou firewallu. Místnosti jako serverovna by měla mít regulovaný přístup a organizace by měla vědět, kdo má přístup do jakých oddělení. S přesnými informacemi již nemusíte mít strach z auditů, plánování rozpočtu ani zbytečných nákladů na licence. Spravujte softwarová aktiva v ALVAO.
Více o Software Asset Managementu
6. Experti na kybernetickou bezpečnost
Každý regulovaný subjekt musí jmenovat zodpovědnou osobu za kybernetickou bezpečnost.
- Organizacím v nižším režimu postačí jeden člověk. Zaměstnanec odpovědný za řízení a rozvoj kyberbezpečnosti, dohled nad jejím stavem a komunikaci s vrcholným vedením.
- Firmy zařazené do vyšších povinností musejí zaměstnat – manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiv + auditora kybernetické bezpečnosti.
Organizace musí řídit vlastní/interní audity, evidovat informace z nich a na základě jejich závěrů přijímat opatření pro zlepšování systému řízení bezpečnosti informací.
7. Vzdělávání managementu i zaměstnanců
Vedení organizace má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních své zaměstnance. A to konkrétně např. vytvářením vzdělávacích plánů.
8. Šifrování dat
Vaše data by měla být adekvátně šifrována nebo alespoň chráněna před možnými útoky. Informace a data, by se neměla dostat mimo vaší organizaci, a pokud ano, jedině s vaším vědomím.
9. Bezpečnost lidských zdrojů, řízení přístupů i aktiv
Máte popsaná aktiva? Znáte jejich závislosti napříč organizací? Evidujete přístupy zaměstnanců k jednotlivým aktivům? Řízení aktiv patří k základům kybernetické bezpečnosti a hlavním bodům směrnice NIS2.
Aktiva by měly být známá, identifikována a popsána, stejně tak kritické systémy a IT služby. Dále byste měli evidovat majetek na konkrétní uživatele společně s právy k němu, protože jedině tak docílíte bezpečnosti. Kompletní data vám ukážou, kdo má jaký přístup k technice, a kde jsou aktiva provázaná.
Více o Hardware Asset Managementu
10. Vícefaktorové ověřování a komunikační nástroje
Komunikace v týmech a organizaci by měla probíhat v rámci zabezpečených platforem a přístup k důležitým údajům by měl být podmíněn vícefaktorovým ověřováním.
Sjednejte si schůzku s ALVAO konzultanty
Konkrétní povinnosti NIS2 se mohou změnit
Výše zmíněné okruhy zůstanou stejné, jejich podrobnosti se mohou lehce změnit s příchodem zákona o kybernetické bezpečnosti, který zavede výše definované regulace ze „surové“ NIS2 do praxe v České republice.
EU doporučuje využívat certifikované produkty
Směrnice NIS2 ukládá Evropské komisi i České republice pravomoc kdykoliv v budoucnu stanovit povinnost regulovaným osobám, využívat pouze certifikované produkty, služby nebo procesy. V případě České rebubliky by takový seznam s největší pravděpodobností kopíroval software, který stát nabízí v eGovernment cloud, ve kterém najdete i ALVAO.
Máte certifikaci ISO 27001? NIS2 nebude problém!
Úprava je inspirovaná standardy i best practicies, které vychází např. z požadavků ISO 27 001. Máte-li tuto normu, nemělo by přizpůsobení se požadavkům zákonů být složité.
Vytěžte z povinností NIS2 něco dobrého. Splněním regulací jste kousek od získání certifikace ISO 27001
Splněním regulací z NIS2 vyhovíte požadavkům EU, ale certifikát ani podobné ověření o vaší bezpečnosti nezískáte. Zúročte čas i úsilí, který investujete do NIS2 a rovnou získejte certifikaci ISO 27001. Mezinárodně uznávané osvědčení o bezpečnosti vašich služeb vám otevře dveře k novým zakázkám.
Pokuty za nedodržování NIS2 budou dosahovat až 10 mil. EUR
Zejména při nedodržování pravidel spojených s řízením rizik a bezpečnostních incidentů hrozí pokuta o maximální velikost 10 000 000 Kč nebo 2 % z celkového celosvětového ročního obratu.
Kdy s opatřeními začít, a kdy směrnice začne platit?
Nejdéle do října 2024 vytvoří členské státy legislativu (v České republice Zákon o kybernetické bezpečnosti), která obsáhne povinnosti z NIS2. Po přijetí a vejití zákona v platnost dostanete 1 rok na zavedení technických a organizačních opatření.
„Organizacím nedoporučuji čekat na přijetí zákona. Opatřeních je mnoho a jestliže jste ve společnosti kybernetickou bezpečnost zatím neřešili, nemusí být jednoduché vše splnit v požadovaném čase,“ varuje konzultant za bezpečnost Petr Vitouch z ALVAO.
Přečtěte si článek o zavádění bezpečnostních opatření s pomocí ITSM nástrojů
Požadavky NIS2 zvládnete s ALVAO
Pomůžeme vám vyhovět požadavkům NIS2. Do stovek firem v Česku, na Slovensku i ve Velké Británii jsme dodali nástroje, které zjednodušují řízení majektu i služeb IT, a tím zajišťují kybernetickou bezpečnost.
Zjistěte jak ALVAO pomáhá s bezpečností ve zdravotnictví, bankovním sektoru i výrobních firmách...