Organizace musí přijmout nejen technická, ale též organizační opatření k řízení bezpečnostních rizik. Cílem nové směrnice je též výrazně posílit schopnosti organizací reagovat na kybernetické incidenty a krize. Směrnice NIS2 vstoupila v platnost v lednu 2023 a členské státy EU.
Proč se zaměřit na bezpečnost?
- Finanční ochrana – Prevence je levnější než následky útoku.
- Důvěra zákazníků – Ochrana dat posiluje reputaci firmy.
- Minimalizace výpadků – Stabilita je klíčová pro konkurenceschopnost.
- Právní odpovědnost – Nedodržení NIS2 může znamenat vysoké pokuty.
Koho se týká?
V ČR začne platit od roku 2025 a dotkne se přibližně 6 000 subjektů, včetně:
- Organizací poskytujících kritické služby (zdravotnictví, doprava, finance, energetika atd.) a zároveň středních a velkých podniků (nad 50 zaměstnanců nebo 250 mil. Kč obratu).
- Dodavatelských řetězců těchto firem.
Hlavní povinnosti dle NIS2:
- Ohlášení regulované služby – Do 60 dnů prostřednictvím Portálu NÚKIB.
- Hlášení kontaktních údajů – Do 30 dnů od doručení rozhodnutí o registraci.
- Stanovení rozsahu řízení kybernetické bezpečnosti – Definice rozsahu regulace v organizaci.
- Zavádění bezpečnostních opatření – Do 1 roku od doručení rozhodnutí o registraci.
- Hlášení kybernetických incidentů – Do 1 roku od doručení rozhodnutí o registraci.
- Informování zákazníků o incidentech – Do 1 roku od doručení rozhodnutí o registraci.
- Provádění protiopatření vydaných NÚKIB – Ihned podle lhůty stanovené v protiopatření.
- Plnění povinností z mechanismu bezpečnosti dodavatelského řetězce – Do 1 roku od registrace.
- Zajištění dostupnosti strategických služeb z ČR – Do 1 roku od registrace.
Jak se připravit na NIS2?
1. Analýza současného stavu
Nejprve je nutné provést důkladné hodnocení stavu IT infrastruktury a porovnat ji s požadavky směrnice NIS2. Identifikujte slabá místa v technických opatřeních zabezpečení a zhodnoťte procesní řízení ve společnosti. Stanovte realistické cíle pro implementaci opatření, zahrnující jak technická řešení, tak potřebnou dokumentaci.
2. Plán implementace
- Stanovení odpovědné osoby a bezpečnostního týmu
- Definice zaváděných opatření, prioritizace a dohled na projektový harmonogram
- Rozdělení zdrojů a kapacity
3. Zavedení opatření
Implementace se skládá z technických, organizačních a procesních kroků, včetně:
Technická opatření:
- Architektura nulové důvěry (Zero Trust)
- Identita: Ověřování identity uživatelů, zařízení a služeb pomocí silné autentizace a principu nejmenších oprávnění.
- Zařízení: Moderní správa a zajištění bezpečnosti všech zařízení připojených k síti, včetně mobilních zařízení.
- Sítě: Segmentace sítě a kontrola přístupu na základě kontextu a rizik.
- Data: Ochrana dat pomocí klasifikace, šifrování a omezení přístupu na základě atributů dat. Vytvoření a obnovení ze zálohy.
- Viditelnost a analýza: Získávání přehledu o bezpečnostních incidentech a využívání analýzy pro detekci hrozeb a zlepšení obrany.
Organizační opatření:
- Řízení rizik: Provádění komplexního hodnocení kybernetických rizik, od zjištění a prioritizaci až po řízení opatření na jejich zvládnutí
- Odpovědnost vedení: Vedení organizace musí dohlížet na kybernetickou bezpečnost, schvalovat opatření a být proškoleno v oblasti kybernetických rizik.
- Hlášení incidentů: Organizace musí mít procesy pro rychlé hlášení bezpečnostních incidentů s významným dopadem na poskytování služeb. NIS2 stanovuje konkrétní lhůty pro oznámení, například 24hodinové „včasné varování“.
- Kontinuita provozu: Plánování zajištění kontinuity provozu v případě kybernetických incidentů, včetně obnovy systémů, nouzových postupů a vytvoření krizového týmu.
4. Kontinuální monitorování
Pravidelné audity a testování efektivity opatření pomáhají zajistit trvalou shodu s NIS2, kupříkladu formou penetrační testování, skenování systémů a aplikací za účelem nalezení známých zranitelností nebo kontrola aplikací na chyby v kódu, které by mohly být zneužity útočníky. Tyto oblasti pomáhají zajistit, že bezpečnostní opatření jsou stále účinná a organizace je připravena čelit kybernetickým hrozbám.
Co dál?
Zajištění souladu s NIS2 vyžaduje systematický přístup. Čím dříve firmy začnou s přípravou, tím lépe minimalizují rizika a náklady spojené s implementací nových pravidel.
Potřebujete poradit? Provedeme Vás celým procesem!
