V rámci EU vstoupila v platnost 27. prosince 2022, nyní probíhá její implementace do českého právního řádu – schválena bude nejspíš v půlce října a platit začne během roku 2024. Dojde tím k výraznému rozšíření a zpřísnění starší směrnice (NIS) z roku 2016. Z původních cca 400 firem směrnice nově ovlivní až 6 000 českých společností. A splnit její podmínky nebude snadné.
O co přesně se jedná?
Plné znění směrnice si můžete (v češtině) přečíst ZDE.
Ve zkratce: směrnice udává, že členské státy EU mají povinnost identifikovat všechny subjekty, které poskytují páteřní služby, a tyto subjekty následně musí zavést definovaná opatření k prevenci kybernetických útoků. Dochází tak ke sjednocení národních strategií, postupů nebo hodnocení kritérií a rizik, protože v minulosti se stávalo, že jednotlivé země měly ke kyberbezpečnosti odlišné přístupy. Každý členský stát musí také zřídit národní tým pro reakci na počítačové bezpečnostní incidenty.
Směrnice jmenuje konkrétní sektory veřejné i soukromé sféry, kterých se opatření týká. Zároveň rozděluje firmy na subjekty zásadního a důležitého významu.
| Subjekty zásadního významu (vyšší důležitost) | Subjekty důležitého významu (nižší důležitost) |
| energetika | poštovní a kurýrní služby |
| doprava | odpadové hospodářství |
| finanční trhy | chemický průmysl |
| zdravotnictví | potravinářský průmysl |
| vodní hospodářství | výrobní průmysl |
| digitální infrastruktura a služby | |
| veřejná správa | |
| vesmírný průmysl |
Narušení služeb u subjektu zásadního významu by mělo vážný či kritický dopad na ekonomiku země nebo fungování společnosti, proto jsou u těchto firem podmínky přísnější.
Firma zásadního významu
- adoptuje plné znění všech požadavků směrnice,
- musí hlásit veškeré bezpečnostní incidenty,
- musí sledovat varování NÚKIB a proaktivním opatřením na hrozby reagovat,
- je pod kontrolou NÚKIB,
- data a informace musí zpracovávat na serveru v daném regionu,
- musí prověřovat i své kritické dodavatele.
Firma důležitého významu
- adoptuje snížené požadavky směrnice,
- má povinnost hlásit jen bezpečnostní incidenty s výrazným dopadem,
- nemusí sledovat varování NÚKIB,
- je pod kontrolou certifikovaného inspektora NÚKIB,
- data a informace nemusí zpracovávat na serveru v daném regionu,
- nemusí prověřovat své dodavatele.
Jaké změny přinese NIS2 v praxi?
Nová směrnice zavádí opatření organizačního a technického charakteru.
V organizační oblasti se manažeři musí věnovat hodnocení a řízení rizik, zavádět ucelené bezpečnostní politiky s důrazem na udržitelnost provozu služeb a dbát na proškolení personálu. Důraz je kladen i na bezpečnost dodavatelského řetězce.
V oblasti technických opatření se jedná primárně o zabezpečení IT infrastruktury. Mezi to patří:
- Ochrana telekomunikační sítě a správně distribuované systémy, včetně těch s architekturou vysoké dostupnosti.
- Správa a ověřování identit včetně externích uživatelů a dodavatelů.
- Řízení přístupových oprávnění napříč celou strukturou organizace.
- Kryptografie a ochrana citlivých dat, důraz na zálohování a obnovu.
- Ochrana všech zařízení s přístupem do sítě.
Novinkou bude podmínka evidence řešení a hlášení zranitelnosti a incidentů. První hlášení musí firma podat již do 24 hodin od zjištění bezpečnostního problému, druhou podrobnější zprávu musí podat do jednoho měsíce.
Cílem prvního oznámení je omezit potenciální šíření incidentů a umožnit subjektům co nejrychleji eliminovat potenciální hrozbu. Druhé hlášení má zajistit poučení se z předchozích incidentů.
Právě ohlašovací povinnost je pro firmy největší výzvou, protože musí dohlížet a reagovat na incidenty v režimu 24/7/365. Na trhu je přitom nedostatek kvalifikovaných IT specialistů, takže najít interní lidi pro nepřetržitý provoz bude obtížné. Je třeba zaměřit pozornost na chytrá řešení s maximálním využitím pokročilých technologií.
Směrnice začne platit nejpozději 31. prosince 2024, přičemž hned od následujícího měsíce může kontrolní úřad uvalit sankce za nedodržení povinností.
S NIS2 vám dokážeme pomoci
Naše firma System4u v reakci na zavedení NIS2 nabízí službu Managed Detection & Response – balíček pro pokrytí všech požadavků směrnice. Tato služba zahrnuje:
- Bezpečnostní audit vaší IT infrastruktury a podrobnou analýzu stavu s využitím moderních postupů a penetračních testů (on-premise i cloud hosting, sítě, aplikační vrstva, správy identit, koncové body, datová úložiště, zabezpečení dat, zálohování, obnova atp.).
- Odborné konzultace včetně architektonického návrhu a následné implementace doporučených změn.
- Službu dohledového centra bezpečnosti (SOC365) včetně řešení a reportování incidentů.
Se službou Managed Detection & Response budete mít jistotu, že fungujete v souladu s NIS2 i s dalšími předpisy jako GDPR nebo ISO 27001. Pokud se o tom chcete pobavit více, dejte nám vědět.
