Organizácie musia prijať nielen technické, ale aj organizačné opatrenia na riadenie bezpečnostných rizík. Cieľom novej smernice je tiež výrazne posilniť schopnosť organizácií reagovať na kybernetické incidenty a krízy. Smernica NIS2 nadobudla účinnosť v januári 2023 a členské štáty EÚ.
Prečo sa zamerať na bezpečnosť?
- Finančná ochrana – prevencia je lacnejšia ako následky útoku.
- Dôvera zákazníkov – ochrana údajov posilňuje dobré meno spoločnosti.
- Minimalizujte prestoje – stabilita je kľúčom ku konkurencieschopnosti.
- Právna zodpovednosť – nedodržanie požiadaviek NIS2 môže mať za následok vysoké pokuty.
O koho ide?
V Českej republike bude platiť od roku 2025 a dotkne sa približne 6 000 subjektov vrátane:
- Organizácie poskytujúce kritické služby (zdravotníctvo, doprava, financie, energetika atď.) a stredné a veľké podniky (nad 50 zamestnancov alebo 250 miliónov Kč obratu).
- Dodávateľské reťazce týchto spoločností.
Hlavné povinnosti podľa NIS2:
- Oznámenie o regulovanej službe – do 60 dní prostredníctvom portálu NUCIB.
- Nahlásenie kontaktných údajov – do 30 dní od prijatia rozhodnutia o registrácii.
- Určenie rozsahu riadenia kybernetickej bezpečnosti – vymedzenie rozsahu regulácie v organizácii.
- Implementácia bezpečnostných opatrení – do 1 roka od prijatia rozhodnutia o registrácii.
- Hlásenie kybernetických incidentov – do 1 roka od prijatia rozhodnutia o registrácii.
- Informovanie zákazníkov o incidentoch – do 1 roka od prijatia rozhodnutia o registrácii.
- Vykonávanie protiopatrení vydaných NUCIB – Bezodkladne podľa lehoty stanovenej v protiopatrení.
- Dodržiavanie povinností vyplývajúcich z bezpečnostného mechanizmu dodávateľského reťazca – do 1 roka od registrácie.
- Zabezpečenie dostupnosti strategických služieb z Českej republiky – do 1 roka od registrácie.
Ako sa pripraviť na NIS2?
1. Analýza súčasnej situácie
Najprv je potrebné vykonať dôkladné posúdenie stavu IT infraštruktúry a porovnať ju s požiadavkami smernice NIS2. Identifikujte nedostatky v technických bezpečnostných opatreniach a posúďte riadenie procesov v spoločnosti. Stanovte realistické ciele implementácie opatrení vrátane technických riešení aj potrebnej dokumentácie.
2. Plán realizácie
- Určenie zodpovednej osoby a bezpečnostného tímu
- Definovanie opatrení, ktoré sa majú vykonať, stanovenie priorít a dohľad nad harmonogramom projektu
- Pridelenie zdrojov a kapacity
3. Zavedenie opatrení
Implementácia pozostáva z technických, organizačných a procesných krokov vrátane:
Technické opatrenia:
- Architektúra nulovej dôveryhodnosti
- Identita: overovanie identity používateľov, zariadení a služieb pomocou silného overovania a princípu najmenších privilégií.
- Zariadenia: moderná správa a zabezpečenie všetkých zariadení pripojených k sieti vrátane mobilných zariadení.
- Siete: Segmentácia siete a riadenie prístupu na základe kontextu a rizika.
- Údaje: ochrana údajov prostredníctvom klasifikácie, šifrovania a obmedzenia prístupu na základe atribútov údajov. Vytváranie a obnovovanie zo zálohy.
- Viditeľnosť a analytika: získavanie prehľadu o bezpečnostných incidentoch a využívanie analytiky na odhaľovanie hrozieb a zlepšovanie obrany.
Organizačné opatrenia:
- Riadenie rizík: komplexné posúdenie kybernetických rizík, od ich identifikácie a stanovenia priorít až po riadenie opatrení na ich zvládnutie.
- Zodpovednosť manažmentu: manažment organizácie musí dohliadať na kybernetickú bezpečnosť, schvaľovať opatrenia a byť vyškolený v oblasti kybernetických rizík.
- Hlásenie incidentov: organizácia musí mať zavedené postupy na rýchle hlásenie bezpečnostných incidentov s významným vplyvom na poskytovanie služieb. V NIS2 sú stanovené konkrétne lehoty na oznamovanie, napríklad 24-hodinové „včasné varovanie“.
- Kontinuita podnikania: Plánovanie kontinuity činnosti v prípade kybernetického incidentu vrátane obnovy systémov, núdzových postupov a vytvorenia krízového tímu.
4. Priebežné monitorovanie
Pravidelné audity a testovanie účinnosti opatrení pomáhajú zabezpečiť trvalý súlad s NIS2, napríklad prostredníctvom penetračných testov, skenovania systémov a aplikácií na známe zraniteľnosti alebo kontroly aplikácií na zraniteľnosť kódu, ktorú by mohli útočníci zneužiť. Tieto oblasti pomáhajú zabezpečiť, aby boli bezpečnostné opatrenia stále účinné a aby bola organizácia pripravená čeliť kybernetickým hrozbám.
Čo ďalej?
Zabezpečenie súladu s NIS2 si vyžaduje systematický prístup. Čím skôr sa firmy začnú pripravovať, tým lepšie môžu minimalizovať riziká a náklady spojené s implementáciou nových pravidiel.
Potrebujete poradiť? Prevedieme vás celým procesom!
