V rámci EÚ nadobudla platnosť 27. decembra 2022, v súčasnosti sa implementuje do českého právneho systému – schválená bude pravdepodobne v polovici októbra a účinnosť nadobudne v roku 2024. Ide o výrazné rozšírenie a sprísnenie staršej smernice (NIS) z roku 2016. Smernica sa teraz bude týkať až 6 000 českých spoločností z pôvodných približne 400. A splniť jej podmienky nebude ľahké.
O čo sa jedná?
Úplné znenie smernice (v češtine) si môžete prečítať TU.
V skratke: V smernici sa uvádza, že členské štáty EÚ sú povinné identifikovať všetky subjekty, ktoré poskytujú kľúčové služby, a tieto subjekty musia následne zaviesť definované opatrenia na prevenciu kybernetických útokov. Ide o spôsob, ako zjednotiť národné stratégie, postupy alebo kritériá a hodnotenia rizík, keďže v minulosti mali krajiny rôzne prístupy ku kybernetickej bezpečnosti. Každý členský štát musí tiež zriadiť národný tím pre reakciu na kybernetické bezpečnostné incidenty.
V smernici sa uvádzajú konkrétne verejné a súkromné sektory, ktorých sa opatrenie týka. Zároveň rozdeľuje firmy na subjekty zásadného a dôležitého významu.
| Subjekty zásadného významu (vyššia dôležitosť) | Subjekty dôležitého významu (nižšia dôležitosť) |
| energetika | poštové a kuriérske služby |
| doprava | odpadové hospodárstvo |
| finančné trhy | chemický priemysel |
| Zdravotná starostlivosť | potravinársky priemysel |
| Vodné hospodárstvo | výrobný priemysel |
| digitálna infraštruktúra a služby | |
| verejná správa | |
| vesmírny priemysel |
Narušenie služieb v subjekte zásadného významu by malo vážny alebo kritický dopad na ekonomiku zeme alebo fungovanie spoločnosti, preto sú podmienky pre tieto spoločnosti prísnejšie.
Spoločnosť zásadného významu
- prijíma úplné znenie všetkých požiadaviek smernice,
- musí hlásiť všetky bezpečnostné incidenty,
- musí sledovať varovania NCIB a reagovať na hrozby proaktívnymi opatreniami,
- je pod kontrolou NCIB,
- údaje a informácie sa musia spracovávať na serveri v danom regióne,
- musia preveriť aj svojich kritických dodávateľov.
Spoločnosť dôležitého významu
- prijíma znížené požiadavky smernice,
- je povinná hlásiť len bezpečnostné incidenty s významným vplyvom,
- nemusí sledovať varovania NCIS,
- je pod kontrolou certifikovaného inšpektora NUCIB,
- údaje a informácie sa nemusí spracovávať na serveri v danom regióne,
- nemusí preverovať svojich dodávateľov.
Aké zmeny prinesie NIS2 v praxi?
Nová smernica zavádza opatrenia organizačného a technického charakteru.
V organizačnej oblasti sa manažéri musia zamerať na hodnotenie a riadenie rizík, zaviesť komplexnú bezpečnostnú politiku s dôrazom na udržateľnosť prevádzky služieb a zabezpečiť školenie zamestnancov. Dôraz sa kladie aj na bezpečnosť dodávateľského reťazca.
V oblasti technických opatrení ide predovšetkým o zabezpečenie IT infraštruktúry. Patria medzi ne:
- Ochrana telekomunikačných sietí a správne distribuované systémy vrátane systémov s architektúrou vysokej dostupnosti.
- Správa identít a autentifikácia vrátane externých používateľov a dodávateľov.
- Kontrola prístupových oprávnení v celej organizácii.
- Kryptografia a ochrana citlivých údajov, dôraz na zálohovanie a obnovu.
- Ochrana všetkých zariadení s prístupom do siete.
Novinkou bude požiadavka na zaznamenávanie riešenia a hlásenia zraniteľností a incidentov. Prvú správu je potrebné predložiť do 24 hodín od zistenia bezpečnostného problému a druhú, podrobnejšiu správu je potrebné predložiť do jedného mesiaca.
Cieľom prvého oznámenia je obmedziť potenciálne šírenie incidentov a umožniť prevádzkovateľom čo najrýchlejšie odstrániť potenciálnu hrozbu. Cieľom druhej správy je zabezpečiť poučenie sa z predchádzajúcích incidentov.
Práve povinnosť podávať správy je pre spoločnosti najväčšou výzvou, pretože musia monitorovať a reagovať na incidenty 24 hodín denne, 7 dní v týždni a 365 dní v roku. Zároveň je na trhu nedostatok kvalifikovaných IT špecialistov, takže bude ťažké nájsť interných ľudí na nepretržitú prevádzku. Dôraz by sa mal klásť na inteligentné riešenia s maximálnym využitím moderných technológií.
Smernica nadobudne účinnosť najneskôr 31. decembra 2024 a kontrolný orgán môže uložiť sankcie za nedodržanie hneď od nasledujúceho mesiaca.
Pomocou systému NIS2 vám môžeme pomôcť
V reakcii na zavedenie NIS2 ponúka naša spoločnosť System4u balík Managed Detection & Response, ktorý pokrýva všetky požiadavky smernice. Táto služba zahŕňa:
- Bezpečnostný audit vašej IT infraštruktúry a podrobnú analýzu jej stavu pomocou moderných techník a penetračných testov (on-premise a cloud hosting, siete, aplikačná vrstva, správa identít, koncové body, ukladanie dát, zabezpečenie dát, zálohovanie, obnova atď.).
- Odborné konzultácie vrátane architektonického návrhu a následnej implementácie odporúčaných zmien.
- Službu Security Operations Service (SOC365) vrátane spracovania incidentov a podávania správ.
S riadenou detekciou a reakciou budete mať istotu, že pracujete v súlade s NIS2 a ďalšími predpismi, ako je GDPR alebo ISO 27001. Ak máte záujem dozvedieť sa ďalšie detaily, dajte nám vedieť.
