V rámci EÚ nadobudla platnosť 27. decembra 2022, v súčasnosti sa implementuje do českého právneho systému – schválená bude pravdepodobne v polovici októbra a účinnosť nadobudne v roku 2024. Ide o výrazné rozšírenie a sprísnenie staršej smernice (NIS) z roku 2016. Smernica sa teraz bude týkať až 6 000 českých spoločností z pôvodných približne 400. A splniť jeho podmienky nebude ľahké.
Čo presne to je?
Úplné znenie smernice (v slovenčine) si môžete prečítať TU.
V smernici sa v skratke uvádza, že členské štáty EÚ sú povinné identifikovať všetky subjekty, ktoré poskytujú chrbticové služby, a tieto subjekty musia následne zaviesť definované opatrenia na prevenciu kybernetických útokov. Ide o spôsob, ako zjednotiť národné stratégie, postupy alebo kritériá a hodnotenia rizík, keďže v minulosti mali krajiny rôzne prístupy ku kybernetickej bezpečnosti. Každý členský štát musí tiež zriadiť národný tím pre reakciu na kybernetické bezpečnostné incidenty.
V smernici sa uvádzajú konkrétne verejné a súkromné sektory, ktorých sa opatrenie týka. Zároveň rozdeľuje firmy na subjekty zásadného a dôležitého významu.
| Predmety s veľkým významom (väčší význam) | Predmety veľkého významu (menšieho významu) |
| Energia | poštové a kuriérske služby |
| doprava | odpadové hospodárstvo |
| finančné trhy | chemický priemysel |
| Zdravotná starostlivosť | potravinársky priemysel |
| hospodárenie s vodou | výrobný priemysel |
| digitálna infraštruktúra a služby | |
| verejná správa | |
| vesmírny priemysel |
Prerušenie služieb v kritickom subjekte by malo vážny alebo kritický vplyv na hospodárstvo krajiny alebo fungovanie spoločnosti, preto sú podmienky pre tieto spoločnosti prísnejšie.
Spoločnosť zásadného významu
- prijíma úplné znenie všetkých požiadaviek smernice,
- musí hlásiť všetky bezpečnostné incidenty,
- musí dodržiavať varovania NCIB a reagovať na hrozby proaktívnymi opatreniami,
- je pod kontrolou NCIB,
- údaje a informácie sa musia spracovať na serveri v regióne,
- musia preveriť aj svojich kritických dodávateľov.
Spoločnosť veľkého významu
- prijíma znížené požiadavky smernice,
- je povinná hlásiť len bezpečnostné incidenty s významným vplyvom,
- nemusíte dodržiavať varovania NCIS,
- je pod kontrolou certifikovaného inšpektora NUCIB,
- údaje a informácie sa nemusia spracúvať na serveri v regióne,
- nemusia preverovať svojich dodávateľov.
Aké zmeny prinesie NIS2 v praxi?
Nová smernica zavádza opatrenia organizačného a technického charakteru.
V organizačnej oblasti sa manažéri musia zamerať na hodnotenie a riadenie rizík, zaviesť komplexnú bezpečnostnú politiku s dôrazom na udržateľnosť prevádzky služieb a zabezpečiť školenie zamestnancov. Dôraz sa kladie aj na bezpečnosť dodávateľského reťazca.
V oblasti technických opatrení ide predovšetkým o bezpečnosť IT infraštruktúry. Patria medzi ne:
- Ochrana telekomunikačných sietí a správne distribuované systémy vrátane systémov s architektúrou vysokej dostupnosti.
- Správa identít a autentifikácia vrátane externých používateľov a dodávateľov.
- Kontrola prístupových oprávnení v celej organizácii.
- Kryptografia a ochrana citlivých údajov, dôraz na zálohovanie a obnovu.
- Ochrana všetkých zariadení s prístupom do siete.
Novinkou bude požiadavka na zaznamenávanie riešenia a hlásenia zraniteľností a incidentov. Prvú správu je potrebné predložiť do 24 hodín od zistenia bezpečnostného problému a druhú, podrobnejšiu správu je potrebné predložiť do jedného mesiaca.
Cieľom prvého oznámenia je obmedziť potenciálne šírenie incidentov a umožniť prevádzkovateľom čo najrýchlejšie odstrániť potenciálnu hrozbu. Cieľom druhej správy je zabezpečiť, aby sa z predchádzajúcich incidentov vyvodili dôsledky.
Práve povinnosť podávať správy je pre spoločnosti najväčšou výzvou, pretože musia monitorovať a reagovať na incidenty 24 hodín denne, 7 dní v týždni a 365 dní v týždni. Zároveň je na trhu nedostatok kvalifikovaných IT špecialistov, takže bude ťažké nájsť interných ľudí na nepretržitú prevádzku. Dôraz by sa mal klásť na inteligentné riešenia s maximálnym využitím moderných technológií.
Smernica nadobudne účinnosť najneskôr 31. decembra. decembra 2024 a kontrolný orgán môže uložiť sankcie za nedodržanie od nasledujúceho mesiaca.
Pomocou systému NIS2 vám môžeme pomôcť
V reakcii na zavedenie NIS2 ponúka naša spoločnosť System4u balík Managed Detection & Response, ktorý pokrýva všetky požiadavky smernice. Táto služba zahŕňa:
- Bezpečnostný audit vašej IT infraštruktúry a podrobná analýza jej stavu pomocou moderných techník a penetračných testov (on-premise a cloud hosting, siete, aplikačná vrstva, správa identít, koncové body, ukladanie dát, bezpečnosť dát, zálohovanie, obnova atď.).
- Odborné konzultácie vrátane architektonického návrhu a následnej implementácie odporúčaných zmien.
- Služba Security Support Service (SOC365) vrátane spracovania incidentov a podávania správ.
S riadenou detekciou a reakciou budete mať istotu, že pracujete v súlade s NIS2 a ďalšími predpismi, ako je GDPR alebo ISO 27001. Ak o tom chcete hovoriť viac, dajte nám vedieť.
