Seeky

Smernica NIS 2 sa dotkne 6 000 spoločností. Ste na to pripravení?

Dátum vydania

21. 11. 2023

Zaujíma vás opísaná téma?

kontaktujte nás
Smernica NIS 2 sa dotkne 6 000 spoločností. Ste na to pripravení?

V rámci EÚ nadobudla platnosť 27. decembra 2022, v súčasnosti sa implementuje do českého právneho systému – schválená bude pravdepodobne v polovici októbra a účinnosť nadobudne v roku 2024. Ide o výrazné rozšírenie a sprísnenie staršej smernice (NIS) z roku 2016. Smernica sa teraz bude týkať až 6 000 českých spoločností z pôvodných približne 400. A splniť jej podmienky nebude ľahké.

O čo sa jedná?

Úplné znenie smernice (v češtine) si môžete prečítať TU.

V skratke: V smernici sa uvádza, že členské štáty EÚ sú povinné identifikovať všetky subjekty, ktoré poskytujú kľúčové služby, a tieto subjekty musia následne zaviesť definované opatrenia na prevenciu kybernetických útokov. Ide o spôsob, ako zjednotiť národné stratégie, postupy alebo kritériá a hodnotenia rizík, keďže v minulosti mali krajiny rôzne prístupy ku kybernetickej bezpečnosti. Každý členský štát musí tiež zriadiť národný tím pre reakciu na kybernetické bezpečnostné incidenty.

V smernici sa uvádzajú konkrétne verejné a súkromné sektory, ktorých sa opatrenie týka. Zároveň rozdeľuje firmy na subjekty zásadného a dôležitého významu.

Subjekty zásadného významu (vyššia dôležitosť)Subjekty dôležitého významu (nižšia dôležitosť)
energetikapoštové a kuriérske služby
dopravaodpadové hospodárstvo
finančné trhychemický priemysel
Zdravotná starostlivosťpotravinársky priemysel
Vodné hospodárstvovýrobný priemysel
digitálna infraštruktúra a služby 
verejná správa 
vesmírny priemysel 

Narušenie služieb v subjekte zásadného významu by malo vážny alebo kritický dopad na ekonomiku zeme alebo fungovanie spoločnosti, preto sú podmienky pre tieto spoločnosti prísnejšie.

Spoločnosť zásadného významu

  • prijíma úplné znenie všetkých požiadaviek smernice,
  • musí hlásiť všetky bezpečnostné incidenty,
  • musí sledovať varovania NCIB a reagovať na hrozby proaktívnymi opatreniami,
  • je pod kontrolou NCIB,
  • údaje a informácie sa musia spracovávať na serveri v danom regióne,
  • musia preveriť aj svojich kritických dodávateľov.

Spoločnosť dôležitého významu

  • prijíma znížené požiadavky smernice,
  • je povinná hlásiť len bezpečnostné incidenty s významným vplyvom,
  • nemusí sledovať varovania NCIS,
  • je pod kontrolou certifikovaného inšpektora NUCIB,
  • údaje a informácie sa nemusí spracovávať na serveri v danom regióne,
  • nemusí preverovať svojich dodávateľov.

Aké zmeny prinesie NIS2 v praxi?

Nová smernica zavádza opatrenia organizačného a technického charakteru.

V organizačnej oblasti sa manažéri musia zamerať na hodnotenie a riadenie rizík, zaviesť komplexnú bezpečnostnú politiku s dôrazom na udržateľnosť prevádzky služieb a zabezpečiť školenie zamestnancov. Dôraz sa kladie aj na bezpečnosť dodávateľského reťazca.

V oblasti technických opatrení ide predovšetkým o zabezpečenie IT infraštruktúry. Patria medzi ne:

  • Ochrana telekomunikačných sietí a správne distribuované systémy vrátane systémov s architektúrou vysokej dostupnosti.
  • Správa identít a autentifikácia vrátane externých používateľov a dodávateľov.
  • Kontrola prístupových oprávnení v celej organizácii.
  • Kryptografia a ochrana citlivých údajov, dôraz na zálohovanie a obnovu.
  • Ochrana všetkých zariadení s prístupom do siete.

Novinkou bude požiadavka na zaznamenávanie riešenia a hlásenia zraniteľností a incidentov. Prvú správu je potrebné predložiť do 24 hodín od zistenia bezpečnostného problému a druhú, podrobnejšiu správu je potrebné predložiť do jedného mesiaca.

Cieľom prvého oznámenia je obmedziť potenciálne šírenie incidentov a umožniť prevádzkovateľom čo najrýchlejšie odstrániť potenciálnu hrozbu. Cieľom druhej správy je zabezpečiť poučenie sa z predchádzajúcích incidentov.

Práve povinnosť podávať správy je pre spoločnosti najväčšou výzvou, pretože musia monitorovať a reagovať na incidenty 24 hodín denne, 7 dní v týždni a 365 dní v roku. Zároveň je na trhu nedostatok kvalifikovaných IT špecialistov, takže bude ťažké nájsť interných ľudí na nepretržitú prevádzku. Dôraz by sa mal klásť na inteligentné riešenia s maximálnym využitím moderných technológií.

Smernica nadobudne účinnosť najneskôr 31. decembra 2024 a kontrolný orgán môže uložiť sankcie za nedodržanie hneď od nasledujúceho mesiaca.

Pomocou systému NIS2 vám môžeme pomôcť

V reakcii na zavedenie NIS2 ponúka naša spoločnosť System4u balík Managed Detection & Response, ktorý pokrýva všetky požiadavky smernice. Táto služba zahŕňa:

  • Bezpečnostný audit vašej IT infraštruktúry a podrobnú analýzu jej stavu pomocou moderných techník a penetračných testov (on-premise a cloud hosting, siete, aplikačná vrstva, správa identít, koncové body, ukladanie dát, zabezpečenie dát, zálohovanie, obnova atď.).
  • Odborné konzultácie vrátane architektonického návrhu a následnej implementácie odporúčaných zmien.
  • Službu Security Operations Service (SOC365) vrátane spracovania incidentov a podávania správ.

S riadenou detekciou a reakciou budete mať istotu, že pracujete v súlade s NIS2 a ďalšími predpismi, ako je GDPR alebo ISO 27001. Ak máte záujem dozvedieť sa ďalšie detaily, dajte nám vedieť.

Ďalšie články

Digitálnymi technológiami žijeme. A preto o nich aj píšeme.

Najnovšie články
Ďalšie články
1/10

Alebo nás kontaktujte priamo

Alena Valečková

Alena Valečková

koordinátor kancelárie

Kontaktujte nás

Vyplňte náš formulár, ozveme sa vám do niekoľkých dní s návrhom nezáväznej konzultácie.

Kontaktujte System4u