Jak pomůže NIS2 zvýšit i vaši kybernetickou bezpečnost
Strašák, další povinnosti, pokuty za jejich nedodržení, stejné haló jako bylo s GDPR. I takové názory se vyskytují ohledně směrnice NIS2. Proč se ale vlastně objevují? Co směrnice přinese nového? Kdo pod její účinnost bude spadat a odkdy vůbec? Otázek je mnoho, ale jedno je jasné. Není třeba panikařit, avšak je dobré se na stav kybernetické bezpečnosti ve vaší organizaci podívat co nejdříve.
Jan Mareš
Podstata kybernetické bezpečnosti
Kybernetická bezpečnost je téma, které je aktuální a stále bude. Tak jako známe zásady bezpečnosti a ochrany zdraví při práci (BOZP) a zásady požární ochrany (PO), stejně by se naše vědomosti měly rozšířit i o zásady bezpečnosti kybernetické.
Kybernetická bezpečnost už dnes není jen o firewallu a antiviru, ale i o nastavení procesů, pravidel a o reagování na aktuální hrozby. Netýká se tedy pouze IT, ale také chování zaměstnanců a dodavatelů. Zodpovědnost za bezpečnost dat tak máme všichni, a to nejen v rámci pracovních povinností, ale i v soukromém životě.
Co je NIS2
Směrnice NIS2 (přesněji Směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti) je tu od toho, aby položila základy kybernetické bezpečnosti širšímu spektru organizací, než tomu bylo u NIS1, a zvýšila tak kybernetickou bezpečnost členských států EU. Dosáhnout toho má zejména:
- prohloubením spolupráce mezi EU a dozorovým orgánem daného státu, což je v našem případě Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB),
- poskytnutím větších pravomocí dozorovému orgánu (v podobě vydávání varování, opatření či prováděním auditů u organizací),
- přijetím národní strategie kybernetické bezpečnosti,
- zvýšením pokut za nedodržení povinností,
- rozšířením regulovaných služeb – tedy navýšením počtu organizací, kterých se budou povinnosti týkat (odhadem 6–12 tisíc subjektů),
- zaváděním bezpečnostních opatření pro regulované služby.
Požadavky směrnice NIS2 nejsou v oblasti kybernetické bezpečnosti ničím novým. Pokud vaše organizace spadala pod Zákon o kybernetické bezpečnosti nebo máte zavedený systém řízení bezpečnosti informací, bude pro vás novinek pravděpodobně minimum. Jestli je však kybernetická bezpečnost pro vaši organizaci novým tématem, tak ano, budete muset vyvinout větší úsilí, abyste nové povinnosti splnili. Není ale třeba panikařit.
Kolik máme času na implementaci NIS2
Je nutné si říct, že samotná směrnice NIS2 organizacím přímo neukládá žádné povinnosti. Nabyla sice účinnosti 16. 1. 2023, zároveň ale říká, že členské státy mají 21 měsíců na to, aby požadavky směrnice zapracovaly do své lokální legislativy. Je to tedy jiná situace, než jako je tomu například u nařízení DORA, o kterém jsme psali zde.
V uvedené lhůtě by měla vyjít novela Zákona o kybernetické bezpečnosti, která s velkou pravděpodobností bude počítat i s nějakou časovou rezervou pro naplnění povinností. Na časové ose by to vypadalo následovně:
Z tohoto zobrazení by šlo vyvodit, že je spousta času a kybernetickou bezpečnost není třeba řešit. Opak je pravdou. Kybernetická bezpečnost by se i s ohledem na dění ve světě neměla podceňovat. Zodpovědné organizace ji řeší kontinuálně a nečekají na novou legislativu.
Co říká návrh nového Zákona o kybernetické bezpečnosti
NÚKIB již ve druhé polovině ledna letošního roku zpracoval požadavky směrnice NIS2 a vydal návrh nového Zákona o kybernetické bezpečnosti a jeho vyhlášek. Víme tak, že některé povinnosti budou dokonce přísnější, než požaduje směrnice NIS2. V obecné rovině budou muset organizace:
- identifikovat, zda pod zákon spadají (pokud to neurčí sám NÚKIB),
- registrovat se do Portálu NÚKIB,
- stanovit si rozsah řízení kybernetické bezpečnosti,
- hlásit kybernetické bezpečnostní incidenty,
- informovat zákazníky o incidentech a hrozbách,
- provádět protiopatření ke snížení rizik,
- řídit dodavatelský řetězec,
- zavádět organizační a technická bezpečnostní opatření.
Jak zjistit, co konkrétně bude muset vaše organizace podle NIS2 splňovat
Nejdříve je nutné podívat se do návrhu vyhlášky o regulovaných službách, jestli je v ní uvedena služba, kterou poskytujete. Pokud ano, tak jste splnili první kritérium pro identifikaci.
Druhým kritériem je velikost vaší organizace. Jste-li velkým či středním podnikem, tak se vás povinnosti týkat budou. Ovšem pozor – pod nový zákon mohou spadat i některé malé podniky poskytující uvedenou službu.
Rovněž pokud jste mikropodnikem či malým podnikem a mateřskou organizaci máte v zahraničí, tak se počty zaměstnanců sčítají. Je tedy nutné se na toto pečlivě podívat a identifikovat, jestli je služba vaší organizace ve vyhlášce uvedena.
Můžete k tomu využít tuto přehlednou stránku, kterou na téma NIS2 zpracoval NÚKIB.
Stejně jako směrnice NIS2, tak i návrh nového zákona dělí regulované služby do dvou skupin. Směrnice uvádí rozdělení na Essential a Important, což v překladu do českého jazyka nevyznívalo srozumitelně. Proto návrh nového zákona a jeho vyhlášek počítá s dělením na vyšší a nižší režim povinností. Plynou z něj pro organizace povinnosti zavést následující organizační a bezpečnostní opatření:
VYŠŠÍ REŽIM POVINNOSTÍ
ORGANIZAČNÍ OPATŘENÍ:
- Systém řízení bezpečnosti informací
- Povinnosti vrcholového vedení
- Bezpečnostní role
- Řízení bezpečnostní politiky a dokumentace
- Řízení aktiv a řízení rizik
- Řízení dodavatelů
- Bezpečnost lidských zdrojů
- Řízení změn
- Akvizice, vývoj a údržba
- Řízení přístupu
- Zvládání kybernetických událostí a incidentů
- Řízení kontinuity činností
- Audit kybernetické bezpečnosti
TECHNICKÁ OPATŘENÍ:
- Fyzická bezpečnost
- Bezpečnost komunikačních sítí
- Správa a ověřování identit
- Řízení přístupových oprávnění
- Detekce kybernetických bezpečnostních událostí
- Zaznamenávání bezpečnostních a relevantních provozních událostí
- Vyhodnocování kybernetických bezpečnostních událostí
- Aplikační bezpečnost
- Kryptografické algoritmy
- Zajišťování dostupnosti regulované služby
- Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv
NIŽŠÍ REŽIM POVINNOSTÍ
ORGANIZAČNÍ OPATŘENÍ:
- Zajišťování minimální úrovně kybernetické bezpečnosti
- Povinnosti vrcholového vedení
- Bezpečnostní role
- Řízení bezpečnostní politiky a dokumentace
- Řízení aktiv
- Řízení dodavatelů
- Bezpečnost lidských zdrojů
- Řízení změn
- Akvizice, vývoj a údržba
- Řízení přístupu
- Zvládání kybernetických událostí a incidentů
- Řízení kontinuity činností
TECHNICKÁ OPATŘENÍ:
- Fyzická bezpečnost
- Bezpečnost komunikačních sítí
- Správa a ověřování identit
- Řízení přístupových oprávnění
- Detekce kybernetických bezpečnostních událostí
- Aplikační bezpečnost
- Kryptografické algoritmy
- Zajišťování dostupnosti regulované služby
- Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv
Rozdílů mezi oběma režimy je hned několik. Liší se některými opatřeními i způsobem jejich naplnění. Příkladem jsou bezpečnostní role (osoby s různými pravomocemi, které mají řešit kybernetickou bezpečnost), kde vyšší režim popisuje čtyři a nižžší režím pouze dvě role.
Rozdíl je i v případných pokutách za nedodržení povinností: pro vyšší režim je pokuta stanovena až na 10 milionů EUR nebo 2 % celosvětového ročního obratu. U nižšího režimu je pokuta stanovena až na 7 milionů EUR nebo 1,4 % celosvětového ročního obratu. Nejde tedy o nízké částky.
Jak s informacemi o NIS2 naložit?
Rozumím názorům a obavám uvedených v úvodu tohoto článku. Vycházejí obvykle z očekávání další práce a dalších výdajů, jejichž návratnost nebude rychlá (možná spíše žádná).
Je ale třeba si uvědomit, že všechna bezpečnostní opatření, která budou povinná (a která vycházejí i z mezinárodních norem řízení bezpečnosti informací a best practices za řadu let), mají za cíl jediné: ochránit data a podnikání vaší organizace, a tím i vaše zákazníky.
Kybernetických incidentů přibývá a žádná organizace nemá záruku, že ten příští nebude spáchán proti ní – ať už si myslíme, že jsme pro kybernetické zločince sebeméně zajímaví. Řešte proto kybernetickou bezpečnost už nyní, bez ohledu na legislativu – buď vlastními silami, nebo s odbornou pomocí. Svá data mějte hlavně v bezpečí, ať už na lokálních serverech či v cloudu.