Zprávy

Jak se připravit na NIS2 se společností Lenovo – 1. část

V následující sérii článků vám přiblížíme směrnici o síťové a informační bezpečnosti NIS2, jejíž nástup se blíží. Připravovaná legislativa se bude vztahovat na soukromé firmy i státní instituce a přináší mnoho nových technických i procesních požadavků. V článku se dozvíte, zda se na vás bude NIS2 vztahovat, jak postupovat a na koho se obrátit pro pomoc.

ADVERTORIAL1.3.2024

Novou, přísnější směrnici EU o kyberbezpečnosti NIS2 bude muset dodržovat přibližně 7 000 českých firem a státních institucí. Odborníci z aliance NIS2READY však upozorňují, že mnoho podniků a úřadů není na změny připraveno. Podle tohoto sdružení mívají dotčené subjekty nedostatky například v analýze rizik či segmentaci sítě.

Mezi hlavní cíle směrnice NIS2 patří sjednocení strategie členských států EU v boji proti kybernetickým hrozbám, odstranění rozdílů v kybernetické bezpečnosti napříč průmyslovými odvětvími, posílení kybernetického zabezpečení firem i institucí a schopnost společně reagovat na možné krize a incidenty.

Koho se NIS2 týká

Kvůli širokému záběru směrnice NIS2 dojde nejméně k 15násobnému nárůstu počtu regulovaných subjektů (tzv. poskytovatelů regulované služby), což zejména soukromému sektoru přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR.

Nová legislativa tak významně rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti, a mění i zavedenou terminologii. Původní směrnice NIS se týkala jen provozovatelů takzvaných základních a digitálních služeb, NIS2 se však bude vztahovat i na mnoho nováčků. Mezi regulované sektory spadá např. veřejná správa, výrobci potravin, energetika, doprava, zdravotnictví, bankovnictví a infrastruktura finančních trhů, strojní výroba, vodohospodářství, odpadní hospodářství, chemický průmysl, poštovní a kurýrní služby, výzkum nebo digitální infrastruktura včetně některých poskytovatelů řízených (managed) ICT služeb.

Ve směrnici NIS2 se subjekty nově dělí do dvou kategorií (základní a významné), které se liší svými povinnostmi (režim nižších povinností vs. režim vyšších povinností).

Směrnice NIS2 nepočítá s tím, že by ukládala povinnosti úplně každému, kdo danou službu poskytuje. Vývoj dovedl její tvůrce k tomu, že primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, podléhá následujícím dvěma podmínkám:

  • organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
  • je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů eur (zhruba 250 milionů korun).

Od kdy bude směrnice NIS2 účinná

Transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového souvisejícího zákona k 16. říjnu 2024. Dle průběhu legislativního procesu se předpokládá účinnost zákona koncem roku 2024. Dle aktuálních návrhů prováděcích vyhlášek lze očekávat, že bude následovat 12měsíční přechodné období vyhrazené pro nasazení potřebných opatření. Termíny pro plnění dalších povinností budou záležet na finálním datu účinnosti zákona a prozatím nelze vyloučit, že ve znění nového zákona o kybernetické bezpečnosti dojde ke změnám či úpravám.

Organizacím, které budou pod nový zákon spadat, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Zavedení funkčního procesu řízení kybernetické bezpečnosti v organizaci je záležitost několika měsíců až let. Obzvláště u organizací, které dosud kybernetickou bezpečnost systematicky neřešily, je potřeba počítat s tím, že zavedení systému řízení bezpečnosti informací a splnění požadavků dle zákona a jeho prováděcích předpisů bude dlouhodobým procesem náročným na zdroje. Je tedy vhodné mít již na počátku účinnosti nové právní úpravy povědomí o tom, jaké všechny informační systémy organizace používá a v jakém stavu se organizace z hlediska kybernetické bezpečnosti nachází.

Základní požadavky směrnice NIS2

Mezi základní požadavky, které bude nutné splnit, patří povinná registrace, podrobná analýza rizik, zavedení efektivního systému řízení, zavádění a provádění bezpečnostních opatření nebo zabezpečení kontinuity provozu a krizového řízení.

Mezi důležité povinnosti bude patřit také např. hlášení a zvládání kybernetických bezpečnostních incidentů, kdy budou mít subjekty povinnost do 24 hodin hlásit na NÚKIB (instituce ve vyšším režimu) či jednotné národní místo hlášení incidentů CERT (instituce v nižším režimu) každý závažnější kyberbezpečnostní incident, případně jej také oznámit svým zákazníkům.

Jedním z požadavků na poskytovatele nejkritičtějších služeb je také kontrola dodavatelských řetězců, která prověřuje důvěryhodnost dodavatelů a řeší možnost ohrožení subjektu prostřednictvím jeho dodavatelského řetězce.

Při stanovení úrovně zabezpečení a výběru konkrétních bezpečnostních opatření bude potřeba v souladu se zákonem a vyhláškami zohlednit specifika organizace a důležitost jednotlivých systémů a služeb (není smyslem zavádět nesmyslná a nákladná řešení tam, kde to pro organizaci nemá význam). Přímá odpovědnost za zavedení těchto pravidel přitom bude ležet na statutárních orgánech daných firem. Členové firemních vedení by proto měli s předstihem absolvovat příslušná školení.

Již nyní je tedy zřejmé, že v případě NIS2 a zejména pak tzv. režimu vyšších povinností často nepůjde ani tolik o nákup a nasazení nového „železa“ či softwaru a služeb, ale spíše o tzv. měkké dovednosti („soft skills“), zjednodušeně řečeno lidské zdroje, a správné nastavení interních firemních procesů. Je tedy nezbytné začít v co nejkratší době pracovat buď na vyškolení vlastních zodpovědných pracovníků, nebo na jejich najmutí. Zejména u externích dodavatelů je však nutné mít na paměti, že jich v nejbližší budoucnosti bude na trhu velmi málo (např. proto, že manažer bezpečnosti nebude moct své služby poskytovat více než čtyřem subjektům), a u některých vyhláškou definovaných pozic bude navíc omezeno sdílení takových zdrojů.

Jak začít

Pokud vaše organizace kybernetickou bezpečnost do této chvíle systematicky neřešila, lze doporučit jako výchozí krok především:

  • zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst) a
  • vypracování tzv. business impact analýzy (zejm. jaké by byly dopady narušení řádného fungování jednotlivých systémů na vaši organizaci; nejde přitom jen o nedostupnost používaných informačních systémů, ale i o narušení důvěrnosti nebo integrity shromažďovaných dat).

Již v této fázi je dobré se zaměřit na školení relevantních osob v organizaci. Doporučujeme základní školení pro všechny uživatele a odborné školení pro osoby, které v organizaci řeší/budou řešit kybernetickou bezpečnost. Zapomínat však nesmíme ani na vrcholový management (který si musí být vědom důležitosti řízení kybernetické bezpečnosti v organizaci), u nějž bude aplikována osobní odpovědnost se všemi důsledky.

Z technických opatření lze obecně doporučit nasazení firewallu (zejména perimetrového), antiviru (zejména sofistikovanější EDR) a zálohovacího řešení. Společně s prováděním aktualizací (tam, kde je to možné) jde však o náležitosti, které by měly být běžnou součástí chodu každé organizace.

Ve všeobecné rovině se velmi hrubé odhady nákladů na zavedení a následné provádění především bezpečnostních opatření pohybují přibližně mezi 800 000 a 1 500 000 korunami na jeden zabezpečovaný systém (nikoli společnost jako celek). Šetření se tedy nemusí vyplatit, protože sankce za přestupky nebudou pouze symbolické.

Kontroly a možné postihy

Kontrolu dodržování předpisů bude mít na starosti NÚKIB. Stav zabezpečení podniků či institucí bude možné zjišťovat jak na místě (a to i neohlášeně), tak dalšími způsoby (například prostřednictvím nejrůznějších auditů či skenů nebo zveřejněním či doložením konkrétních informací).

V návaznosti na případné nedostatky zjištěné v průběhu kontroly je NÚKIB oprávněn po organizaci požadovat nápravu zjištěných nedostatků, obdobně jako je tomu v § 24 stávajícího zákona o kybernetické bezpečnosti. Ve vymezených případech pak může NÚKIB přistoupit k vydání výstrahy, kterou může veřejnost informovat kromě jiného o porušování určitých povinností daných návrhem tohoto zákona, případně uložit dotčenému subjektu, aby tak učinil sám.

Kromě standardních sankčních nástrojů, kterými jsou pokuty, jsou v návrhu nového zákona o kybernetické bezpečnosti v souladu se směrnicí NIS2 zahrnuty také tzv. jiné správní tresty, mezi něž patří pozastavení platnosti certifikace a pozastavení výkonu řídicí funkce nejméně na šest měsíců.

V krajním případě hrozí podniku či instituci pokuta až 250 milionů korun nebo 2 % z celkového celosvětového obratu dosaženého v předchozím roce, podle toho, která částka je vyšší.

Co bude následovat

Po tomto obecném úvodu si v následujících článcích přiblížíme některá konkrétní opatření vyplývající z NIS2, se kterými vám může společnost Lenovo pomoct. Představíme vám také možnosti vybraných produktů a služeb, které společnost Lenovo nebo její partneři nabízejí.

V dubnu 2024 proběhne konference společnosti Lenovo zaměřená na NIS2, kde se budete moct s vybranými tématy seznámit podrobněji. Bližší informace o akci budou následovat.

Pokud byste se již nyní chtěli o samotné konferenci nebo o související problematice dozvědět více, neváhejte se obrátit na Miloše Malčeka ze společnosti Lenovo (mmalcek@lenovo.com).

Informace ve článku vycházejí z návrhů platných v době vzniku textu, stále tedy může dojít i k určitým změnám.