Poptávka
cz en

NIS2 úspěšně směřuje k zásadní ochraně dat

10 min. čtení •

 

Shrnuli jsme pro vás aktuální stav často probíraného tématu.

 

Kdy to vypukne
a koho se týká?

 

Směrnice NIS2 dává vzniknout aktualizované podobě Zákona o kybernetické bezpečnosti. Cesta je to dlouhá a momentálně se nacházíme přibližně v polovině její legislativní pouti. Lhůta pro uplatnění připomínek skončila 19. července a v současnosti se reaguje na podněty. Datum její účinnosti je plánované na říjen roku 2024.

Chcete-li mít aktuální přehled o stavu, doporučujeme sledovat Portál informačního systému ODok ÚVČR, konkrétně materiály VeKLEP, umístěné ve Veřejné elektronické knihovně legislativních procesů. Celý průběh kybernetického zákona je tedy nutné nepodceňovat a monitorovat pro následnou schopnost včas reagovat a nastavit veškeré dotčené procesy ve společnosti.

Regulace dle NIS2 pro zvýšení ochrany dat se dotkne středních i velkých podniků ze soukromé i veřejné sféry. Do jaké skupiny spadáte se posuzuje dle počtu zaměstnanců a ročního obratu podniku (více zde). Avšak tam to zdaleka nekončí! Změny a pravidla dopadnou i na dodavatele a subdodavatele.

Čeká nás přijmutí vhodných opatření k řízení bezpečnostních rizik, a to z pohledu nejen technického, ale i provozního a organizačního. Posuzovat se bude jejich přiměřenost, zohledňovat míra vystavení se rizikům, pravděpodobnost výskytu a závažnost incidentů včetně společenského i ekonomického dopadu. Před stanovením povinností je samozřejmě nutná realizace analýzy rizik, která je společně s opatřeními pro ochranu dat základním stavebním kamenem povinností dle směrnice NIS2 a kybernetického zákona.

 

Volně dostupné informace

Návrh zákona o kybernetické bezpečnosti

Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti

 

Okruhy povinností v přehledu

  • analýza rizik a politika bezpečnosti informačních systémů
  • zvládání bezpečnostních incidentů
  • kontinuita činností zahrnující správu zálohování a obnovu provozu po haváriích a krizové řízení
  • bezpečnost v rámci dodavatelského řetězce
  • zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení
  • politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit)
  • praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti
  • politiky a postupy týkající se využívání kryptografie, případně také šifrování
  • bezpečnost lidských zdrojů, řízení přístupů a aktiv
  • využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci

 

Dále jsou povinnosti děleny na služby dle režimu essential a important v rozčlenění na technická a organizační opatření. Celou oblast upravuje §15 návrhu nového kybernetického zákona a prováděcí vyhlášky.

 

 

Obrovský důraz se klade na vzdělávání a proškolení plynoucí z odpovědnosti činitelů povinných organizací za realizaci bezpečnostních opatření ke snížení rizik. Ve Faster CZ již máme stanoven vlastní CERT tým, který je odborně proškolen po organizační i technické stránce a propouští celkovou kybernetickou osvětu směrem k ostatním zaměstnancům. Navíc je tým evidován jako tzv. ověřený dodavatel dle mezinárodních standardů FASTER-CSIRT (CZ).

V praxi to znamená, že jsme splnili potřebná kritéria registrace našeho firemního bezpečnostního týmu pro koordinaci a eskalaci kybernetických bezpečnostních incidentů na národní i evropské úrovni. Mj. je zřízení CSIRT týmu včetně procedury jeho schválení a mezinárodní registrace jednou z povinností ISP dle NIS2.

Náš odborný tým tedy zdaleka nenaplňuje pouze interní roli.

 

Čím NIS2 překvapuje?

 

Konkrétně u organizací spadajících do režimu s vyšší povinností (essential) se opatření dotknou i subdodavatelů, a to díky naplnění požadavku řídit své dodavatele. Pro zajištění bezpečnosti a kvality dodavatelských vztahů bude nutné správně nastavit procesy při jejich výběru pro důvěryhodnost, pravidelně vyhodnocovat stav jejich opatření kybernetické bezpečnosti na základě stanovených bezpečnostních požadavků, nejlépe s přesahem do OOU (ochrany os. údajů) a kvalitním smluvním ošetřením.

 

Zeptali jsme se na názor Radima Ševčíka, MBA, našeho kybernetického specialisty Faster CZ: „Evropský regulátor i NÚKIB přikládají stále větší význam bezpečnosti dodavatelů. Důvodem jsou nejen častější útoky skrze dodavatelský řetězec, ale i zvyšující se závislosti v samotném řetězci. Bezpečnostní komunita českého prostředí apeluje na racionální uchopení povinnosti aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů. Pro významné dodavatele v režimu tzv. vyšší povinnosti  stanovuje v projednávaném vypořádání NIS2  další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv i pravidelnou kontrolu opatření dodavatele.

Úplnou novinkou je začlenění hodnocení NÚKIB do procesů výběru významného dodavatele, kdy předmětem posuzování budou kritéria země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti podrobněji popsané ve Vyhlášce o kritériích rizikovosti dodavatele.

Teprve praxe implementace NIS2 u podniků a subjektů s tzv. nižší povinností ukáže, jak významně zasáhne norma chování téměř 6 000 firem ve vztahu k jejich dodavatelům. Prakticky je národní úprava NIS2 koncipována jako brzda dominového efektu šířících se kybernetických hrozeb prostřednictvím dodavatelů a předpokládá, že firmy budou aktivně usilovat o bezpečnostní iniciativu svých klíčových dodavatelů, aby předešly jak reálným hrozbám, tak možnému uplatnění finanční sankce až do výše  10 000 000 EUR nebo 2 % z čistého obratu za poslední ukončené účetní období.“

 

Příprava ušetří nejen čas

 

Ze své vlastní zkušenosti doporučujeme neodkládat přípravy. Říjen 2024 je sice ještě v nedohlednu, pokud však s kybernetickou bezpečností právě začínáte, nemusíte mít dostatek času na zavedení všech opatření do praxe.

Neváhejte oslovit tým Faster CZ, který rád pomůže se zastřešením oblastí kybernetické bezpečnosti.

Ochrana dat je základním cílem všech bezpečnostních opatření v IT.

 

 

 

faster_3.0
Be Faster

 

#besafe #CyberSecurity #Faster
#NIS2

Novinky

Partnerství CSP

5. 12. 2023

CyberSecurityPlatform.cz je odborná komunita a platforma určená pro odborníky i studenty informační a kybernetické bezpečnosti,...

Kybernetická bezpečnost: Zálohovat znamená přežít

27. 11. 2023

• 3 min. čtení •   Můžete si v podnikání vůbec dovolit částečnou nebo úplnou ztrátu dat?   Představte...

FASTER-CSIRT (CZ)

17. 10. 2023

  📢 Máme novinku FASTER-CSIRT (CZ)   Bezpečnostní tým Faster CZ byl v minulých dnech registrován Trusted...

Služby

Užitečné odkazy

Napsali o nás

Kontaktujte nás

Zákaznická podpora

+420 533 433 333

poptat službu

Technická podpora

+420 533 433 000

+420 516 116 000

poptat podporu

Projekt "Vybudování a provoz datového centra Faster CZ spol. s r.o.," (číslo CZ.01.4.04/0.0/0.0/15_011/0001405) je spolufinancován Evropskou unií v rámci Operačního programu Podnikání a inovace pro konkurenceschopnost (OP PIK). Na základě žádosti o podporu ze dne 30.7.2015 byl projekt uznán Ministerstvem financí jako způsobilý k poskytnutí dotace na výstavbu datového centra.

Zahájení projektu: 1.9.2015

Ukončení projektu: 31.12.2018

Realizace projektu: Jarní 1064/44g, Maloměřice, 614 00 Brno.

Cílem projektu je vybudování a provoz nového ekologicky šetrného datového centra, které zvýší konkurenceschopnost firmy a kvalitu poskytovaných služeb, vytvoří nová specializovaná pracovní místa a rozšíří spolupráci s brněnskými vysokými školami.

lin fb yt tw

Faster CZ spol. s r.o.
Jarní 1064/44g, 614 00 Brno
IČO: 60722266
DIČ: CZ60722266
Datová schránka: gyw5w8t
Číslo bank. účtu: 290204641/0300

© 2023 FASTER.CZ | Společnost je zapsána u KS Brno, oddíl C, vložka 16631, 22. 9. 1994

Design by mevia.cz

Dotaz, či problém?