Shrnuli jsme pro vás aktuální stav často probíraného tématu.
Kdy to vypukne a koho se týká?
Směrnice NIS2 dává vzniknout aktualizované podobě Zákona o kybernetické bezpečnosti. Cesta je to dlouhá a momentálně se nacházíme přibližně v polovině její legislativní pouti. Lhůta pro uplatnění připomínek skončila 19. července a v současnosti se reaguje na podněty. Datum její účinnosti je plánované na říjen roku 2024.
Chcete-li mít aktuální přehled o stavu, doporučujeme sledovat Portál informačního systému ODok ÚVČR, konkrétně materiály VeKLEP, umístěné ve Veřejné elektronické knihovně legislativních procesů. Celý průběh kybernetického zákona je tedy nutné nepodceňovat a monitorovat pro následnou schopnost včas reagovat a nastavit veškeré dotčené procesy ve společnosti.
Regulace dle NIS2 pro zvýšení ochrany dat se dotkne středních i velkých podniků ze soukromé i veřejné sféry. Do jaké skupiny spadáte se posuzuje dle počtu zaměstnanců a ročního obratu podniku (více zde). Avšak tam to zdaleka nekončí! Změny a pravidla dopadnou i na dodavatele a subdodavatele.
Čeká nás přijmutí vhodných opatření k řízení bezpečnostních rizik, a to z pohledu nejen technického, ale i provozního a organizačního. Posuzovat se bude jejich přiměřenost, zohledňovat míra vystavení se rizikům, pravděpodobnost výskytu a závažnost incidentů včetně společenského i ekonomického dopadu. Před stanovením povinností je samozřejmě nutná realizace analýzy rizik, která je společně s opatřeními pro ochranu dat základním stavebním kamenem povinností dle směrnice NIS2 a kybernetického zákona.
Volně dostupné informace
- Návrh zákona o kybernetické bezpečnosti
- Návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o kybernetické bezpečnosti
Okruhy povinností v přehledu
- analýza rizik a politika bezpečnosti informačních systémů
- zvládání bezpečnostních incidentů
- kontinuita činností zahrnující správu zálohování a obnovu provozu po haváriích a krizové řízení
- bezpečnost v rámci dodavatelského řetězce
- zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení
- politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit)
- praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti
- politiky a postupy týkající se využívání kryptografie, případně také šifrování
- bezpečnost lidských zdrojů, řízení přístupů a aktiv
- využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci
Dále jsou povinnosti děleny na služby dle režimu essential a important v rozčlenění na technická a organizační opatření. Celou oblast upravuje §15 návrhu nového kybernetického zákona a prováděcí vyhlášky.
Obrovský důraz se klade na vzdělávání a proškolení plynoucí z odpovědnosti činitelů povinných organizací za realizaci bezpečnostních opatření ke snížení rizik. Ve Faster CZ již máme stanoven vlastní CERT tým, který je odborně proškolen po organizační i technické stránce a propouští celkovou kybernetickou osvětu směrem k ostatním zaměstnancům. Navíc je tým evidován jako tzv. ověřený dodavatel dle mezinárodních standardů FASTER-CSIRT (CZ).
V praxi to znamená, že jsme splnili potřebná kritéria registrace našeho firemního bezpečnostního týmu pro koordinaci a eskalaci kybernetických bezpečnostních incidentů na národní i evropské úrovni. Mj. je zřízení CSIRT týmu včetně procedury jeho schválení a mezinárodní registrace jednou z povinností ISP dle NIS2.
Náš odborný tým tedy zdaleka nenaplňuje pouze interní roli.
Čím NIS2 překvapuje?
Konkrétně u organizací spadajících do režimu s vyšší povinností (essential) se opatření dotknou i subdodavatelů, a to díky naplnění požadavku řídit své dodavatele. Pro zajištění bezpečnosti a kvality dodavatelských vztahů bude nutné správně nastavit procesy při jejich výběru pro důvěryhodnost, pravidelně vyhodnocovat stav jejich opatření kybernetické bezpečnosti na základě stanovených bezpečnostních požadavků, nejlépe s přesahem do OOU (ochrany os. údajů) a kvalitním smluvním ošetřením.
Zeptali jsme se na názor Radima Ševčíka, MBA, našeho kybernetického specialisty Faster CZ: „Evropský regulátor i NÚKIB přikládají stále větší význam bezpečnosti dodavatelů. Důvodem jsou nejen častější útoky skrze dodavatelský řetězec, ale i zvyšující se závislosti v samotném řetězci. Bezpečnostní komunita českého prostředí apeluje na racionální uchopení povinnosti aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů. Pro významné dodavatele v režimu tzv. vyšší povinnosti stanovuje v projednávaném vypořádání NIS2 další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv i pravidelnou kontrolu opatření dodavatele.
Úplnou novinkou je začlenění hodnocení NÚKIB do procesů výběru významného dodavatele, kdy předmětem posuzování budou kritéria země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti podrobněji popsané ve Vyhlášce o kritériích rizikovosti dodavatele.
Teprve praxe implementace NIS2 u podniků a subjektů s tzv. nižší povinností ukáže, jak významně zasáhne norma chování téměř 6 000 firem ve vztahu k jejich dodavatelům. Prakticky je národní úprava NIS2 koncipována jako brzda dominového efektu šířících se kybernetických hrozeb prostřednictvím dodavatelů a předpokládá, že firmy budou aktivně usilovat o bezpečnostní iniciativu svých klíčových dodavatelů, aby předešly jak reálným hrozbám, tak možnému uplatnění finanční sankce až do výše 10 000 000 EUR nebo 2 % z čistého obratu za poslední ukončené účetní období.“
Příprava ušetří nejen čas
Ze své vlastní zkušenosti doporučujeme neodkládat přípravy. Říjen 2024 je sice ještě v nedohlednu, pokud však s kybernetickou bezpečností právě začínáte, nemusíte mít dostatek času na zavedení všech opatření do praxe.
Neváhejte oslovit tým Faster CZ, který rád pomůže se zastřešením oblastí kybernetické bezpečnosti.
Ochrana dat je základním cílem všech bezpečnostních opatření v IT.
