Jak se připravit na směrnici NIS 2 a nový Zákon o kybernetické bezpečnosti

První zákon o kybernetické bezpečnosti, jehož cílem byla ochrana kritické informační infrastruktury a významných informačních systémů, vstoupil v platnost v roce 2014. Novela z roku 2018 rozšířila povinnosti a zvýšila sankce za jeho nedodržení. V roce 2023 byla přijata nová směrnice NIS 2, která prohlubuje a rozšiřuje rámec původní směrnice NIS 1. Transpoziční lhůta této směrnice do národní legislativy je stanovena na 21 měsíců od jejího přijetí. A právě o novém zákoně hovořil na webináři společnosti ICT Pro „NIS 2 a novela Zákona o kybernetické bezpečnosti v kostce“ nezávislý konzultant Zbyněk Malý, který má více než 30 let zkušeností v oblasti informační bezpečnosti. Webinář moderovala Olga Pincová.

Algotech digitalizace

Co je NIS 2 a Zákon o kybernetické bezpečnosti?

Směrnice NIS 2

Směrnice NIS 2 (Network and Information Systems Directive) je aktualizovanou verzí původní směrnice NIS, přijaté Evropskou unií s cílem zvýšit úroveň kybernetické bezpečnosti v členských státech. Směrnice NIS 2 rozšiřuje a prohlubuje rámec původní směrnice NIS, zavádí přísnější bezpečnostní požadavky a rozšiřuje povinnosti na více typů organizací. Hlavním cílem NIS 2 je zajistit, aby členské státy měly silné a koordinované systémy kybernetické bezpečnosti, které chrání kritickou infrastrukturu a služby.

Zákon o kybernetické bezpečnosti

Zákon o kybernetické bezpečnosti je národní legislativa, která implementuje požadavky směrnice NIS 2 do právního rámce dané země. Tento zákon stanovuje konkrétní povinnosti pro organizace týkající se ochrany jejich informačních a komunikačních systémů před kybernetickými hrozbami. Zahrnuje oblasti jako řízení rizik, řízení incidentů, řízení dodavatelů a zajištění kontinuity klíčových služeb. Cílem zákona je zvýšit celkovou úroveň kybernetické bezpečnosti a zajistit, aby organizace byly připraveny na potenciální kybernetické útoky.

Nový Zákon o kybernetické bezpečnosti

Zásadní rozdíly

Pouze 2 druhy povinných subjektů

  • Regulovaná služba v režimu vyšších povinností
  • Regulovaná služba v režimu nižších povinností

Způsob identifikace

  • Určení vs. samo-identifikace na základě vyhlášky

4 základní pilíře

  • Řízení rizik
  • Řízení incidentů
  • Řízení dodavatelů
  • BCM

Čtyři hlavní pilíře nového zákona

Řízení rizik

Tento proces zahrnuje kontinuální monitorování, pravidelné analýzy a hodnocení rizik, které mohou vznikat v důsledku nových hrozeb a zranitelností. Organizace musí identifikovat všechna aktiva, vyhodnotit možné hrozby a zranitelnosti, a na základě toho stanovit celkové riziko pro každé aktivum. Efektivní řízení rizik zahrnuje implementaci technických, organizačních a procesních opatření, která pomáhají rizika snížit. Důraz je kladen na to, aby analýza rizik byla kontinuálním procesem, nikoli jednorázovou aktivitou, což zajišťuje schopnost organizace rychle reagovat na nové hrozby a udržovat vysokou úroveň bezpečnosti.

Praktický přístup k řízení rizik zahrnuje využívání moderních nástrojů, jako je například software Moya Kybeon, který umožňuje automatizaci a zjednodušení procesu řízení rizik. Tento nástroj poskytuje přehledné dashboardy pro rychlou a efektivní analýzu rizik. Kromě technických nástrojů je důležité, aby bylo řízení rizik integrováno do celkové strategie řízení organizace a zapojovalo všechny zaměstnance. Pravidelná školení a simulace kybernetických útoků zvyšují povědomí o rizicích a schopnost zaměstnanců na ně efektivně reagovat. Celkově je důležité, aby organizace udržovaly proces řízení rizik jako dynamický a neustále se vyvíjející, čímž zajistí robustní ochranu před kybernetickými hrozbami.

Řízení incidentů

Jedná se o proces rychlé identifikace a reakce na bezpečnostní incidenty, efektivní řízení jejich životního cyklu a následnou analýzu. Organizace musí být schopna včas identifikovat incidenty pomocí monitorovacích systémů, které sledují síťový provoz a detekují neoprávněné přístupy či anomálie. Jakmile je incident identifikován, je nutné mít jasně definované postupy pro jeho vyhodnocení a klasifikaci, což umožňuje rychle určit jeho závažnost a dopad na organizaci.

Efektivní řízení incidentů zahrnuje také připravený plán reakce, který specifikuje kroky a odpovědnosti pro jednotlivé členy týmu. Tento plán by měl obsahovat postupy pro izolaci postižených systémů, obnovení služeb, komunikaci s dotčenými stranami a informování regulačních orgánů. Důraz je kladen na dokumentaci a hlášení incidentů, což zahrnuje zaznamenání všech kroků během řešení incidentu a analýzu příčin. Pravidelné školení zaměstnanců a provádění simulací incidentů pomáhají týmům zlepšit jejich reakční schopnosti.

Řízení dodavatelů

Povinnost hodnotit a řídit rizika spojená s dodavateli zahrnuje systematickou analýzu a monitorování dodavatelských řetězců. Organizace musí vytvořit a udržovat katalog dodavatelů, včetně hodnocení jejich rizik. Na základě těchto hodnocení je nutné identifikovat, kteří dodavatelé jsou pro organizaci kritičtí, a navázat s nimi odpovídající smluvní vztahy, které zohledňují specifické požadavky na kybernetickou bezpečnost. To může zahrnovat například požadavky na pravidelné audity, bezpečnostní opatření a postupy při řešení incidentů.

Praktické řízení dodavatelů také zahrnuje průběžné sledování a aktualizaci rizik spojených s jednotlivými dodavateli. To znamená, že organizace musí být schopna reagovat na změny v dodavatelském prostředí, jako jsou nové hrozby nebo zranitelnosti, a upravit své bezpečnostní požadavky a smlouvy podle potřeby. Důležitou součástí tohoto procesu je také školení a zvyšování povědomí u dodavatelů o kybernetických rizicích a bezpečnostních opatřeních.

Business Continuity Management

Hlavním cílem BCM je zajištění kontinuity klíčových služeb organizace i v případě závažných incidentů. BCM zahrnuje identifikaci kritických služeb, které jsou pro organizaci zásadní, a následné zavedení opatření, která zajistí jejich nepřetržitý provoz nebo rychlé obnovení po výpadku. To znamená nejen technická řešení, jako jsou záložní systémy a pravidelné zálohování dat, ale také organizační opatření, jako jsou plány pro krizové situace a školení zaměstnanců.

Efektivní BCM vyžaduje pravidelnou aktualizaci a testování plánů na obnovu, aby se zajistilo, že jsou aktuální a funkční. Organizace musí provádět analýzy dopadu (Business Impact Analysis), které pomáhají určit, jaké důsledky by mělo přerušení klíčových služeb a jak rychle je nutné tyto služby obnovit. Dále je třeba zajistit, aby všechny zúčastněné strany byly obeznámeny s postupy a svými rolemi v případě krize.

Praktické kroky k přípravě na nový zákon

Zmapování aktuálního stavu bezpečnosti

Zmapování aktuálního stavu bezpečnosti je prvním a nezbytným krokem při implementaci nového zákona. Tento proces zahrnuje detailní analýzu rizik, která organizaci ohrožují, a identifikaci slabých míst v jejích bezpečnostních opatřeních. Analýza rizik spočívá v identifikaci všech aktiv, která mají pro organizaci hodnotu, a hodnocení hrozeb a zranitelností, které na tato aktiva působí. Organizace by měla provádět pravidelné a systematické hodnocení rizik, které zohledňuje jak interní, tak externí faktory. Interní faktory mohou zahrnovat slabiny v IT infrastruktuře nebo nedostatečně proškolené zaměstnance, zatímco externí faktory mohou být nové kybernetické hrozby nebo změny v legislativním prostředí.

Po provedení analýzy rizik je nezbytné identifikovat a zdokumentovat slabá místa v bezpečnostních opatřeních organizace. Tento krok zahrnuje nejen technické aspekty, jako je ochrana sítí a dat, ale také organizační a procesní opatření, například postupy pro reakci na incidenty nebo školení zaměstnanců. Identifikace slabých míst umožňuje organizaci zaměřit se na nejzranitelnější oblasti a efektivně alokovat zdroje pro zlepšení bezpečnostních opatření.

Vzdělávání a školení

Účinné vzdělávací programy začínají zapojením top managementu, který musí být nejen informován o rizicích a požadavcích zákona, ale také aktivně podporovat a prosazovat bezpečnostní politiky v celé organizaci. Prokazatelné školení top managementu je nezbytné, protože jejich rozhodnutí a podpora jsou klíčové pro úspěšné zavedení a udržování bezpečnostních opatření. Management musí rozumět důležitosti kybernetické bezpečnosti, být obeznámen s potenciálními hrozbami a mít jasnou představu o tom, jak se na ně připravit a reagovat.

Kromě top managementu je nutné proškolit všechny zaměstnance, protože každý člen organizace hraje roli v udržování kybernetické bezpečnosti. Školení by měla zahrnovat základní bezpečnostní postupy, jako je rozpoznání phishingových útoků, bezpečné používání hesel, a postupy při zjištění bezpečnostního incidentu. Pravidelná školení a aktualizace těchto dovedností jsou klíčové, protože kybernetické hrozby se neustále vyvíjejí. Praktické simulace a cvičení mohou zaměstnancům pomoci lépe porozumět rizikům a procvičit si reakce na různé scénáře.

Zmapování trhu služeb

Mapování zahrnuje detailní identifikaci externích konzultantů a firem, které mohou organizacím pomoci splnit nové legislativní požadavky. Pomocí důkladného průzkumu trhu lze zjistit, které společnosti mají potřebné odborné znalosti a zkušenosti v oblasti kybernetické bezpečnosti. To zahrnuje posouzení jejich kvalifikace, certifikací, referencí a úspěšně realizovaných projektů. Společnosti by měly také zvážit, jaký rozsah služeb daný poskytovatel nabízí a zda je schopen přizpůsobit své služby specifickým potřebám organizace.

Nesmí se zapomínat ani na zhodnocení nákladů na služby externích konzultantů a firem. Organizace by měly porovnat ceny a hodnotu poskytovaných služeb, aby zajistily, že investice do externí podpory bude efektivní a přinese očekávané výsledky. Je také užitečné vyhodnotit flexibilitu poskytovatelů v případě změn v legislativních požadavcích nebo specifických potřeb organizace.

K implementaci nových požadavků je třeba přistupovat systematicky a s klidem. Zmapujte svá aktiva a rizika, pravidelně aktualizujte bezpečnostní opatření a vzdělávejte své zaměstnance. Připravte se na nové legislativní požadavky již nyní, abyste se vyhnuli problémům v budoucnu.

Zbyněk Malý je certifikovaným lektorem s dlouholetými pedagogickými zkušenostmi. Je držitelem certifikátu Auditor/Lead auditor ISO 27001:2013 (Information Security Management System) – IRCA Certificate No.: 34161.

V rámci své profesní praxe působil Zbyněk v různých konzultantských pozicích ve státní i komerční sféře např. ve firmě Anect a.s. a dalších. Je předsedou Komise pro kybernetickou bezpečnost a členem vedení Spolku pro ochranu osobních údajů. Dále je členem Českého institutu manažerů informační bezpečnosti a také pracovních skupin NUKIB pro přípravu zákonů v oblasti KB.

ICT Pro

Společnost působí na trhu od roku 1992 a poskytuje komplexní služby v oblasti ICT. Firma si během své existence vybudovala kvalitní dlouhodobé vztahy s mnoha klienty díky pečlivé a poctivé práci v různých odvětvích ICT. ICT Pro se pyšní týmem špičkových profesionálů, kteří mají bohaté zkušenosti se správou sítí, vývojem aplikací a poskytováním ICT školení. Tito odborníci jsou držiteli řady certifikací od klíčových IT firem, což garantuje kvalitu a efektivitu jejich služeb. Společnost rovněž získává důvěru zákazníků prostřednictvím certifikací a partnerství s významnými výrobci SW a HW, MŠMT a dalšími institucemi.