NIS2 (Network and Information Security 2) je celoevropská směrnice o kybernetické bezpečnosti, tedy bezpečnosti informačních systémů, počítačových sítí, aplikací, software a informací. Jejím cílem je zvýšení odolnosti organizací proti kybernetickým útokům. Stanovuje povinná opatření ke zvýšení celkové úrovně kybernetické bezpečnosti v organizacích působících v zemích EU. Tyto organizace (subjekty) budou mít za povinnost dodržovat řadu povinností o bezpečnosti svých procesů, vzdělávání pracovníků, bezpečnosti svých systémů, sítí, IT infrastruktury a informací. Co všechno musí udělat, aby povinnosti vyplývající z NIS2 splnily, lze shrnout do těchto deseti bodů:
- vědět, jaká máte data a kde (viz aktiva)
- vědět, jaká jsou vaše slabiny a rizika, to znamená zavést hodnocení a řízení rizik
- zajistit bezpečnost a ochranu dat a informací a přístup k nim
- vzdělávat zaměstnance, zejména zajistit vzdělávání pracovníků v oblasti bezpečnosti informací
- zajistit bezpečnost vašeho IT a informačního systému - aplikací, software, hardware a dalšího IT vybavení
- zvládat nakupované IT služby a jejich dodavatele, včetně cloudových služeb
- chránit se proti útokům a umět reagovat útoky a incidenty
- zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
- zavést směrnice informační bezpečnosti
- zajistit zlepšování výše uvedeného
Je na jednotlivých zemích, jak budou směrnici naplňovat.
V České republice budou přesné povinnosti NIS2 zakotvené v zákoně 181/2014 Sb. o kybernetické bezpečnosti (ZoKB)
- Přesné povinnosti NIS2 v současném znění zákona nejsou, budou předmětem jeho novely
- Termíny v tuto chvíli nejsou známé, 12.3.2023 byla ukončena možnost zasílat podněty k novele
- Novela zákona je v tuto chvíli v připomínkovém řízení, Zde najdete oficiální informace od NÚKIB) .
- Její schválení a finální podoba se očekávají na přelomu 2023 a 2024, nejpozději 16.10.2024
Jednotlivé části NIS2 si lze představit na schématu ryby. Lidé a vzdělávání jako zadní ploutev dávají vše do pohybu. Směrnice jako hřbetní ploutev společně s procesy celý systém stabilizují. Data, informace, informační technologie a služby jsou střeva. Systém řízení rizik je mozek, audity a kontrola jako bedlivé oko vše sledují. Opatření představují hlavu, za kterou se celý systém posouvá dopředu.
Kdo je za NIS2 odpovědný a co hrozí organizacím při nesplnění zákona?
- zákon zavádí přímou odpovědnost statutárních orgánů
- při nesplnění podmínek hrozit pokuta až 10 mil. EUR nebo 2% z ročního obratu
Koho se zákon týká, jaké organizace se podle NIS2 musí řídit
- Povinnosti vyplývající ze směrnice NIS2 se vztahují na organizace ve veřejném i soukromém sektoru.
- V České republice se bude NIS2 vztahovat odhadem na 6 000 až 15 000 firem a organizací.
- Bude se týkat firem poskytujících IT služby a digitální řešení.
- Bude se týkat firem vyrábějících elektroniku, stroje, potraviny, zdravotnické prostředky a automobily.
- Bude se týkat středních a velkých firem nad 50 zaměstnanců nebo firem s ročním obratem nad 250 mil Kč.
- Organizace jsou rozdělené do dvou skupin s vyšším (tzv regulované služby) a nižším režimem.
Regulované služby s vyšším režimem jsou organizace z těchto odvětví
- veřejná správa
- energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
- doprava (letecká, železniční, vodní a silniční)
- bankovnictví a infrastruktury finančních trhů
- zdravotnictví a výroba farmaceutických a zdravotnických prostředků
- pitná voda a odpadní vody
- digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
- poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center a sítě pro doručování obsahu
- poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
- vesmír
Organizace s nižším režimem jsou organizace z těchto odvětví
- výroba strojního zařízení
- výroba počítačů a elektroniky
- výroba motorových vozidel
- výroba jiných zdravotnických prostředků
- výroba potravin
- digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
- poštovní a kurýrní služby
- nakládání s odpady, chemické látky
Co znamená NIS2 pro firmy a organizace
V praxi to znamená zavést odpovídající vhodná a přiměřená technická, procesní, manažerská a organizační opatření. Důležitý je důraz na přiměřenost: neznamená to, že každá firma musí mít vše šifrované a mít to nejlepší vybavení. Opatření musí být přiměřená finančním možnostem firmy a hodnotě jejích dat. Konkrétní povinnosti se budou lišit pro organizace s vyšším a nižším režimem, ale v zásadě je cílem snížení rizik napadení, odcizení, ztráty nebo narušení informací a dat.
Pojďme se podívat na to, co si pod jednotlivými povinnostmi představit. Většina firem může mít celou řadu povinností již vyřešenou, jen tomu musí dát nějakou "štábní kulturu".
Popsat aktiva znamená
- vědět, která data jsou pro firmu kritická z hlediska fungování
- vědět, co všechno musí fungovat
Zavést analýzu a hodnocení rizik znamená
- mít popsaná rizika ve firmě
- ke každému riziku mít popsaný způsob, jak se s ním popasovat
Zavést základní procesy řízení bezpečnosti znamená
- mít pod kontrolou komu a proč dávám oprávnění k nějakému software
- mít pod kontrolou kdo zná jaká hesla
- mít pod kontrolou, kdo má kam přístup ve firmě (klíče, vstupní karty)
- mít pod kontrolou, kdo kam ukládá jaké informace
- mít pod kontrolou, že když odchází zaměstnanec, tak mu odeberete všechny přístupy
- když nastupuje zaměstnanec, že mu dáváte přístupy, kam
Zajistit bezpečnost a ochranu dat a informací znamená
- zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
- mít pod kontrolou, kdo má přístup k datům a informacím
Zajistit bezpečnost software, hardware a IT infrastrukturu znamená
- zabezpečit své informační systémy, aplikace, software
- mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
- provozovat bezpečný a aktualizovaný software
- pokud máte serverovnu, vědět, kdo do ní má přístup
- nesdílet heslo k wifi
- zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb
Zajistit bezpečné a spolehlivé dodavatele IT služeb znamená
- máte přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
- máte přehled jaká data u nich máte uložena
- víte, že se k datům nedostane nikdo neoprávněný zvenku a to včetně bývalých zaměstnanců
Zajistit vzdělávání pracovníků v informační bezpečnosti znamená
- poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
- poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
- poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji
Zavést neodkladné řešení bezpečnostních incidentů znamená
- evidovat útoky, ztráty dat, ztráty klíčů a další podobné bezpečnostní incidenty
- řešit následky těchto bezpečnostních incidentů
- umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
Zajistit kontinuitu provozu, obnovu po havárii znamená
- mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
- umět reagovat při havárii
Zavést směrnice informační bezpečnosti znamená
- mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění a další
- mít dokumentaci k prokázání shody s NIS2
Zajistit zlepšování výše uvedeného znamená
- provádět pravidelné aktualizace
- provádět pravidelnou údržbu IT vybavení
- provádět pravidelné testování a audity skutečného stavu
- na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
Podívejte se také na základní checklist pro NIS2
Jak vám pomůžeme splnit povinnosti i dokumentovat shodu s NIS2
Aptien vám na jednom místě usnadní splnění velké části vašich povinností. Pomůže s řízením rizik, s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí pomůže s:
Vedením dokumentace o vašich aktivech - datech, informacích a IT vybavení
- vedení informací o vašich primárních aktivech a jejich závislostech na podpůrných aktivech
- vedení informací a dokumentace o vašich podpůrných aktivech, IT vybavení a infrastruktuře
- dokumentací zabezpečení používaných aplikací a software
- vedení informací o IT službách a jejich dodavatelích
- vedení dokumentace o uložených zálohách, testovacích plánech a údržbě
Zavedením systému řízení rizik do organizace
- vedením registru rizik podle požadavků zákona o kybernetické bezpečnosti
- vedením přehledu hrozeb a zranitelností
- vedením přehledu primárních i podpůrných aktiv a jejich souvislostí
Podpora procesů
- vedení informací o oprávněních a přístupech vašich zaměstnanců
- přehled kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu)
- digitální předávání klíčů a karet zaměstnancům pomocí jednoduché aplikace
- vedením informací o přístupu a oprávnění vašich zaměstnanců i dodavatelů
- dokumentací vašich procesů kolem řízení bezpečnosti informací
Evidencí bezpečnostních incidentů
- evidencí a řešením incidentů (vedením incidentů a reakce na ně)
Řízením vašich dodavatelů
- vedením informací o dodavatelích služeb
- vedením informací o přístupech dodavatelů
- vedením informací o přístupech vašich zaměstnanců ke službám (například cloudové služby)
- vedením informací o zabezpečení nakupovaných služeb
Vzdělávání pracovníků
- vytvářením vzdělávacích plánů
- digitálním seznamování vašich zaměstnanců se směrnicemi a další dokumentací
Řízením kontinuity provozu a systémem trvalého zlepšování
- dokumentací technických a organizačních opatření zvýšení síťové a informační bezpečnosti
Vedením směrnic a dalších vnitřních předpisů
Řízením vašich interních auditů
- vedení informací o auditech a jejich závěrech
- řízení opatření v návaznosti na zjištění
- plánovaní pravidelného testování, aktualizace a vedení údržby