Blog - cetin.cz
Nejčastější dotazy k NIS2
Cílem NIS2 je výrazně posílit ochranu společností a infrastruktury jednotlivých států EU před kybernetickými hrozbami a dosáhnout v rámci celé unie vysoké úrovně společného zabezpečení.
Podrobný audit stávajících organizačních a technických opatření v oblasti kybernetické bezpečnosti identifikuje slabá místa, na která je nutné aplikovat organizační i technická opatření, která je vhodná zavádět jako celek. Díky tomu nebude docházet k výraznému omezení nebo zdržení během nasazení, správy a provozu.
Transpoziční lhůta pro „nový“ zákon o kybernetické bezpečnosti je stanovena na dobu 21 měsíců.
Změny a nové povinnosti, které zákon přináší, začnou v českém prostředí platit až s účinností nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Přijetí zákona se předpokládá ve druhé polovině roku 2024.
Nový zákon o kybernetické bezpečnosti počítá s roční přechodnou lhůtou, to znamená do poloviny roku 2025, aby měly firmy a organizace čas se na nové požadavky připravit.
Povinné subjekty rozděluje „nový“ zákon o kybernetické bezpečnosti primárně do dvou kategorií, a to s ohledem na velikost podniku a předmět činnosti.
V základu se tak subjekty či entity dělí na:
Poskytovatele regulovaných služeb v režimu nižších povinností,
Poskytovatele regulovaných služeb v režimu vyšších povinností,
a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví.
Velikost podniku pro účely NIS 2 bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení velikosti podniku:
mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo bilanční rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 EUR,
malý podnik – má méně než 50 zaměstnanců a roční obrat nebo bilanční rozvahu do 10.000.000 EUR,
střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 milionů EUR nebo bilanční rozvahu do 43.000.000 EUR.
Pozornost je v této souvislosti zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků.
Primární úlohou směrnice je, aby subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, kterým čelí sítě a informační systémy, které tyto subjekty používají pro poskytování svých služeb.
Výše uvedená opatření mají zahrnovat alespoň:
analýzu rizik a politiku bezpečnosti informačních systémů;
zvládání incidentů;
kontinuita činností (tj. business kontinuita), včetně zálohování, zotavení (disaster recovery) a krizové řízení;
zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
politiky a postupy za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
základní postupy počítačové hygieny a školení v oblasti kybernetické bezpečnosti;
zásady a postupy týkající se používání kryptografie a případně šifrování;
bezpečnost lidských zdrojů, zásady kontroly přístupu a správa aktiv;
případně použití vícefaktorového ověřování nebo řešení průběžného ověřování, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.
Zákon bude mít dopad na 60 služeb v 18 odvětvích. Dotknou se například energetiky, dopravy, vodohospodářství, bankovnictví a finančních služeb, poštovních a kurýrních služeb nebo potravinářství. Návrh zákona v této souvislosti mluví o tzv. regulovaných službách.
- Veřejná správa
- Energetika
- Výrobní průmysl
- Potravinářský průmysl
- Chemický průmysl
- Vodní hospodářství
- Odpadové hospodářství
- Letecká doprava
- Drážní doprava
- Vodní doprava
- Silniční doprava
- Digitální infrastruktura a služby
- Finanční trh
- Zdravotnictví
- Věda, výzkum a vzdělávání
- Poštovní a kurýrní služby
Režim povinností je určen na základě procesu tzv. samoidentifikace, při kterém organizace má povinnost posoudit, zda režim povinností naplňuje či nikoliv.
Dále bude Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) cíleně informovat subjekty spadající pod NIS2.
Organizacím, které nebudou dodržovat povinnosti plynoucí ze směrnice NIS2, mohou být uloženy velmi vysoké pokuty.
V režimu nižších povinností hrozí organizaci pokuta až do výše 175 000 000 Kč nebo do výše 1,4 % celosvětového obratu.
V režimu vyšších povinností hrozí organizaci pokuta až do výše 250 000 000 Kč nebo do výše 2 % celosvětového obratu.
Hlášení kybernetických bezpečnostních událostí a incidentů se vztahuje na subjekty, na které dopadají povinnosti NIS2.
Bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, musí dotčený subjekt podat oznámení o incidentu, které případně aktualizuje.
Dotčený subjekt může být ze strany NÚKIB nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu.
Hlásit kybernetické bezpečnostní události a incidenty se vztahuje na subjekty, na které dopadají povinnosti NIS2, a to v souvislosti s povinností Detekce kybernetických bezpečnostních událostí.
Povinná osoba, tedy subjekt musí používat nástroj pro detekci kybernetických bezpečnostních událostí. Jedná se o tzv. Security Information and Event Management (SIEM).
SIEM představuje systém, který shromažďuje, ukládá a analyzuje bezpečnostní informace a události z různých zdrojů, aby poskytoval sjednocené rozhraní pro jejich správu a analýzu.
SIEM je odpovědí na rostoucí potřebu lepší integrace a analýzy bezpečnostních dat v reakci na stále složitější a sofistikovanější kybernetické hrozby. SIEM se postupně stal jedním z klíčových prvků systému řízení kybernetické bezpečnosti.
Mezi hlavní funkce SIEM patří následující:
Sběr a agregace dat: SIEM shromažďuje a konsoliduje auditní záznamy (logy) a další bezpečnostní informace z různých zdrojů v síti organizace.
Detekce hrozeb: SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb.
Alarmy a upozornění: V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných kybernetických bezpečnostních událostech a incidentech.
Sledování a analýza událostí: Systém poskytuje nástroje pro sledování a analýzu kybernetických bezpečnostních událostí, což provozním či bezpečnostním pracovníkům umožňuje včas reagovat.
Dodržování předpisů a compliance: SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.