Evropská směrnice NIS2 (Network and Information Security Directive 2) může českým organizacím přidělat starosti, ale rovněž jim paradoxně pomoci vyřešit problémy v případě kybernetického zabezpečení. Konkrétně těm, které do teď tuto vážnou hrozbu neřešily nebo nemohly obhájit potřebný rozpočet na dostatečně kvalifikované zaměstnance.

Směrnice NIS2 má za cíl zvýšit odolnost digitální infrastruktury EU vůči kybernetickým útokům a zlepšit koordinaci a reakční schopnosti při incidentech. „Právě toto jsou aspekty, ve kterých celá řada subjektů nejen v Česku chybuje. Je to dáno tím, že na trhu je nedostatek IT odborníků, a ještě méně expertů na kyberbezpečnost. Protože subjekty, kterých se směrnice nově týká, budou muset zajistit, aby jejich IT sítě a informační systémy byly dostatečně chráněny proti kybernetickým hrozbám, může se tento problém ještě prohloubit,“ uvádí Petr Kocmich ze společnosti Soitron.

Co směrnice mění

Dotčené instituce musí implementovat opatření pro prevenci kybernetických útoků a rizik, jako jsou například pravidelné aktualizace softwaru, zabezpečení síťových zařízení a ochrana před phishingovými útoky. Navíc si musí připravit plány pro případ kybernetických incidentů a zřídit mechanismy pro jejich rychlé a účinné řešení.

Důležité incidenty bude nutné hlásit do 24 hodin od jejich zjištění a spolupracovat s národními bezpečnostními orgány. Pokud by společnosti nebyly schopny splnit tyto požadavky, hrozí jim pokuty a další sankce.

Dvě mouchy jednou ranou

Bylo by skvělé, kdyby NIS2 směrnice pomohla skoncovat s nedostatkem odborníků na kybernetickou bezpečnost. Nicméně to se nejspíš nepodaří, a na první pohled by se dokonce mohlo zdát, že se problém ještě prohloubí. Regulace je však výbornou příležitostí, jak organizace zabezpečit. S tím hravě pomohou externí dodavatelé kybernetické bezpečnosti, kteří disponují dostatečnými kapacitami tam, kde organizacím chybí. „Specializované firmy se totiž zaměřují právě na poskytování těchto služeb a mohou pomoci subjektům implementovat bezpečnostní opatření a řízení rizik, a to kompletní formou, tedy službou na klíč nebo formou dodávky řešení včetně podpory, stejně tak zajistí splnění požadavků směrnice NIS2,“ uvádí Petr Kocmich.

Specializované firmy mimo jiné mohou pomoci vyřešit nejen nový požadavek, ale i předchozí „nedotažení“ zabezpečení IT infrastruktury a informačních systémů subjektů. Nicméně, i když instituce využijí služeb těchto dodavatelských firem, odpovědnost je stále na jejich straně, proto by si měly dodavatele pečlivě vybírat a zjistit, zda mají dostatečnou kvalifikaci, zkušenosti a osvědčení. Důležité je rovněž se postarat o správné zadání úkolů a kontrolu výkonu služeb dodavatelem. V zájmu zajištění efektivity a účinnosti tohoto modelu by měly být úkoly a odpovědnosti jasně definovány ve smlouvě mezi organizací a dodavatelem služeb kybernetické bezpečnosti. Je potřeba si totiž uvědomit, že kvalita dodávané služby mnohdy reflektuje kvalitu a schopnosti řízení dodavatele.

Koho se NIS2 týká a od kdy bude platit

Směrnice pro firmy v Česku bude znamenat větší povinnosti v oblasti kybernetické bezpečnosti a ochrany sítí a informačních systémů. Nicméně přinese i zvýšenou ochranu a odolnost proti kybernetickým hrozbám a větší spolupráci mezi evropskými státy v této oblasti. V neposlední řadě, splnění požadavků NIS2 může pomoci organizacím získat důvěru svých zákazníků a partnerů, kteří budou spokojenější s ochranou svých dat a informací. Celkově by směrnice mohla pomoci subjektům zlepšit bezpečnostní postupy a minimalizovat rizika.

NIS2 se vztahuje na výrobce elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také na další z více než 60 služeb roztříděných do 18 odvětví. V Česku novinka začne platit 16. října 2024 a týkat se bude až patnácti tisíc subjektů – středních a velkých firem nad 50 zaměstnanců nebo firem s ročním obratem nad 250 mil. Kč. Přestože je směrnice NIS2 platná pouze pro organizace, které splňují definovaná kritéria, a ostatní tak požadavky nejsou přímo povinné splňovat, je vhodné zauvažovat o tom, zda ji nevyužít jako doporučení pro zlepšení obecné kybernetické bezpečnosti i v dalších podnicích.

Šance i pro další subjekty

„Odhadem až 70 % tuzemských organizací má problém s kybernetickou bezpečností. Zejména menší a střední podniky nemají dostatečně zabezpečené IT systémy a nedodržují základní bezpečnostní opatření,“ říká Petr Kocmich. Častým problémem jsou například benevolentní oprávnění běžných uživatelů, chybějící dvou/více faktorové ověření v kombinaci se slabými hesly (i administrátorů), chybným řízením a decentralizací uživatelských identit, zastaralý a nezáplatovaný hardware a software obsahující zranitelnosti, chybějící síťová segmentace, slabá nebo chybějící ochrana e-mailových služeb a přístupu k internetu, nedostatečná ochrana perimetru, nízká viditelnost v rámci síťového provozu, nízké nebo chybějící zabezpečení koncových stanic, chybějící centrální logmanagement nebo nedostatečná školení zaměstnanců. „Kybernetická bezpečnost je pro mnoho společností v Česku velkým problémem a pro útočníky mohou být snadnými cíli. Směrnice NIS2 by měla přispět ke zvýšení povědomí a ochraně proti kybernetickým hrozbám,“ dodává Petr Kocmich.

Více informací o povinnosti NIS2 se nachází na speciálním webu (http://nis2.nukib.cz) Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

TZ