O směrnici NIS 2 se hovoří už dlouho. Jejím cílem je, aby velké podniky především v kritických odvětvích, jako jsou energetika, zdravotnictví, doprava nebo telekomunikace, dokázaly lépe čelit stále častějším kyberútokům. A zatímco malých podniků se dotkne spíše nepřímo, velké firmy z regulovaných odvětví splňující určitá kritéria se jí musejí přizpůsobit naplno. Co to přesně znamená pro management? Připravili jsme pro vás krátkýchecklist, který vám pomůže mít NIS2, resp. nový český zákon o kybernetické bezpečnosti, který uvádí nová pravidla do legislativní praxe, pod kontrolou.
1. Převezměte odpovědnost na úrovni vedení
NIS2 ukládá přímou odpovědnost vrcholovému managementu. Kyberbezpečnost už tedy není jen tématem pro IT oddělení, ale strategická priorita podobně jako finanční řízení nebo ochrana zaměstnanců. Vedoucí pracovníci musejí mít jasný přehled o rizicích a aktivně dohlížet na dodržování a implementaci bezpečnostních opatření.
2. Nastavte procesy a organizační pravidla
Směrnice NIS 2 se netýká pouze technologií, ale klade důraz také na procesy. Firmy by měly mít nastavená interní pravidla, postupy a dokumentaci, které prokazují jejich soulad s legislativními požadavky. Kromě technických opatření je proto důležité věnovat pozornost i nastavení interních politik, reportingu a školení zaměstnanců.
3. Zaveďte nová technická opatření
Zabezpečení firemních serverů samo o sobě nestačí. Vzhledem k tomu, že zaměstnanci běžně pracují i z mobilních telefonů, notebooků nebo vlastních zařízení (BYOD), je důležité věnovat pozornost i jejich ochraně. Právě tato zařízení totiž často představují slabé místo v celkové bezpečnostní strategii. Zajištění jejich bezpečnosti přitom nemusí znamenat složité nebo nákladné řešení – existují způsoby, jak je chránit efektivně a s minimálními nároky na správu. Pokud nevíte, kde začít, oslovte specialisty.
4. Zajistěte nepřetržitý monitoring a reporting incidentů
NIS2 vyžaduje, aby firmy všechny incidenty hlásily orgánu NÚKIB a dokázaly rychle reagovat na případné incidenty. To znamená nově nastavit interní procesy pro monitoring hrozeb, evidenci incidentů a jejich vyhodnocení.
5. Proškolte zaměstnance i management
Lidský faktor je často nejslabším článkem v kyberbezpečnosti firmy. NIS2 proto firmám ukládá povinnost vzdělávání. O hrozbách tak musí vědět nejenom IT oddělení, ale i všichni ostatní zaměstnanci včetně managementu. Krátká a pravidelná školení pomáhají zaměstnancům rozpoznat phishingové e-maily nebo škodlivé aplikace. Management pak může řídit veškerá opatření efektivněji.
NIS2 jako výzva i příležitost
Firmy, které plní zmíněné legislativní požadavky, získávají konkurenční výhodu, protože ukazují současným i potenciálním obchodním partnerům, že jsou spolehlivým a bezpečným článkem dodavatelského řetězce. „NIS2 není jen regulace, ale příležitost komplexně zvýšit odolnost firmy. Ve Vodafonu se zaměřujeme na lidi, procesy i technologie. Provádíme audity a konzultace a pak připravujeme řešení přesně na míru. Když je vše nastavené prakticky a měřitelně, compliance přichází přirozeně – a zákazník získává skutečnou jistotu bezpečí,“ říká Juraj Přibyl, Head of Cyber Security ve Vodafonu.
Získat maximum z transformace firemního modelu kyberbezpečnosti můžete i vy s komplexním řešením od Vodafone Business. To zahrnuje mimo jiné nástroje jako Lookout Mobile Security a Trend Micro Worry-Free, které dokážou chránit mobily i počítače před ransomwarem, phishingem i škodlivými aplikacemi – a to s minimálními nároky na správu. Díky těmto a další ICT službám na míru pomůžeme vaší firmě nejen naplnit požadavky NIS 2 bez zbytečných průtahů a komplikací, ale také zvládnout digitální transformaci jako celek.