Evropská agentura počátkem března 2025 vydala i doporučující systémovou publikaci ENISA NIS360 2024 | ENISA s analýzou a doporučeními k identifikaci a upřednostnění nesouladů jako nápomocnou příručku vnitrostátním oborovým orgánům členských států EU.
Do české legislativy se požadavky promítnou tak, že dojde k nahrazení zákona o kybernetické bezpečnosti (ZKB) novým a rozsáhlejším zákonem (ZKB2), který zavádí dvě úrovně (nižší a vyšší) povinností regulovaných subjektů a obecně se vztahuje na střední a velké instituce s 50 a více zaměstnanci a ročním obratem vyšším než 10 mil. EUR (250 mil. CZK). To se v ČR bude týkat více než 6000 organizací. Navíc se požadavky nové směrnice zaměřují i na celý dodavatelský řetězec, čímž se mohou dotknout i malých společností, které samy o sobě nelze označit jako povinné subjekty, ale s těmito subjekty obchodují. Na internetovém portále NÚKIB se mohou organizace seznámit se všemi potřebnými zákonnými informacemi, avšak už nikoliv s tím, jaké konkrétní systémové řešení a nástroje technických opatření by byly pro ně těmi nejvhodnějšími. To je pak doménou odborných technologických společností, zaměřujících se na oblast dodávek řešení pro IT Security.
Pokud to shrneme, organizace musí zavést účinné nástroje a postupy pro zapojení managementu, řízení rizik a incidentů, řízení dodavatelů a třetích stran, které musí být založeno na rizikově orientovaném přístupu. Ten má za cíl chránit síť a informační systémy (NIS), tedy digitální i fyzické prostředí těchto systémů před bezpečnostními incidenty. Opatření musí zejména zahrnovat:
- Bezpečnost lidských zdrojů, kontrolu přístupu a správu aktiv
- Vzdělávání v oblasti kybernetické bezpečnosti
- Analýzu rizik a vyhodnocení účinnosti opatření k řízení kybernetických bezpečnostních rizik
- Bezpečnost dodavatelského řetězce
- Zabezpečení vývoje a údržby sítí a informačních systémů
- Zabezpečení kontinuity provozu
- Řešení incidentů, zveřejňování zranitelností a jejich řešení
Ke splnění některých zákonných povinností dle NIS2 rámce bude stanovena roční přechodná lhůta na zavedení těchto opatření, ale organizace by měly raději začít řešit splnění těchto požadavků a analýzu způsobu zavedení odpovídajících kyberbezpečnostních opatření co nejdříve, tedy v předstihu, aby se vyvarovali možným postihům. Hlavní motivací pro organizace nemají být hrozící pokuty a vysoké sankce (až 10 milionů EUR či 2 % celkového světového ročního obratu), ale eliminace rizika, že jejich organizace bude napadena s přímým negativním dopadem na jejich business.
Dalším hlediskem může být i související překrývání v některých oblastech s nařízením EU o digitální provozní odolnosti finančního sektoru (DORA), které je v pozici „lex specialis“ vůči směrnicí NIS2, jenž je považována za obecný zákon. V případě jakýchkoli rozporů nebo překrývání obou legislativních aktů má přednost nařízení DORA ve všech ustanoveních týkajících se oblastí hlášení kybernetických incidentů, testování digitální provozní odolnosti, sdílení informací a řízení rizik třetích stran v oblasti informačních komunikačních technologií (IKT).
Bezpečnostní rizika jsou omezována nasazením bezpečnostních nástrojů a opatření, tato opatření je potřeba vhodně implementovat a musí se navzájem podporovat! S ohledem na výše uvedené je potřeba se vždy komplexně podívat na smysluplná řešení a nástroje pro kybernetickou bezpečnost, ať už se jedná o síťovou bezpečnost, aplikační bezpečnost, bezpečnost koncových stanic nebo platformy informačních systémů v prostředí cloudu, multi-cloudu či vlastním datovém centru a zhodnotit schopnost zajištění řízení bezpečnosti i pro technologie a systémy různých výrobců.
Faktickým cílem by měla být vždy taková řešení (cloud či on-prem) nebo jejich kombinace, která budou ekonomicky přijatelná a přinesou očekávaný efekt a pomůžou organizacím max. zvýšit úroveň jejich IT zabezpečení a chránit jejich primární i podpůrná obchodní aktiva.
Společnost Simac Technik a.s., která se expertně zaměřuje na oblast IT Security již déle než 30 let a disponuje zkušenými a kvalifikovanými odborníky v tomto oboru vám může kvalitně pomoci se splněním této výzvy.
PŘEDPLATNÉ
ČLÁNKY DO MAILU