NIS2: Posílení kybernetické bezpečnosti v Evropské unii

 
  novinka

Digitální transformace nabírá na obrátkách a spolu s ní také rychlost kybernetických útoků. Útočníci jsou motivováni zvyšujícím se tempem transformace, protože počet potenciálních obětí a škod, které mohou způsobit, roste. Nová směrnice NIS2 si klade za cíl zajistit společnou obranu a kontinuitu kritických služeb v rámci Evropské unie.

CO JE NIS2

Nová směrnice NIS2 představuje rozšíření platné legislativy EU zaměřené na zajištění odpovídající úrovně bezpečnosti sítí a informačních systémů, aplikací, software a informací napříč celou Evropskou unií. Tato nová legislativa je celoevropským řešením pro posílení zabezpečení kyberprostoru tak, aby odpovídala na aktuální bezpečnostní hrozby. Evropský parlament a Rada Evropské unie znění směrnice v listopadu 2022 přijaly. Členské státy EU mají do října 2024 povinnost transponovat NIS2 do svých národních právních předpisů.

AKTUÁLNÍ STAV

V reakci na směrnici NIS2 připravil NÚKIB návrh nového zákona o kybernetické bezpečnosti. Tento návrh byl schválen vládou dne 17. července 2024 a nyní je předložen k projednání v Poslanecké sněmovně. Směrnice klade důraz na odpovědnost vrcholového managementu a přináší přísnější sankce za nesplnění povinností. Organizace budou muset výrazně posílit své kybernetické bezpečnostní strategie. Vzhledem k průběhu legislativního procesu se však předpokládá, že zákon nabude účinnosti až začátkem roku 2025.

casova%20osa

PŘÍNOSY NIS2

  • Posílení kyberbezpečnosti: NIS2 stanovuje přísnější požadavky na zabezpečení sítí a informačních systémů, což může pomoci subjektům zvýšit jejich ochranu proti kybernetickým hrozbám a snížit riziko kybernetických útoků.
  • Zlepšení spolupráce: NIS2 podporuje lepší spolupráci mezi subjekty a národními orgány v oblasti kyberbezpečnosti, což může vést k lepší koordinaci a rychlejšímu reagování na potenciální hrozby.
  • Zvýšení povědomí: NIS2 klade důraz na povědomí o kyberbezpečnosti a povinnost subjektů informovat o kybernetických incidentech. To může pomoci zvýšit povědomí o důležitosti kyberbezpečnosti a posílit kulturu bezpečnosti.
  • Podpora inovací: NIS2 také zahrnuje opatření, která mají podpořit inovace a vývoj nových technologií v oblasti kyberbezpečnosti, což může přinést nové příležitosti pro subjekty působící v České republice.
  • Dodržování evropských standardů: NIS2 je součástí evropského rámce pro zabezpečení sítí a informačních systémů, což zajišťuje dodržování jednotných standardů a přístupů v celé Evropské unii, což může být pro subjekty v České republice výhodné při obchodování s dalšími zeměmi EU.

Digitální a provozní odolnost organizace

„S rostoucí mírou digitalizace služeb a technologií je neodmyslitelně spojené i zvyšující se kybernetické riziko. Skutečnost, že může dojít k vyřazení kritických služeb v důsledku kybernetických útoků, které jsou nedílnou součástí našeho každodenního života, je v současné době mnohem reálnější než kdy dříve. Zachování kontinuity provozu a ochrana informačních systémů se tak stává zásadní prioritou pro organizace, které chtějí minimalizovat rizika spojená s kybernetickými hrozbami a zajistit spolehlivost a dostupnost svých služeb pro své zákazníky“

KOHO SE BUDE NIS2 TÝKAT

Předpokládá se, že až 6000 organizací v České republice bude nově řešit otázky kybernetické bezpečnosti. Do této skupiny budou patřit ty, které: • poskytují alespoň jednu službu v některém z uvedených typů podnikání v přílohách směrnice. • jsou středním nebo velkým podnikem dle Doporučení Komise 2003/361/ES z 6. května 2003, tedy zaměstnávají 50 a více zaměstnanců (včetně propojených podniků – dceřiné společnosti, koncerny apod.), nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů Kč).

REGULOVANÉ SUBJEKTY
DŮLEŽITÉ SUBJEKTY ZÁKLADNÍ SUBJEKTY
ENERGETIKA POŠTOVNÍ A KURÝRNÍ SLUŽBY
DOPRAVA NAKLÁDÁNÍ S ODPADY
BANKOVNICTVÍ A INFRASTRUKTURY FINANČNÍCH VÝROBA, PRODUKCE A DISTRIBUCE CHEMICKÝCH LÁTEK
ZDRAVOTNICTVÍ VÝROBA, ZPRACOVÁNÍ A DISTRIBUCE POTRAVIN
PITNÁ A ODPADNÍ VODA VÝROBA ZDRAVOTNICKÝCH PROSTŘEDKŮ, POČÍTAČŮ, ELEKTRONICKÝCH A OPTICKÝCH PŘÍSTROJŮ A ELEKTRICKÝCH ZAŘÍZENÍ A STROJŮ, MOTOROVÝCH VOZIDEL, PŘÍVĚSŮ A NÁVĚSŮ A DALŠÍCH DOPRAVNÍCH ZAŘÍZENÍ
DIGITÁLNÍ INFRASTRUKTURA
VEŘEJNÁ SPRÁVA
VESMÍR A VÝZKUM

KPCS – PŘÍSTUP A ŘEŠENÍ

„Zajistěte svou firemní budoucnost: Kybernetická bezpečnost jako nedílná součást vaší firemní kultury"

V dnešní digitální éře je kybernetická bezpečnost pro organizace nezbytným faktorem úspěchu. Nové požadavky na kybernetickou bezpečnost podle směrnice NIS2 si vyžadují komplexní a integrovaný přístup. Jedna technologie sama o sobě není dostatečná k ochraně vašich informačních systémů a dat. Kybernetická bezpečnost musí být začleněna do celé firemní kultury, kde jsou zaměstnanci vzděláváni a motivováni ke správnému chování v kybernetickém prostoru. Pouhé investice do technologií nestačí. Musíte mít také nastavené silné bezpečnostní politiky, postupy a vzdělávací programy, které budou součástí vaší firemní strategie. Nezanedbávejte kybernetickou bezpečnost, protože jedině tak můžete ochránit svou organizaci před stále se zvyšujícím množstvím kybernetických hrozeb a zajistit si konkurenční výhodu na trhu.

OPATŘENÍ POPIS
ANALÝZA A ŘÍZENÍ RIZIK Identifikace, hodnocení a řízení rizik spojených s informačními systémy a návrh snížení dopadů jejich naplnění.
BEZPEČNOSTNÍ POLITIKY A PREVENCE Prevence a odhalování incidentů v informačních systémech, reakce na incidenty a jejich efektivní řešení pro minimalizaci škod.
ŘEŠENÍ A ZVLÁDÁNÍ INCIDENTŮ, ODHALOVÁNÍ A REAKCE NA NĚ Odhalování incidentů v informačních systémech a infrastruktuře, reakce na ně a jejich efektivní řešení pro vyloučení nebo minimalizaci dopadů.
ZAJIŠTĚNÍ KONTINUITY ČINNOSTÍ Zálohování dat a systémů, zotavení po havárii nebo jiném selhání, a krizové řízení pro minimalizaci výpadků a zajištění neustálé dostupnosti služeb.
BEZPEČNOST DODAVATELSKÉHO ŘETĚZCE Zabezpečení dodavatelského řetězce, zahrnující hodnocení a monitorování bezpečnosti dodavatelů, smluvní ujednání a auditování dodavatelských služeb.
BEZPEČNOST POŘIZOVÁNÍ, VÝVOJE A ÚDRŽBY SÍTĚ A INFORMAČNÍCH SYSTÉMŮ Zabezpečení procesů pořizování, vývoje a údržby sítě a informačních systémů, včetně ověřování a aktualizace softwaru, hardwaru a konfigurace systémů.
BEZPEČNOST LIDSKÝCH ZDROJŮ, ŘÍZENÍ PŘÍSTUPŮ A AKTIV Zabezpečení lidských zdrojů organizace, včetně správy přístupů, oprávnění a aktiv uživatelů, a monitorování jejich činnosti pro minimalizaci rizik.
METODIKY A POSTUPY PRO HODNOCENÍ ÚČINNOSTI BEZPEČNOSTNÍCH OPATŘENÍ Stanovení metodik a postupů pro hodnocení efektivity implementovaných bezpečnostních opatření a jejich průběžné zlepšování.
POLITIKY A POSTUPY PRO ÚČELOVÉ POUŽITÍ KRYPTOGRAFIE A ŠIFROVÁNÍ Stanovení politik a postupů pro použití kryptografie a šifrování k ochraně důvěrnosti a integrity dat, zabezpečení komunikace a přenosu dat.
PRAKTIKY ZÁKLADNÍ POČÍTAČOVÉ HYGIENY Zavedení základních pravidel a praktik pro uživatele, včetně silných hesel, pravidelných aktualizací softwaru, používání aktualizovaného antivirového softwaru, omezení přístupu k citlivým údajům a zavedení osvědčených postupů pro používání počítačů a dalších zařízení.
VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI Poskytování vzdělávání a školení zaměstnancům na povědomí o kybernetických hrozbách, identifikaci a prevenci bezpečnostních rizik, ochranu důvěrných informací uživatelů v rámci bezpečnostní politiky organizace a postupy pro reakci na incidenty.

FÁZE ŘEŠENÍ

Fáze 0:

Aktuální stav kybernetické bezpečnosti
  • Audit kybernetické bezpečnosti.
  • Identifikace potřeb a znalost prostředí.
  • Fáze 1:

    Soulad s NIS2, strategie a připravenost
  • Kontinuita činností a potřeb pro zajištění souladu s NIS2.
  • Kybernetické hrozby a jejich dopad na prostředí organizace.
  • Fáze 2:

    Implementace organizačních a technických opatření
  • Digitální a provozní odolnost organizace.
  • Řízení a udržitelnost systému kybernetické bezpečnosti.
  • Fáze 3:

    Zabezpečení průmyslových a provozních technologií
  • Moderní zabezpečení výrobních provozů (OT Security).
  • Zajištění efektivní architektury pro bezpečnost provozních technologií.
  • NIS2%20-%20faze

    Lukáš Radil | Project Delivery Director „Termín účinnosti nového zákona o kybernetické bezpečnosti se přiblížil. A i přes to, že ještě může doznat změn při schvalování v parlamentu nebo senátu České republiky, tak přesné požadavky budou známy až s vydáním novelizace příslušných právních norem, zavádění konkrétních opatření bude vyžadovat nějaký čas. Obecné principy zajišťování kybernetické bezpečnosti jsou známé již teď a nebezpečí kybernetických útoků přetrvává dlouhodobě. Bezpečnostní opatření je proto vhodné zavádět průběžně i bez ohledu na stav implementace nové směrnice. Pokud není kybernetická bezpečnost už teď nedílnou součástí firemní strategie, nebo nepokrývá všechny potřebné oblasti, je čas začít tuto problematiku intenzivně řešit.“

    DŮLEŽITÉ ODKAZY A ZDROJE Nová směrnice EU o bezpečnosti sítí a informací (nukib.cz)

    Sdílej v médiích

    nis2-posileni-kyberneticke-bezpecnosti-v-evropske-unii

    Kontakt

    Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

    * Vyžadované pole. Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů.

    * Souhlas se zpracováním údajů

    map us
    map eu