Koho se směrnice týká? Předně organizací, které fungují v tzv. kri­tic­kých odvětvích, jako jsou například energetické sítě, zdravotnictví, doprava, vodovodní a kanalizační sítě atd. a jejich dodavatelské řetězce. Další skupinou jsou tzv. důležitá odvětví, kam patří kupříkladu chemická výroba, potravinářství či průmyslová výroba včetně automotive, elektroniky či zdravotnických nástrojů a jejich subdodavatelé. Obecně se dotkne všech podniků ve vyjmenovaných odvětvích s více než 50 zaměstnanci či obratem přesahujícím 50 milionů eur, v rámci celé EU tedy zhruba 160 000 subjektů.

Požadavky NIS 2

Společnost Gartner ve své zprávě „Quick Answer: How to Effectivelly Prepare for NIS 2“ uvádí, že nová směrnice bude vyžadovat zaměření na řízení rizik, firemní odpovědnost, povinnosti dodávání reportů a kontinuitu podnikání:

• Řízení kybernetických rizik: Znamená zavedení procesů řízení rizik pro řízení kybernetických rizik a zmírnění hrozeb pro kritické služby. Státy EU i Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) budou provádět koordinované hodnocení bezpečnostních rizik kritických dodavatelských řetězců. Tato hodnocení budou zohledňovat technické a případně netechnické rizikové faktory.
• Odpovědnost podniků: Bude nutné zavést interní me­cha­ni­s­my pro reporting, aby bylo vrcholové vedení informováno o možných rizicích a bezpečnostní situaci. To znamená vybudování struktur, které umožní vedení podniku dohlížet na opatření v oblasti kybernetické bezpečnosti a schvalovat je.
• Reportovací povinnosti: Znamená zavést procesy pro rychlé hlášení bezpečnostních incidentů s významným dopadem na poskytování služeb nebo jejich příjemce. Příslušné orgány by pak mohly posoudit dopad incidentu a poskytnout pokyny dotčeným provozovatelům či poskytovatelům.
• Kontinuita podnikání: Tzn. vypracovat plány zahrnující úvahy o správě zálohování, obnově po havárii a krizovém řízení s cílem zajistit kontinuitu provozu v případě kybernetických incidentů.

Kromě těchto nejdůležitějších oblastí by manažeři kybernetické bezpečnosti měli sledovat také hodnocení bezpečnostních procesù, školení, správu zařízení, řízení přístupu a další oblasti.

Technické prostředky

Požadavky NIS 2 pak kladou zvýšené nároky na technologie IT bezpečnosti, které by organizace měly využívat ke splnění směrnice. Nechceme zahltit kompletním výčtem všech doporučených nástrojů, ale zcela jistě bude potřeba monitoring zdrojů (hardwarových, softwarových, změn), dále pak zajištění kontinuity provozu kri­tic­kých IT systémů např. s pomocí technologií Disaster Recovery a nástroje pro analýzu a reporting bezpečnostních incidentů typu EDR či rozšířené detekce a reakce na incidenty (XDR).

Je nepochybné, že infrastruktura kybernetické bezpečnosti podniků a organizací bude muset být posílena. To může pro mnohé středně velké firmy znamenat značný zásah do jejich personálních stavů a finančních rozpočtů. Proto se doporučuje vedle budování vlastního zabezpečení také zvážit alternativu služeb MSP poskytovatelů, kteří umožňují splnit požadavky NIS 2 bez nutnosti vysokých počátečních investic do IT.

Sami již zaznamenáváme poptávku ze strany zákazníků z důvodu NIS 2. Například společnost UNIKOM Kutná Hora zaměstnává 250 pracovníků a spadá mezi společnosti, které budou muset splňovat nároky NIS 2, a to jak díky obratu, tak z pozice velkoobchodního dodavatele. Společnost proto zprovoznila v rámci používané plat­for­my Acronis Cyber Cloud balíček Acronis Advanced Security + EDR, který zahrnuje URL filtr, antivirus, anti-malware, anti-spyware, patch management a hodnocení zranitelností. Cloudové řešení pro ochranu koncových bodů poskytne nejen vyšší úroveň zabezpečení firemní infrastruktury, ale také reporty, jako např. výstupy antivirových kontrol a další podklady vyžadované směrnicí NIS 2.

Štěpán Bínek Autor článku je manažerem prodeje cloudových řešení Acronis v ZEBRA SYSTEMS.