Vlády po celém světě se proto pokoušejí posílit kybernetickou odolnost jak státních, tak soukromých subjektů. Významným krokem vpřed v tomto úsilí je nová směrnice Evropské unie o sítích a informačních systémech, která je známá pod zkratkou NIS2.

Směrnice NIS2 je výjimečná svým širokým záběrem a zaměřením na ochranu kritické infrastruktury ve srovnání s jinými zavedenými bezpečnostními standardy. Ačkoli rámce jako NIST CSF jsou široce přijímány pro své osvědčené postupy, postrádají regulační dohled a přísné požadavky na podávání zpráv stanovené NIS2. Na straně ochrany soukromí zase předpisy, jako je GDPR, sice chrání osobní údaje, ale neřeší provozní odolnost kritických sektorů. NIS2 navíc doplňuje další průmyslové standardy, jako je ISO 27001, který se zaměřuje pouze na zabezpečení informací pro konkrétní odvětví nebo typy dat. Stručně řečeno, NIS2 pokrývá širší škálu sektorů a zavádí jednotný rámec kybernetické bezpečnosti v celé EU a tím zaplňuje mezeru prosazováním norem, které zajišťují ochranu údajů i odolnost vůči kybernetickým hrozbám.

NIS2 se týká více subjektů

NIS2 výrazně rozšiřuje množství dotčených subjektů oproti původní směrnici NIS rozšířením pokrytých sektorů a zavedením dvou kategorií organizací: základní subjekty, které zahrnují kritická odvětví, jako je energetika, zdravotnictví a digitální infrastruktura, a důležité subjekty, pokrývající průmyslová odvětví, jako např. výroba potravin, poštovní služby a odpadové hospodářství. Tyto subjekty musí dodržovat přísnější opatření v oblasti kybernetické bezpečnosti a zlepšovat odolnost a schopnost reakce v celé EU. Nová směrnice tak zajišťuje komplexnější ochranu klíčových průmyslových odvětví a zlepšuje koordinaci a dohled nad úsilím v oblasti kybernetické bezpečnosti.

Kromě toho, pokud vaše společnost sídlí mimo EU, ale nabízí důležité služby v rámci EU, vztahuje se na vás směrnice NIS2 také. Směrnice totiž rozšiřuje svoji působnost na subjekty mimo EU, které poskytují základní nebo důležité služby v rámci EU.

Rozdíly mezi směrnicí a nařízením

Kromě NIS2 jste se už museli setkat s mnoha dalšími bezpečnostními standardy, jako je GDPR, NIST CSF, ISO 27001 apod. Jaké jsou rozdíly mezi těmito směrnicemi, nařízeními a rámci? V Evropské unii jsou směrnice právními akty, které musejí být transponovány do vnitrostátního práva všech členských států. To umožňuje interpretace specifické pro danou zemi – což je i případ NIS2, která u nás bude transponována do novely zákona o kybernetické bezpečnosti (ZoKB).

Oproti tomu nařízení, jako je například GDPR, jsou závazná ve všech členských státech bez nutnosti transpozice do národní legislativy, čímž je zajištěna jejich jednotná aplikace. A pokud jde o rámce, jako jsou NIST CSF, ISO 27001, SOC 2 nebo PCI DSS – zde jde o široce přijímané a doporučené osvědčené postupy, které ale nejsou právně závazné. V tomto kontextu NIS2 tyto rámce doplňuje sta­no­ve­ním přísnějších standardů kybernetické bezpečnosti v celé EU.

Zde je vhodné zmínit, že zatímco směrnice NIS2 musí být transponována do vnitrostátního práva k určitému datu, na dotčené subjekty nemusí dopadnout okamžitě, protože lhůta uvedená ve směrnici se vztahuje pouze na vlády, které mohou dát firmám a organizacím další čas na přípravu.

Jak se firmy a organizace mohou připravit na NIS2?

Kterým oblastem by měly organizace věnovat prioritně pozornost v souvislosti s novým nařízením? NIS2 klade důraz na proaktivní přístupy ke kybernetické bezpečnosti, a proto je pro organizace nezbytné nejen řešit incidenty poté, co k nim dojde, ale také předcházet rizikům a zmírňovat je. NIS2 je postaven na čtyřech klíčových pilířích: podniková odpovědnost, řízení rizik, povinnosti podávat zprávy a kontinuita podnikání.

1. Od vedení společnosti se nyní vyžaduje, aby převzalo aktivnější a informovanější roli
Firemní odpovědnost je základním aspektem kybernetické bezpečnosti v rámci NIS2. Kybernetická bezpečnost již není pouze odpovědností IT oddělení, ale také strategickou prioritou na úrovni představenstva. Vedení a manažeři jsou nyní povinni převzít přímou odpovědnost za stav kybernetické bezpečnosti organizace, místo aby přenášeli odpovědnost pouze na IT tým.

2. Robustnější postupy řízení rizik pro minimalizaci kybernetických hrozeb
Nyní, když se vedení stává ostražitějším, je také důležité nasměrovat organizace ke zmírnění potenciálních rizik. Efektivní řízení rizik zahrnuje integraci robustních protokolů odezvy na incidenty, zabezpečení dodavatelského řetězce a ochranu sítě a dat prostřednictvím opatření, jako je šifrování. Software Bill of Materials (SBOM) může organizacím pomoci získat přehled o zranitelnostech softwaru třetích stran. Přijetí bezpečnostního modelu Zero-Trust navíc posiluje obranu tím, že před udělením přístupu k síti ověřuje každého uživatele a zařízení.

3. Zajistěte kontinuitu provozu a plány obnovy po havárii v případě závažného incidentu
Dále se NIS2 výrazně zaměřuje na plánování kontinuity podnikání a obnovy po havárii, přičemž zdůrazňuje potřebu robustních zá­lo­ho­va­cích systémů a strategií, které zajistí, že i v případě kybernetického útoku bude možné rychle obnovit provoz a minimalizovat výpadky. Spolehlivá řešení zálohování, jako je Synology, nejen chrání vaše fyzické a virtuální pracovní zátěže, ale také zajišťují okamžitou obnovu, jsou zásadní pro udržení odolnosti v dnešním prostředí hrozeb.

4. Zaveďte procesy pro rychlé hlášení incidentů
A konečně NIS2 klade důraz na rychlé hlášení incidentů, které vy­ža­du­je, aby organizace informovaly úřady krátce po zjištění vý­znam­ných kybernetických událostí. Rychlé hlášení pomáhá minimalizovat širší dopad útoků, zajišťuje koordinovanou reakci a rychlejší obnovu. Tato přísná časová osa podporuje organizace, aby zavedly procesy pro efektivní identifikaci, dokumentaci a hlášení incidentů.

Stále je čas zajistit, aby vaše organizace NIS2 splňovala

Směrnice NIS2 posiluje opatření v oblasti kybernetické bezpečnosti napříč kritickými a důležitými odvětvími tím, že prosazuje přísnější lhůty pro podávání zpráv, vylepšené procesy řízení rizik a zavádí přísnější sankce za nedodržení. Vzhledem ke skutečnosti, že NIS2 bude již brzy transponován do místních zákonů, je nejvyšší čas, abyste se připravili. Organizacím se proto důrazně doporučuje, aby přijaly okamžitá opatření a zřídily specializovanou pracovní skupinu pro přijímání zákonů odvozených od NIS2 a revizi svých infrastruktur kybernetické bezpečnosti a ochrany dat.

Poradenský a testovací servis Synology

Hledáte optimální řešení pro bezpečné ukládání a sdílení dat, nebo spolehlivé řešení pro zálohování a obnovu dat, které bude odpovídat potřebám vaší firmy a požadavkům NIS2? Ať už jde o podnikové úložiště, zálohování virtuálních počítačů, počítačů/serverů, zálohování mimo pracoviště, poštovní servery nebo video dohled – poradenský a testovací servis Synology vám pomůže najít vhodné řešení. Odborníci Synology jsou vám k dispozici a jsou připraveni najít to správné řešení pro vaši firmu nebo organizaci.

Poradenský a testovací servis Synology pro firemní klientelu zahrnuje:

• Profesionální analýzu reálných potřeb a proveditelnosti, provedenou vyškolenými odborníky
• Možnost dodávky vhodných testovacích zařízení a testovacích licencí. Otestujte si produkty Synology na 30 dní zdarma ve svém vlastním podnikovém prostředí. Přesvědčte se sami o jejich výkonu a možnostech.
• Rychlé doporučení ke kvalifikovanému partnerovi společnosti Synology pro zakoupení vhodných produktů.