NIS2 je důležitým krokem k posílení kybernetické bezpečnosti v Evropské unii. Subjekty poskytující klíčové služby a digitální infrastrukturu, by měly dodržovat opatření touto směrnicí požadovaná, aby zajistily patřičnou ochranu svých systémů a dat, a tedy i kontinuitu svých služeb a jejich odolnost vůči kybernetickým incidentům.
IT profesionálové, kteří pracují pro tyto subjekty, by měli být seznámeni s těmito opatřeními a provádět je v souladu s nejlepšími praktikami a standardy v oblasti kybernetické bezpečnosti.
Co je to NIS2?
Nová směrnice (Network and Information Security) kladoucí si za cíl zvýšení kybernetické bezpečnosti a odolnosti proti následkům případných incidentů v kybernetickém prostoru napříč státy Evropské unie byla schválena v roce 2022. Slovo nová tedy není zcela na místě.
Jelikož se nejedná o přímé nařízení, každá země musí znění a povinnosti vyplívající z této směrnice přenést do lokální legislativy. Oproti původnímu znění jej jednotlivé země mohou i zpřísnit či upravit pro lokální podmínky.
V našem případě tedy NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost) transformuje do našich zákonů a navazujících vyhlášek v rámci standardního legislativního procesu, kterého jsme právě nyní svědkem.
Tyto zamýšlené úpravy tedy nahradí původní Zákon o kybernetické bezpečnosti a jeho vyhlášky zcela novými. Ačkoliv tedy neznáme finální znění české legislativy, lze ze směrnice vyčíst opatření, kterým se určitě nevyhneme, neboť na nich bude zcela logicky stavěno.
Aktuální informace o NIS2 lze čerpat ze stránek NÚKIB: Course: Nová směrnice EU o bezpečnosti sítí a informací (gov.cz). Zde najdete i podrobnější informace například o určení subjektů, na které bude tato regulace dopadat.
Co z NIS2 vyplývá?
Směrnice stanovuje povinnosti v podobě implementace technických, organizačních i procesních opatření v organizacích, subjektech, které poskytují klíčové služby v daném státu.
Zásadní novinkou je jasně řečená povinnost v odpovědnosti vrcholového managementu organizace za kybernetickou bezpečnost. Nelze tedy říci, že váš návrh na školení uživatelů by bez jasného zdůvodnění někdo mohl jen tak smést ze stolu.
Identifikace rizik a hrozeb: Subjekty by měly provádět pravidelné a systematické hodnocení rizik a hrozeb, kterým čelí jejich služby a infrastruktura, a stanovit opatření k jejich snížení nebo eliminaci.
Ochrana systémů a dat: Subjekty by měly zavést vhodné technické a organizační opatření k ochraně svých systémů a dat před kybernetickými útoky, jako jsou šifrování, autentizace, zálohování, segmentace, aktualizace atd.
Detekce incidentů a anomálií: Subjekty by měly monitorovat a analyzovat své systémy a dat, aby včas odhalily a identifikovaly jakékoli kybernetické incidenty nebo anomálie, které by mohly ohrozit jejich služby a infrastrukturu.
Reakce na incidenty a obnova: Subjekty by měly mít připravené plány a postupy pro rychlou a účinnou reakci na kybernetické incidenty, které by mohly narušit jejich služby a infrastrukturu, a pro obnovu normálního provozu.
Oznámení incidentů a spolupráce: Subjekty by měly hlásit jakékoli závažné kybernetické incidenty, které by mohly mít dopad na kontinuitu nebo kvalitu jejich služeb a infrastruktury, příslušným orgánům a spolupracovat s nimi a s dalšími zúčastněnými stranami na jejich řešení.
A samozřejmě je tu kapitola o možném postihu těch, kteří nebudou jednotlivé povinnosti dodržovat. Obsahující i různě vysoké pokuty. Ale to jistě nebude váš případ.
Uvedené jsou oblasti, kterých se regulace dotýká. Pro konkrétní opatření a povinnosti bude nutné nastudovat finální schválené znění zákona a jeho vyhlášek.
Týká se NIS2 i mé organizace?
Oproti původnímu zákonu, který mířil opravdu na kritické instituce a společnosti, nový zákon dopadne na mnohem větší počet subjektů a firem. Očekává se, že jich bude od 6 do 12 tisíc, neboť reguluje více než 100 služeb v různých odvětvích a to i dle velikosti organizace.
Především z důvodu, že takové služby jsou v zásadě též důležité pro běžné denní fungování státu a služeb pro jeho občany. Například potravinářství, bankovní a finanční služby, digitální a informační služby, svoz odpadu a mnohé další, které přibyly k energetice, nemocnicím a státním subjektům.
Hlavními kritérii určení je velikost organizace podle počtu zaměstnanců a obratu, a právě poskytované služby. Dle těchto parametrů organizace spadnou do režimů takzvaných vyšších a nižších povinností. Režim vyšší v zásadě rozsahem organizací odpovídá původnímu zákonu, nižší režim je pak novinkou.
Ale pozor, může se také stát, že jste dodavatelem organizace, která pod tuto regulaci spadá a tato některé požadavky přenese i na vás v rámci smluvních kontraktů. To je jistě téma, které je dobré probrat následně s někým, kdo tomu rozumí poněkud více. A rozhodně s vedením vaší organizace, pokud tušíte, že pod regulaci spadáte zcela jistě.
Od kdy NIS2 platí?
Samotná směrnice udává transpoziční lhůty pro lokální implementace, ale nás bude zajímat termín vydání jednotlivých zákonů a vyhlášek, protože od nich se bude počítat lhůta na zavedení povinných opatření mezi organizacemi, na které regulace dopadne.
Z pohledu plánování se dá očekávat, že rok 2025 bude rozhodujícím, ačkoliv původní termín ze samotné unie byl stanoven na říjen 2024. Ale znáte to, nechávat vše na poslední chvíli se nemusí vyplatit. Především z pohledu, že změny v IT a procesech mohou chvíli trvat a je lepší je plánovat předem a s klidnou hlavou, ne hořícími termíny za rohem. Důležitým prvkem pak bude transpoziční lhůta, tedy čas, který budou mít regulované subjekty na zavedení povinných opatření.
A navíc, kdo to s kybernetickou bezpečností myslí vážně, už by měl mít v zásadě hotovo. Protože většina z opatření je zcela logických a souvisí s dobrou praxí, kterou by měl dodržovat každý. I ten, kdo pod tuto regulaci nespadá.
Co mám tedy udělat?
Projděte si základní a známá určující kritéria, zda se regulace bude dotýkat i vaší organizace. Tedy počty zaměstnanců, velikosti obratu a oblasti trhu, kde působíte, poskytované služby zákazníkům. Pokud vám vyjde jasný průnik, je na místě rozhovor s vedením organizace, zda si tuto situaci uvědomují. Minimálně pro určení režimu povinností, takzvanému sebeurčení a rozhodnutí, kdo bude osoba odpovědná za řízení kybernetické bezpečnosti.
Zmapujte si obecně aktuální stav kybernetické bezpečnosti, zavedená opatření, technologie a procesní postupy. Chybí vám vše od antiviru, nevíte, kdo je to NÚKIB, logujete možná jen příchody do práce a vynucení MFA bylo dosud složité, protože uživatelé zapomínají i PIN o 4 číslech? Čeká vás hodně práce.
Cvičně si zmapujte vaše aktiva, tedy prvky, na kterých závisí poskytované regulované služby. Jsou to právě počítače, účetní software, objednávky v e-mailech, lidské znalosti? Budete muset provést analýzu rizik, které je mohou ohrozit. Abyste následně mohli efektivně řídit aplikovaná opatření a jejich náklady. Aneb zdůvodnit si rozhodnutí, proč si pořídit EDR, nebo raději záložní infrastrukturu. To nebývá jednoduché cvičení a opět je lepší najít si zkušenější parťáka, který vás tím provede aspoň napoprvé.
Pak už jen právě chybějící a podstatná nebo právě povinná opatření následně naplánovat implementovat. A tedy hlavně realizovat. Bezpečnost na papíře je krásná, ale vy potřebujete i reálné činy. Třeba začít právě oním školením kybernetické bezpečnosti pro koncové uživatele a vedení organizace. Ale nezapomínejte, pokud kliknutí uživatele položilo celou IT infrastrukturu, nebyla to chyba uživatele.
Pokud už toto, společně se čtením zákonů je na vás přeci jen už trochu moc, je dobré najít si k tomu zkušenější kolegy a partnery, aspoň na chvíli pro začátek, než se v tom naučíte chodit sami.
Pomohou mi technologie a služby Microsoft?
NIS2 obsahuje podobná témata jako ISO 27001:2022, tedy oblasti pro analýzu rizik, řízení politiky bezpečnosti, incidentů, zabezpečení dodavatelského řetězce, politiky, kryptografii a šifrování a mnohé další. Obsahuje navíc ale konkrétní opatření jako například nutnost zavedení ověřování více faktory (MFA).
Organizace využívající ryze cloudové služby budou mít situaci opět trochu snazší. Minimálně technologicky.
Compliance Manager obsahuje možnosti pro evidenci plnění jednotlivých opatření na úrovni nastavení samotných služeb.
Security, Exposure, Compliance a další Score pomohou s hodnocením kybernetické bezpečnosti, plánování opatření i ověření reality s reportovaným stavem.
Entra ID dokáže zajistit bezpečné ověření identit napříč online i lokálními systémy, pomocí Conditional Access politik vynutit přístup chráněný MFA, a to i metodami odolnými běžným phishing kampaním.
BitLocker ve Windows 11 zašifruje bezpečně lokální uložiště, pevné disky, aby ztráta či krádež zařízení nevedla ke kompromitaci dat. Stejně tak Windows Defender dokáže poskytnout solidní antivirovou ochranu.
OneDrive for Business dokáže zálohovat dokumenty bezpečně na SharePoint Online a v případě incidentu se vrátit až 30 dní zpět na úrovni uložených dat.
Microsoft Intune zajistí ochranu mobilních zařízení bez ohledu na platformu Windows, macOS i mobilní zařízení iOS a Android. I na těch se totiž objevují firemní data a účty i identity.
Microsoft Information Protection zajistí klasifikaci a kryptografickou ochranu citlivých dat.
Defender for Office 365 ochrání proti hrozbám ze světa odkazů a příloh e-mailových zpráv, které proudí do organizace, stejně jako Teams chat zprávy.
Defender for Endpoint analyzuje procesy, skripty, síťová spojení a aktivitu na stanicích, která by mohla být projevem dosud neznámé hrozby. Právě podobné opatření je explicitně jmenováno.
Microsoft 365 Backup umožní zálohovat Exchange Online i SharePoint Online pro případnou rychlou obnovu potřebných dokumentů a schránek přímo na úrovni platformy.
Defender Threat & Vulnerability Management dokáže ukázat slabá místa systémů, infrastruktury, počítačů i aplikací. Zda neobsahují zjevné zranitelnosti. Stejně Defender External Attack Surface Management zobrazí, jak organizaci mohou zvenku vidět potencionální útočníci.
Azure Backup nebo Azure Site Recovery pomůže se zálohou lokálních systémů do cloudu, a to i infrastrukturních služeb jako jsou doménové řadiče a obdobně.
Microsoft Sentinel pak jako centrální uložiště logů umožňuje nejen jejich analýzu, ale také centralizovanou reakci na případné incidenty.
Copilot for Security pro větší organizace pak vše zastřeší a pomůže těm, kteří se v problematice ne zcela vyznají.
A takto bychom mohli pokračovat. Ale asi tušíte, že zde postupně vyjmenujeme všechny komponenty Zero Trust přístupu. A jistě budete souhlasit, že implementovat ty, které již máte v licencích, nebo jsou zcela zdarma, je lepší dříve než ty placené. Ale ty často pomohou s tím, kde vám naopak možná chybí lidé a čas.
Takže do toho a vše bude brzy hotovo. A budeme moci všichni o trochu klidněji spát.
