NIS2, neboli Network and Information Security 2, je nová směrnice Evropské unie s cílem zvýšit kybernetickou bezpečnost v členských zemích. U nás bude mít směrnice oporu v novém Zákoně o kybernetické bezpečnosti a na jeho dodržování bude dohlížet NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost).

Tato směrnice doplňuje stávající regulace, jako jsou GDPR a NIS1, které platí již od roku 2016. NIS2 je však ve všech ohledech přísnější – má vyšší požadavky na zabezpečení, na nastavení procesů, informování o incidentech, povinnosti dodavatelů, ale také vyšší osobní zodpovědnost a případné pokuty za nedodržení nařízení. Také se výrazně rozšířil rozsah dotčených firem, takže NIS2 se vás může týkat, i když se vás původní NIS netýkal.

Pro koho je určena?

Směrnice NIS2 je určena pro organizace, které tvoří kritickou infrastrukturu nezbytnou pro fungování společnosti. V praxi se týká středních a velkých firem definované počtem zaměstnanců a ročním obratem z celé řady odvětví. Nejde jen o například energetiku, zdravotnictví a veřejnou správu, ale také o IT firmy, dopravu nebo výrobu. Dle těchto parametrů existují dva režimy povinností: nižší a vyšší.

Kdy vstoupí v platnost?

• 01/2023 – Směrnice NIS2 nabyla účinnosti v Evropské unii.
• 10/2024 – Lhůta pro přijetí národní úpravy zákona.
• 01/2025 – Očekávaný začátek platnosti směrnice v České republice.
• 03/2025 – Povinnost registrace organizací.
• 01/2026 – Očekávaný konec ochranné lhůty.

Jak dále postupovat?

1. Zjistit, jestli se mě týká

   • Podle odvětví a velikosti (počet zaměstnanců a roční obrat) zjistíte, zda se na vás vztahuje povinnost k NIS2. Započítávají se také partnerské a propojené podniky.

2. Zaregistrovat se

   • Registrace podniku na portálu NÚKIB (Národní Úřad pro Kybernetickou a Informační Bezpečnost) musí být provedena do 60 dní od nabytí účinnosti nového zákona. Portál obsahuje veškeré potřebné informace.

3. Splnit požadavky

   • Do jednoho roku od doručení rozhodnutí o registraci musíte splnit požadavky, jako je hlášení bezpečnostních incidentů, zavedení bezpečnostních opatření a jmenování odpovědné osoby za kybernetickou bezpečnost.

Jaké jsou požadavky NIS2?

Bezpečnostní procesy

• Nastavení procesu řízení bezpečnosti: Je nutné určit odpovědnou osobu, stanovit rozsah a strategické cíle a pravidelně vyhodnocovat bezpečnostní opatření.
• Rozvoj bezpečnostního povědomí: Organizace musí zajistit vstupní a pravidelná školení zaměstnanců, vedení a dodavatelů, aby zvýšila jejich povědomí o kybernetické bezpečnosti.
• Řízení aktiv, rizik a změn: Je třeba identifikovat, hodnotit a evidovat prvky důležité pro fungování organizace, vytvořit plán zvládání rizik, postupy pro řízení změn a pravidelně provádět kontrolu a testování.
• Bezpečnostní politika a dokumentace: Bezpečnostní požadavky musí být promítnuty do dokumentace a pravidelně aktualizovány.
• Audit kybernetické bezpečnosti: Organizace musí pravidelně provádět audit kybernetické bezpečnosti, posoudit soulad zavedených opatření s právními předpisy, smluvními závazky a nejlepší praxí a zohlednit výsledky v plánu zvládání rizik.
• Řízení fyzické bezpečnosti: Je nutné stanovit bezpečnostní perimetry a nastavit odpovídající opatření.
• Řízení dodavatelů: Organizace musí identifikovat a evidovat významné dodavatele a zavést smluvní ujednání, která zajistí jejich bezpečnost.

IT infrastruktura

• Řízení přístupu a identit: Je nutné spravovat přístupová práva pro uživatele, administrátory, dodavatele a technická aktiva, používat centralizovaný nástroj, vícefaktorové ověřování a stanovit pravidla pro hesla.
• Řízení kontinuity činností a zálohování: Organizace musí mít postupy pro obnovu primárních aktiv, plány obnovy, pravidelně provádět bezpečné zálohy dat a testovat zálohy.
• Řízení bezpečnostních událostí a incidentů: Je nutné mít postupy pro detekci, zaznamenávání a vyhodnocení bezpečnostních událostí a používat centrálně spravovaný nástroj pro jejich detekci a záznam.
• Zajištění síťové bezpečnosti: Organizace musí provádět segmentaci sítě, omezit komunikaci, používat šifrování a stanovit pravidla a postupy pro vzdálené připojení a správu.
• Zavedení kryptografie: Je nutné šifrovat komunikaci a chránit technická aktiva.
• Zajištění aplikační bezpečnosti: Organizace musí pravidelně provádět bezpečnostní aktualizace, identifikovat zranitelnosti a provádět pravidelné skeny a penetrační testování.

Každý podnik se nachází v jiné fázi plnění bezpečnostních norem, používá jiné nástroje a interní procesy a má jiné kapacity tuto problematiku řešit. Většina podniků už nyní bude minimálně část z požadavků NIS2 splňovat, aniž by nový Zákon o kybernetické bezpečnosti studovali. Směrnice totiž nevymýšlí nic neobvyklého nad rámec již existujících moderních bezpečnostních standardů a tzv. best practices. Pouze je všechny shrnuje do komplexního balíku požadovaných obecných technologických řešení a interních procesů. 

Jak Apple zařízení mohou pomoci splnit NIS2?

Apple nabízí nejlépe zabezpečená zařízení na trhu počínaje hardwarem s vlastním návrhem čipů, přes operační systém s vestavěnými bezpečnostními prvky a konče důkladnou kontrolou aplikací. Tento skvělý základ může být doplněný o vhodný nástroj, který dodá potřebnou kontrolu, automatizaci nastavení, integraci s podnikovou infrastrukturou postavenou nejčastěji na řešení Microsoftu a také pokročilý EDR nástroj pro dodatečnou ochranu zařízení proti dalším možným vektorům útoku. Takovým nástrojem může být například Jamf, který je v tomto ohledu jedničkou na trhu.

Jak může Logicworks pomoci?

Jsme experti na správu a zabezpečení Apple zařízení a jejich integraci do podnikové infrastruktury. Proto dokážeme firmám pomoci právě s tou částí NIS2, která se týká koncových zařízení jako jsou iPhone, iPad a Mac. Pomůžeme individuálně navrhnout vhodný postup a vybrat efektivní nástroje pro jejich zabezpečení na odpovídající úrovni, a to na základě důkladné analýzy současného stavu a potřeb.

Můžete nás kontaktovat prostřednictvím formuláře na naší webové stránce, která se NIS2 věnuje a kde se také dozvíte bližší informace o jednotlivých nařízeních a mohou pomocí kalkulačky zjistit, zda se týká právě vás.

https://www.logicworks.cz/nis2/