TOP

KYBEZ

Mezinárodní kybernetická bezpečnost, TOP, Vzdělávání a legislativa

NIS vs. NIS2: Kam se posunula evropská kybernetická bezpečnost?

Zveřejnil
90

Jednou z charakteristik kybernetické domény je absence geografických hranic. Společný bezpečnostní standard a mezinárodní spolupráce se staly nutností v celoevropském boji proti kyberbezpečnostním hrozbám. V roce 2016 byla v Evropské unii schválena směrnice NIS (Network and Information Security), která stanovovala základní rámec pro ochranu informačních systémů a sítí každého členského státu. Postupem času však tento základní rámec přestal stačit a nároky na zajištění kybernetické bezpečnosti se zvýšily. Odpovědí na moderní hrozby v kyberprostoru se stala nová směrnice NIS2, která byla schválena v roce 2024. V České republice se tato směrnice projeví v novém zákonu o kybernetické bezpečnosti.

 

Rozšířená působnost

V roce 2016 se NIS zaměřovala hlavně na tzv. provozovatele základních služeb, čímž se rozumí základní kritická infrastruktura. Tato směrnice tehdy definovala minimální kyberbezpečnostní požadavky pro provozovatele těchto základních služeb:

  • Energetika – energetické podniky dodávající či distribuující elektřinu, ropu a zemní plyn
  • Doprava – letečtí dopravci a letiště, železniční podniky a provozovatelé železniční infrastruktury, námořní a pobřežní dopravci, a silniční orgány s provozovateli inteligentních dopravních systémů
  • Bankovnictví – úvěrové instituce
  • Infrastruktura finančních trhů – provozovatelé obchodních systémů
  • Zdravotnictví – zdravotnická zařízení včetně soukromých klinik
  • Pitná voda – dodavatelé a distributoři pitné vody
  • Digitální infrastruktura – poskytovatelé internetových výměnných uzlů (IXP), systému doménových jmen (DNS) a registry internetových domén nejvyšší úrovně (TLD)
  • Digitální služby – online tržiště, internetové vyhledávače a cloudové služby

Směrnice NIS2 rozšířila počet odvětví, a tím i subjektů, které budou muset splňovat nové standardy pro zajištění kyberbezpečnosti. K již definovaným subjektům v NIS se v roce 2024 přidaly:

  • Veřejná správa – subjekty veřejné správy na národní a regionální úrovni
  • Digitální infrastruktura – provozovatelé datových center, sítí pro doručování obsahu (CDN), certifikačních autorit (TSP), a provozovatelé veřejných komunikačních sítí
  • Řízení IT služeb – nestátní poskytovatelé zabývající se řízením informačních a kyberbezpečnostních služeb.
  • Provozovatelé vesmírných služeb
  • Poštovní a kurýrní služby
  • Odpadové hospodářství
  • Výroba a distribuce chemikálií
  • Výroba, zpracování a distribuce potravin
  • Výzkum – výzkumné organizace
  • Výroba specifických produktů – výrobci lékařských přístrojů, počítačových, elektronických a optických přístrojů, elektrického vybavení, motorových vozidel, přívěsů a návěsů, a ostatního transportního vybavení

Zatímco NIS se zaměřovala hlavně na kritickou infrastrukturu, NIS2 již zapojuje daleko více subjektů, mezi které patří nejen velké, ale i střední podniky. V praxi to znamená, že velké množství firem, které doposud kybernetickou bezpečnost neřešilo, bude muset investovat do nových zaměstnanců či služeb, aby nebyly pokutovány.

 

Přísnější bezpečnostní požadavky

NIS ukládá povinnost členským státům dohlédnout na provozovatelské subjekty, aby přijaly základní ochranu sítí a informačních systémů. Jen krátce však jmenuje, že se má zohlednit:

  • Bezpečnost systému a zařízení
  • Řešení incidentů
  • Zajištění kontinuity provozu
  • Monitorování, audit a testování
  • Soulad s mezinárodními normami

NIS2 jde signifikantně dále, přichází s konkrétnějšími opatřeními a požadavky pro provozovatelské subjekty. Provozovatelé a poskytovatelé regulovaných služeb musí zavést proces pro řízení rizik. NIS2 konkrétně zahrnuje:

  • Vytvoření zásad a postupů pro analýzu rizik a bezpečnost informačních systémů
  • Plány pro řešení incidentů, čímž se rozumí činnosti a procedury, které mají za cíl prevenci incidentu, detekci, analýzu a omezení hrozby, a obnovu zasaženého systému
  • Zajištění kontinuity provozu služby skrze zálohování a krizové řízení
  • Dodavatelské řetězce a třetí strany, které mají přístup k citlivým údajům, musí splňovat minimální bezpečnostní požadavky.
  • Zabezpečení při získávání, vývoji a údržbě síťových informačních systémů, a to včetně řešení a odhalování zranitelností
  • Vytvoření zásad a postupů pro hodnocení účinnosti dalších opatření pro řízení rizik
  • Zajištění základní digitální hygieny a kyberbezpečnostního vzdělávání
  • Vytvoření zásad a postupů pro používání kryptografie, a v případě potřeby, i šifrování
  • Zabezpečení oddělení lidských zdrojů, vytvoření pravidel a zásad pro přístup k datům
  • Správa aktiv a prostředků pro identifikaci mezer v kybernetické bezpečnosti (CSAM)
  • Využívání vícefaktorového ověřování, zajištění bezpečné hlasové, video a textové komunikace, a případného systému nouzové komunikace, pokud to povaha subjektu vyžaduje.

Jak NIS, tak i NIS2 zmiňují, že opatření musí být vhodná a přiměřená. Vzhledem k vývoji v kybernetickém prostoru to znamená, že daná opatření je nutno testovat a aktualizovat v případě jejich nedostatečnosti.

Nové nároky na kybernetickou bezpečnosti se mohou jevit velmi složitě. Ke zjednodušení komplexního řízení kybernetické bezpečnosti vyvinula společnost Gordic spol. s. r. o. nástroj Cyber Security Audit (CSA). Jedná se o intuitivní a přehlednou webovou aplikaci pro analýzu rizik a řízení kybernetické bezpečnosti, která reflektuje nejen NIS2, ale i evropské nařízení DORA, zákon o kybernetické bezpečnosti a ISO 27 000.

 

Hlášení bezpečnostních incidentů

V NIS museli členské státy zajistit, aby regulované subjekty hlásili bezpečnostní incidenty příslušnému orgánu či přímo národnímu týmu CSIRT (Computer Security Incident Response Team). Subjekty měly povinnost ohlásit bezpečnostní incident jen v případě, že se jednalo o významné narušení bezpečnosti. Významnost se odvíjela od počtu zasažených uživatelů, délku trvání incidentu, zeměpisný rozsah incidentu, rozsah narušení fungování jejich služeb a dopadu na společnost. Tento poměrně laxní přístup byl zvolen, protože si orgány Evropské unie uvědomovali, že ne každý regulovaný subjekt má přístup k takovým informacím a chtěli, aby se oznámení zakládala na relevantních datech, nikoli domněnkách.

NIS2 již definuje jakou situaci lze označit jako významný bezpečnostní incident. Jedná se zejména o incidenty, které mohou způsobit, či působí výrazné narušení provozu služeb, finanční ztrátu nebo ovlivňují či mohou ovlivnit další subjekty materiální či nemateriální škodou. Dále také NIS2 zavádí časové lhůty pro oznamování. Regulované subjekty musí incident ohlásit do 24 hodin příslušnému orgánu ve formě včasného varování, toto ohlášení musí zahrnovat jen základní informace tzn. podezření na kybernetický útok a možnost přeshraničního dopadu. Do 72 hodin musí regulovaný subjekt podat podrobnější zprávu zahrnující popis událostí, rozsah a vliv incidentu, a prvotní přijatá opatření. Po ukončení incidentu je ještě nutno podat závěrečnou zprávu s popisem důsledků, podniknutými kroky a preventivními opatřeními.

Tato změna reflektuje důležitost rychlé komunikace mezi regulovanými subjekty, příslušnými státními orgány a mezinárodními partnery. Také se zjevně počítá se zvýšenými schopnostmi kybernetické ochrany regulovaných subjektů, které NIS2 také nařizuje a jsou popsány výše.

 

Přísnější sankce a odpovědnost vedení

NIS pouze uvádí, že pokuty závisí na jednotlivých členských státech a jejich vnitrostátních předpisech. NIS2 ustanovuje, že regulované subjekty, které jsou považovány za základní, mohou dostat pokutu až 10 milionů euro či 2 % z celosvětového ročního obratu. Pokud je subjekt považován za významný, je maximální výše pokuty 7 milionů euro nebo 1,4 % z celosvětového ročního obratu. Vždy se vybere takový druh pokuty, který je finančně vyšší.

Přísnější přístup v NIS2 je reakcí na předchozí nejednotnost sankcí v Evropské unii a má za cíl zvýšit disciplinovanost v přístupu ke kybernetické bezpečnosti. Nově bude také osobně odpovědno vrcholové vedení regulovaného subjektu.

Vrcholové vedení již nebude jen úkolovat IT oddělení, ale bude mít zodpovědnost za schvalování bezpečnostních opatření a zajištění jejich implementace skrze pravidelnou kontrolu. Členové vrcholového vedení regulovaného subjektu také musí projít specifickými školeními, aby tyto nové povinnosti mohli vykonávat spolehlivě.

 

Zdroje

https://eur-lex.europa.eu/legal-content/CS/ALL/?uri=CELEX%3A32016L1148

https://eur-lex.europa.eu/eli/dir/2022/2555

https://gordiccybersec.cz/csa

Jak CSA pomáhá organizacím splnit požadavky NIS2 na správu aktiv a kybernetickou bezpečnost

Sdílet:

Mohlo by Vás zajímat

Ochrana dat a narušení bezpečnosti, TOP

Ochrana dat a narušení bezpečnosti, TOP

Mezinárodní kybernetická bezpečnost