CzechIndustry > Neberme NIS2 jako strašáka, ale jako příležitost
Neberme NIS2 jako strašáka, ale jako příležitost
Michal Řezáč, ředitel sekce bezpečnosti a informačních technologií společnosti Gordic
Nová evropská směrnice zaměřená na kybernetickou bezpečnost NIS2 přináší rozsáhlé změny a nové povinnosti pro firmy a veřejné instituce v České republice. Aktualizovaná verze původní směrnice NIS si klade za cíl posílit ochranu kybernetické infrastruktury před rostoucím nebezpečím kybernetických útoků a s jejím přijetím se nejen zvyšuje počet subjektů, které budou povinnostem zajištění kybernetické bezpečnosti podléhat, ale rozšiřuje se i spektrum závazků, které tyto subjekty musí splnit. Jste na NIS2 připraveni?
Implementace NIS2 do české legislativy v podobě nového zákona o kybernetické bezpečnosti je stanovena do října 2024, přičemž závazné plnění nového legislativního rámce nabude účinnosti v průběhu roku 2025. Tyto termíny se však mohou ještě měnit v návaznosti na schvalovací proces nového zákona o kybernetické bezpečnosti. Bude-li nový zákon o kybernetické bezpečnosti přijat v souladu s aktuálním harmonogramem, stanou se nová pravidla k 1. lednu 2025 nedílnou součástí každodenních bezpečnostních procesů a postupů českých organizací. Nový zákon o kybernetické bezpečnosti by měl významně posílit ochranu nejen pro klíčové subjekty, ale také pro další důležité prvky národní infrastruktury a služeb, což klade na podniky a instituce nové a významné výzvy.
Dotkne se tisíců firem
Směrnice míří na tisíce firem, které budou muset řídit svou kybernetickou bezpečnost. Přináší změnu hlavně v počtu organizací, které budou spadat pod zákon o kybernetické bezpečnosti a budou povinny své systémy zabezpečovat. Odhaduje se, že jejich počet vzroste z několika stovek na 6 tisíc. Hlavním cílem směrnice je dosažení toho, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti, a tím zvyšovaly bezpečnost důležité infrastruktury v celé unii. Podniky budou i nadále řešit mnoho dalších nových povinností, na prvním místě však bude vždy zpracování analýzy rizik, které zahrnuje evidenci a hodnocení aktiv, identifikaci a zhodnocení rizik i návrh na implementaci přiměřených bezpečnostních opatření.
Řízení kybernetické bezpečnosti jednoduše
Jak taková analýza rizik vypadá? Tuto otázku si nyní klade většina dotčených organizací. A protože málokterá z nich si může dovolit zaměstnávat na tuto specifickou oblast specialistu, doporučujeme jim využít specializovanou aplikaci GORDIC CSA (CyberSecurity Audit), která umožňuje tzv. audit kybernetické bezpečnosti snadno zpracovat, a navíc neslouží pouze pro tuto analýzu, nýbrž pro celkové procesní řízení kybernetické bezpečnosti.
Obr. Aplikace pro analýzu rizik a řízení kybernetické bezpečnosti GORDIC CyberSecurity Audit
Pro řadu organizací bývají nové povinnosti vyplývající z evropské legislativy náročné nejen finančně, ale také administrativně a procesně. A to i z důvodu složitého výkladu legislativních předpisů. Proto doporučujeme obrátit se na odborníky, kteří dokáží najít nejméně nákladné a efektivní řešení v souladu s evropskými požadavky.
Jak na požadavky vyplývající z nové legislativy?
V reakci na aktuální potřeby českých firem i legislativní změny, které směrnice NIS2 přináší, společnost Gordic rozšířila nabídku bezpečnostních řešení a navazujících bezpečnostních služeb o tři nástroje z kategorie SaaS (Software as a Service, software poskytovaný formou služby). S ohledem na omezené zdroje organizací je spojuje důraz na co nejsnazší nasazení, maximální využití již používaných bezpečnostních technologií, snadnou správu a atraktivní nákladovost včetně brzké návratnosti investic.
Nástroj Monitoring externí útočné plochy poskytuje organizaci pohled kybernetického útočníka na její informační aktiva dostupná z internetu. K detekci podnikových aktiv využívá neinvazivní přístup s využitím OSINT technik (Open Source Intelligence), tedy získává a následně analyzuje informace z veřejně dostupných zdrojů. Výsledkem této analýzy je inventarizace externích služeb organizace, jejích technologií, DNS serverů, bezpečnostních certifikátů, potenciálních zranitelností a dalších aktiv, přičemž její součástí je i monitoring obsahu tzv. Dark webu.
Otevřená konvergovaná platforma pro centrální správu bezpečnostních událostí a reakce na ně zase pomáhá zachytit a správně vyhodnotit neustále rostoucí množství a škálu bezpečnostních hrozeb a následně i přijmout adekvátní reakci. Platforma umožňuje jednoduše spojit stávající bezpečnostní řešení, jako SIEM (Security information and event management), XDR (Extended detection and response) a SOAR (Security orchestration, automation and response), do jednoho funkčního celku a s využitím AI technologie nabízí efektivní a spolehlivé vyhodnocení a korelaci bezpečnostních událostí napříč podnikovou infrastrukturou v jednom přehledném rozhraní.
Problémem, který zvyšuje zranitelnost firmy, jsou často i starší verze operačních systémů a aplikací, se kterými firmy pracují. Pro ty je vhodný produkt Záplatování aplikací a operačních systémů za běhu, který umí provést okamžitou a automatickou bezpečnostní záplatu na zranitelnost nultého dne, tzn. dříve, než ji vydá dodavatel. Toto řešení je kompatibilní i s jinými záplatovacími mechanismy, které provádí záplaty pravidelně při odstávkách systému, a je funkční také na již nepodporované verze operačního systému Windows, což je v dnešní době, kdy dodavatel již záplaty na tyto verze nevydává, velká výhoda.
Více informací o povinnostech, které NIS2 přináší, a jak se na platnost směrnice připravit, najdete na stránkách https://gordiccybersec.cz/nis2/
