NIS2
Po zavedení směrnice o bezpečnosti sítí a informací (NIS) v roce 2016 se Evropská unie rozhodla zaujmout přísnější postoj, rozšířit upravenou směřnici a zapojit do snahy o zvýšení úrovně kybernetické bezpečnosti v Evropě více subjektů. Co očekávat od NIS2? Zde je několik otázek, které vás v souvislosti s novou legislativou mohou napadnout – a odpovědi na ně.
Jaké požadavky zavádí NIS2?
Směrnice se skládá ze sedmi bodů, které by měly
příslušné podniky a odvětví dodržovat. Mezi požadavky patří reakce na incidenty,
provedení analýzy rizik a zavedení politik v oblasti bezpečnosti informačních
systémů, bezpečnost dodavatelského řetězce, šifrování, zveřejňování
zranitelností a také dvoufázový přístup k hlášení incidentů, podle kterého musí
organizace nahlásit incident do 24 hodin od jeho prvního výskytu a poté
nejpozději do jednoho měsíce předložit závěrečnou zprávu.
Základní a důležité subjekty by také měly přijmout širokou škálu základních postupů kybernetické hygieny, jako jsou zásady nulové důvěryhodnosti, aktualizace softwaru, konfigurace zařízení, segmentace sítě, správa identit a přístupu nebo informovanost uživatelů, tj. organizovat školení pro své zaměstnance a zvyšovat povědomí týkající se kybernetických hrozeb, phishingu nebo technik sociálního inženýrství.
Dále by tyto subjekty měly přehodnotit své prostředky v oblasti kybernetické bezpečnosti a případně usilovat o integraci technologií zvyšujících kybernetickou bezpečnost, jako je umělá inteligence nebo systémy strojového učení, aby zvýšily své schopnosti a bezpečnost síťových a informačních systémů.
Bude moje společnost spadat pod požadavky NIS2?
NIS2 se bude týkat téměř
všech středních a velkých obchodních subjektů působících na vnitřním trhu
Evropské unie. To zahrnuje nejen členské státy EU, ale i organizace mimo EU,
které působí na jejím trhu. Podle nového návrhu Zákona o kybernetické
bezpečnosti půjde o subjekty poskytující 105 vybraných služeb v 22 odvětvích.
Rozhodujícím kritériem pro určení toho, zda vaše organizace spadá pod požadavky NIS2 je velikost vaší organizace a další specifická kritéria.
NIS2 konference
Jak
stanovuje NIS2 ohlašovací povinnost?
Směrnice NIS2 stanovuje „dvoustupňový
přístup“ k hlášení incidentů. Cílem prvního oznámení je omezit potenciální
šíření incidentů a umožnit subjektům vyhledat pomoc při jeho řešení. Druhé
hlášení by mělo být důkladné a mělo by zajistit, aby bylo možné se poučit z
předchozích incidentů. Kromě toho je také cílem postupně zvyšovat odolnost
jednotlivých společností i celých odvětví vůči kybernetickým hrozbám.
1. První hlášení
Bez zbytečného odkladu a v každém případě by mělo být do 24
hodin od zjištění incidentu podáno první hlášení příslušnému orgánu nebo
celostátně příslušnému CSIRT, v němž by mělo být také uvedeno, zda incident
způsobilo protiprávní jednání.
Do 72 hodin od podání prvního upozornění je postižený subjekt povinen předložit také aktualizované a počáteční hodnocení s podrobnějšími informacemi o útoku a zavedených opatřeních. Pokud o to subjekt požádá, je možné získat pokyny k zavedení případných opatření ke zmírnění následků a v případě potřeby i další technickou podporu.
V případě incidentu způsobeného protiprávním jednáním obdrží zasažený subjekt také pokyny k ohlášení incidentu orgánům činným v trestním řízení.
2. Závěrečné oznámení
Nakonec musí být do 1 měsíce od podání prvního oznámení
nebo první zprávy předložena závěrečná zpráva, která obsahuje 1) podrobný popis
incidentu, jeho závažnost a následky, 2) typ hrozby nebo příčinu, která
pravděpodobně vedla k incidentu, a 3) použitá a probíhající zmírňující opatření.
Významné kybernetické hrozby
Do směrnice NIS2 bylo převzato ustanovení týkající se hlášení incidentů s významnými důsledky a bylo doplněno, že subjekty budou muset hlásit také všechny zjištěné významné kybernetické hrozby, které by mohly vést k významnému incidentu. Incident je považován za významný, pokud má nebo může mít za následek významné narušení provozu nebo finanční ztráty dotčeného subjektu nebo pokud incident ovlivnil nebo může ovlivnit fyzické nebo právnické osoby tím, že jim způsobil významnou materiální nebo nemateriální škodu.
Jaké zavádí povinnosti v oblasti monitorování?
Oba typy subjektů mají stejné
povinnosti a závazky, např. členové řídicích orgánů základních a významných
subjektů jsou povinni absolvovat školení a musí přijmout vhodná a přiměřená
technická, provozní a organizační opatření k řízení rizik pro bezpečnost sítí a
informačních systémů. Opatření mají zabránit incidentům nebo minimalizovat
jejich dopad na provoz nebo poskytování služeb a příjemce těchto služeb.
Od základních subjektů se bude také vyžadovat, aby měly proaktivní rámec připravenosti pro vyhodnocení dopadu nesprávného řízení i bez incidentu. U druhé kategorie, důležitých subjektů, se očekává dodržování předpisů reaktivně. To znamená, že u těchto organizací bude dodržování zákonů a požadavků kontrolováno až po incidentu. Pokud se dojde k závěru, že nebyla přijata dostatečná opatření a požadavky nebyly splněny, vztahují se na oba typy subjektů stejné sankce.
Jak bude probíhat dohled nad dodržováním požadavků NIS2?
V zájmu posílení
dohledu, který pomáhá zajistit účinné dodržování předpisů, směrnice NIS2
stanovuje minimální seznam prostředků dohledu, jejichž prostřednictvím mohou
příslušné orgány vykonávat dohled nad základními a důležitými subjekty. Pokud
jde o základní subjekty, znamená to proaktivní dohled. Naopak u důležitých
subjektů to znamená reaktivní dohled, který může být zahájen na základě důkazů,
indicií nebo informací, že subjekt údajně nedodržuje směrnici.
V druhém případě by se skutečně měla přijmout opatření pouze tehdy, pokud se členskému státu zdá, že důležitý subjekt neplní povinnosti stanovené ve směrnici. Opatření přijatá příslušnými orgány musí být účinná, přiměřená a odrazující.
U obou typů subjektů budou mít příslušné orgány pravomoc podrobit je kontrolám na místě a následnému dohledu mimo pracoviště prováděnému vyškolenými odborníky, cíleným bezpečnostním auditům, bezpečnostním skenům, žádostem o přístup k údajům, dokumentům a informacím a žádostem o důkazy o vykonávání politik kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podklady. Seznam dále rozšiřují namátkové kontroly spolu s ad hoc audity v případě zásadních subjektů. S výjimkou řádně odůvodněných případů budou muset auditované subjekty nést náklady na bezpečnostní audity.
Kromě toho mohou členské státy za účelem prokázání souladu s opatřeními požadovat, aby základní a důležité subjekty používaly konkrétní produkty, služby nebo procesy IKT, které budou certifikovány v rámci evropských systémů certifikace kybernetické bezpečnosti přijatých podle Aktu o kybernetické bezpečnosti (nařízení (EU) 2019/881).
Kdo nese odpovědnost za dodržování požadavků?
Aby byla zajištěna skutečná
odpovědnost za opatření v oblasti kybernetické bezpečnosti na organizační
úrovni, zavádí směrnice NIS2 ustanovení o odpovědnosti fyzických osob
zastávajících vedoucí funkce v subjektech spadajících do oblasti působnosti nové
směrnice NIS2.
Pokud je vaše organizace subjektem, na který se vztahuje směrnice, a nepodaří se jí vybudovat a udržovat kybernetickou způsobilost, hrozí jí pokuty a sankce za nedodržení opatření k řízení rizik nebo ohlašovacích povinností.
Pokud je zjištěno porušení, mohou příslušné orgány vykonávat další donucovací pravomoci, například vydávat varování, přijímat pokyny, nařizovat subjektům, aby ukončily provádění činností, které jsou v rozporu se směrnicí, nařizovat subjektům, aby informovaly fyzické nebo právnické osoby, které mohou být pochybením dotčeny, nebo dokonce informace zveřejňovat. Pokud tato opatření nevedou k nápravě situace, mohou příslušné orgány dočasně pozastavit činnost subjektu a vedoucího organizace, který vykonává povinnosti na úrovni vedoucího pracovníka nebo právního zástupce.
Při výkonu svých donucovacích pravomocí by příslušné orgány měly náležitě zohlednit konkrétní okolnosti každého případu, jako je povaha, závažnost a doba trvání porušení, způsobená škoda nebo vzniklé ztráty a úmyslný nebo nedbalostní charakter porušení.
Jak
se na NIS2 připravit?
Ještě, než vyjde v platnost aktualizovaná verze Zákona
o kybernetické bezpečnosti a budou známy konkrétní požadavky, kterými byste se
měli řídit, můžete podniknout některé kroky, aby byla vaše společnost na
nadcházející změny lépe připravena. Dobrá příprava je polovinou úspěchu.
NIS2 bude vyžadovat, aby organizace vyhodnotily svá rizika v oblasti kybernetické bezpečnosti, což můžete udělat předem, abyste si udělali lepší obrázek o svých silných i slabých stránkách.
Začít můžete např. analýzou stavu vaší organizace na základě 1. kroku rámce NIST. Jedná se o krok „identifikace“, který zahrnuje identifikaci aktiv ve vaší organizaci (správa aktiv), zmapování procesů (sítě), provedení hodnocení rizik, zmapování současných předpisů, které dodržujete, určení úrovně zabezpečení vašich aktiv a sítě a také optimalizaci strategie řízení rizik.