NIS2: nová evropská směrnice kyberbezpečnosti se dotkne 6 000 firem. Jste nanipřipraveni?

The Network and Information Security 2 (NIS2) je směrnice EU o bezpečnosti sítí a informací. V rámci EU vstoupila v platnost 27. prosince 2022, nyní probíhá její implementace do českého právního řádu – schválena bude nejspíš v půlce října a platit začne během roku 2024. Dojde tím k výraznému rozšíření a zpřísnění starší směrnice (NIS) z roku 2016. Z původních cca 400 firem směrnice nově ovlivní až 6 000 českých společností. A splnit její podmínky nebude snadné. O co přesně se jedná? Plné znění směrnice si můžete (v češtině) přečíst ZDE. Ve zkratce: směrnice udává, že členské státy EU mají povinnost identifikovat všechny subjekty, které poskytují páteřní služby, a tyto subjekty následně musí zavést definovaná opatření k prevenci kybernetických útoků. Dochází tak ke sjednocení národních strategií, postupů nebo hodnocení kritérií a rizik, protože v minulosti se stávalo, že jednotlivé země měly ke kyberbezpečnosti odlišné přístupy. Každý členský stát musí také zřídit národní tým pro reakci na počítačové bezpečnostní incidenty. Směrnice jmenuje konkrétní sektory veřejné i soukromé sféry, kterých se opatření týká. Zároveň rozděluje firmy na subjekty zásadního a důležitého významu. Subjekty zásadního významu (vyšší důležitost) Subjekty důležitého významu (nižší důležitost) energetika poštovní a kurýrní služby doprava odpadové hospodářství finanční trhy chemický průmysl zdravotnictví potravinářský průmysl vodní hospodářství výrobní průmysl digitální infrastruktura a služby veřejná správa vesmírný průmysl Narušení služeb u subjektu zásadního významu by mělo vážný či kritický dopad na ekonomiku země nebo fungování společnosti, proto jsou u těchto firem podmínky přísnější. Firma zásadního významu adoptuje plné znění všech požadavků směrnice, musí hlásit veškeré bezpečnostní incidenty, musí sledovat varování NÚKIB a proaktivním opatřením na hrozby reagovat, je pod kontrolou NÚKIB, data a informace musí zpracovávat na serveru v daném regionu, musí prověřovat i své kritické dodavatele. Firma důležitého významu adoptuje snížené požadavky směrnice, má povinnost hlásit jen bezpečnostní incidenty s výrazným dopadem, nemusí sledovat varování NÚKIB, je pod kontrolou certifikovaného inspektora NÚKIB, data a informace nemusí zpracovávat na serveru v daném regionu, nemusí prověřovat své dodavatele. Jaké změny přinese NIS2 v praxi? Nová směrnice zavádí opatření organizačního a technického charakteru. V organizační oblasti se manažeři musí věnovat hodnocení a řízení rizik, zavádět ucelené bezpečnostní politiky s důrazem na udržitelnost provozu služeb a dbát na proškolení personálu. Důraz je kladen i na bezpečnost dodavatelského řetězce. V oblasti technických opatření se jedná primárně o zabezpečení IT infrastruktury. Mezi to patří: Ochrana telekomunikační sítě a správně distribuované systémy, včetně těch s architekturou vysoké dostupnosti. Správa a ověřování identit včetně externích uživatelů a dodavatelů. Řízení přístupových oprávnění napříč celou strukturou organizace. Kryptografie a ochrana citlivých dat, důraz na zálohování a obnovu. Ochrana všech zařízení s přístupem do sítě. Novinkou bude podmínka evidence řešení a hlášení zranitelnosti a incidentů. První hlášení musí firma podat již do 24 hodin od zjištění bezpečnostního problému, druhou podrobnější zprávu musí podat do jednoho měsíce. Cílem prvního oznámení je omezit potenciální šíření incidentů a umožnit subjektům co nejrychleji eliminovat potenciální hrozbu. Druhé hlášení má zajistit poučení se z předchozích incidentů. Právě ohlašovací povinnost je pro firmy největší výzvou, protože musí dohlížet a reagovat na incidenty v režimu 24/7/365. Na trhu je přitom nedostatek kvalifikovaných IT specialistů, takže najít interní lidi pro nepřetržitý provoz bude obtížné. Je třeba zaměřit pozornost na chytrá řešení s maximálním využitím pokročilých technologií. Směrnice začne platit nejpozději 31. prosince 2024, přičemž hned od následujícího měsíce může kontrolní úřad uvalit sankce za nedodržení povinností. S NIS2 vám dokážeme pomoci Naše firma System4u v reakci na zavedení NIS2 nabízí službu Managed Detection & Response – balíček pro pokrytí všech požadavků směrnice. Tato služba zahrnuje: Bezpečnostní audit vaší IT infrastruktury a podrobnou analýzu stavu s využitím moderních postupů a penetračních testů (on-premise i cloud hosting, sítě, aplikační vrstva, správy identit, koncové body, datová úložiště, zabezpečení dat, zálohování, obnova atp.). Odborné konzultace včetně architektonického návrhu a následné implementace doporučených změn. Službu dohledového centra bezpečnosti (SOC365) včetně řešení a reportování incidentů. Se službou Managed Detection & Response budete mít jistotu, že fungujete v souladu s NIS2 i s dalšími předpisy jako GDPR nebo ISO 27001. Pokud se o tom chcete pobavit více, dejte nám vědět. The post NIS2: nová evropská směrnice kyberbezpečnosti se dotkne 6 000 firem. Jste na ni připraveni? appeared first on System4u.

projít na článek

Operátoři kritické infrastruktury nesouhlasí se zákonem o kyberbezpečnosti

Velké firmy provozující kritickou infrastrukturu, jako jsou ČEZ, T-Mobile, ČEPS, Česká pošta nebo Řízení letového provozu, nesouhlasí snávrhem zákona o kybernetické bezpečnosti. Vadí jim, že vedle transpozice evropské směrnice NIS2 návrh obsahuje i regula

projít na článek

NIS2 – Standard pro kybernetickou bezpečnost

KZ system NIS2 – Standard pro kybernetickou bezpečnost MONTÁŽ BEZPEČNOSTNÍHO SYSTÉMU PODLE SMĚRNICE NIS2 V reakci na narůstající potřebu

projít na článek

Stanovení legionel v pitných vodách

Stanovení legionel v pitných vodách se v současné době provádí kultivačně podle ČSN ISO 11731. Nová směrnice EP a rady EU 2020/2184  však umožňuje doplnit toto základní stanovení mnohem rychlejší metodou qPCR. Nová směrnice má být nejpozději do 2 let impl

projít na článek

Workshop NIS 2; jak na to prakticky

Dopolední workshop určený pro ty, kdo, řeší nebo budou řešit legislativu NIS 2. Získejte představu o dopadu NIS2 pro vaši společnost, případně jak optimalizovat zavedení NIS2 z pohledu technologií, časových nebo finančních zdrojů. Workshop se uskuteční ve

projít na článek

Odstranění značení CE 1015 a CE

Vážení zákazníci, z důvodu upřesněného výkladu směrnice 97/23/ES a pravidel k provádění směrnice, vzniklého z diskuze expertů v rámci pracovní skupiny „tlak“ při Evropské komisi pro směrnici 97/23/ES, vyplývá, že tlaková zařízení s hodnotami nižšími ...

projít na článek