Evropská směrnice NIS2 má v Česku nabýt účinnosti v lednu 2025 jako nový zákon o kybernetické bezpečnosti. Solution architekt MasterDC Jan Sedlák upřesňuje, v jaké fázi příprav jsou aktuálně české firmy a jak by měly reflektovat povinnosti nové legislativy v praxi.
Jak vnímáte připravenost českých firem necelé dva měsíce před platností NIS2?
Z mého pohledu si většina stále ujasňuje, do jaké kategorie jejich služby vůbec patří a jaké povinnosti pro ně budou platit. Pak je tady úzká skupina subjektů, která je napřed a často už nová pravidla splňuje. Typicky proto, že má interní bezpečnostní experty, spadá pod kritickou infrastrukturu státu a podléhá už dosavadnímu kybernetickému zákonu.
Myslím si, že v tuto chvíli by firmy měly směřovat k tomu nejdůležitějšímu, a to je nastavení procesů v rámci manažerských směrnic. Ve směrnici si určí, jakými způsoby může dojít k napadení nebo selhání systémů a jak budou tyto situace řešit. Stejné informace pak musí předat i Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) v okamžiku, kdy jeden ze scénářů nastane.
O MasterDC
Přední český provozovatel datacenter a poskytovatel správy IT pomáhá firmám mimo jiné s technickou implementací NIS2. Zaregistrujte se na prosincovou Snídani u Mastera, kde zazní konkrétní zkušenosti ze zavádění nových standardů.
Co byste tedy doporučil těm, kteří se snaží v nových povinnostech zorientovat?
Nejrychlejším řešením bude obrátit se na někoho, kdo rozumí právu v oblasti kyberbezpečnosti. S tím doporučuji neotálet. Kategorizace služeb totiž přinese jasnější představy o tom, co musí firma v praxi splnit, aby udělala maximum pro zabezpečení dat. Pokud někdo hodně tápe, nabízí se i konzultace přímo s NÚKIBem, který se celkově snaží subjektům orientaci v problematice usnadnit.
Obecně můžu říct, že hlavní povinností bude připravenost včas rozpoznat incident, ohlásit jej NÚKIBu a mít postup pro jeho řešení a nápravu. K tomu je potřeba vědět, kdo nebo co se kam připojuje, s jakým cílem, zda k tomu má oprávnění a jestli neprovádí nepovolené akce.
Z toho plyne, že práce s přístupovými právy a logy bude pro splnění NIS2 nevyhnutelná. Je to něco, co už dnes firmy běžně dělají?
Zákazníci, kterým v MasterDC pomáháme s technickou implementací NIS2, už často mají nasazenou nějakou formu správy identit a s ní související přístupová práva. Ta sice nebývají ideálně nastavena, ale to se dá snadno napravit. Co vnímám jako větší problém, je absence zabezpečení samotných serverů pro správu identit a přístupů.
Běžně se setkáváme i s log managementem. Největší neznámou pro firmy se zatím zdá být SIEM, tedy pokročilá analýza a vyhodnocování logů z různých systémů a následná práce s nimi. Často jim chybí interní člověk, který by tomuto typu nástroje rozuměl, uměl ho nastavit a průběžně udržovat. Jednodušším a pro menší firmy navíc i cenově nejdostupnějším řešením je přenechání správy externímu dodavateli.
Neexistuje na trhu jeden nástroj, který dokáže standardy NIS2 kompletně pokrýt?
Jak už jsem řekl, NIS2 je v prvé řadě o firemních procesech. S technickou stránkou pak mohou různé nástroje pomoci, ale je to spíš o jejich správné kombinaci a vhodném doplnění aktuálně používaných technologií. Na začátku technické implementace proto musí vždycky stát zhodnocení IT infrastruktury v podobě bezpečnostního auditu. Ten posoudí připravenost a stav kybernetické bezpečnosti dané společnosti a objasní, jaký typ nástrojů bude potřeba nasadit. Audit bych mimochodem doporučil provést i na konci implementace.
Dá se dopředu odhadnout finanční a časová náročnost změn souvisejících s NIS2?
Z našich zkušeností v MasterDC je rekordní čas pro implementaci šest měsíců. Finanční hledisko závisí na velikosti firmy, stávající bezpečnostní úrovni a podnikatelské oblasti. Potom samozřejmě platí, že čím rychleji má být hotovo, tím vyšší bude cena za celé řešení. Pokud se někdo rozhodne sáhnout po open source nástrojích, určitě ušetří na vstupní investici. Správa si ale vyžádá mnohem víc lidských zdrojů než údržba placených nástrojů. V neposlední řadě se musí počítat s náklady na pravidelné vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti. Právě oni jsou totiž dlouhodobě nejzranitelnější.
