Společnost Soitron informuje, že evropská směrnice NIS2 (Network and Information Security Directive 2) může českým organizacím přidělat starosti, ale rovněž jim paradoxně pomoci vyřešit problémy v případě kybernetického zabezpečení.
Co se dozvíte v článku
Směrnice NIS2 má za cíl zvýšit odolnost digitální infrastruktury EU vůči kybernetickým útokům a zlepšit koordinaci a reakční schopnosti při incidentech. „Právě toto jsou aspekty, ve kterých celá řada subjektů nejen v Česku chybuje,“ podotýká Petr Kocmich, global cyber security delivery manager společnosti Soitron.
Podle Kocmicha je to dáno tím, že na trhu je nedostatek IT odborníků, a ještě méně expertů na kyberbezpečnost. „Protože subjekty, kterých se směrnice nově týká, budou muset zajistit, aby jejich IT sítě a informační systémy byly dostatečně chráněny proti kybernetickým hrozbám, může se tento problém ještě prohloubit,“ upozorňuje.
Co směrnice mění
Soitron uvádí, že dotčené instituce musí implementovat opatření pro prevenci kybernetických útoků a rizik, jako jsou například pravidelné aktualizace softwaru, zabezpečení síťových zařízení a ochrana před phishingovými útoky.
Navíc si musí připravit plány pro případ kybernetických incidentů a zřídit mechanismy pro jejich rychlé a účinné řešení. Důležité incidenty bude nutné hlásit do 24 hodin od jejich zjištění a spolupracovat s národními bezpečnostními orgány. Pokud by společnosti nebyly schopny splnit tyto požadavky, hrozí jim pokuty a další sankce.
Dvě mouchy jednou ranou
Podle Soitronu by bylo skvělé, kdyby NIS2 pomohla skoncovat s nedostatkem odborníků na kybernetickou bezpečnost. Nicméně to se nejspíš nepodaří, a na první pohled by se dokonce mohlo zdát, že se problém ještě prohloubí.
Regulace je však podle odborníků výbornou příležitostí, jak organizace zabezpečit. S tím pomohou externí dodavatelé kybernetické bezpečnosti, kteří disponují dostatečnými kapacitami tam, kde organizacím chybí.
„Specializované firmy se totiž zaměřují právě na poskytování těchto služeb a mohou pomoci subjektům implementovat bezpečnostní opatření a řízení rizik, a to kompletní formou, tedy službou na klíč nebo formou dodávky řešení včetně podpory, stejně tak zajistí splnění požadavků směrnice NIS2,“ říká Kocmich.
Jak na to
Specializované firmy podle Soitronu mimo jiné mohou pomoci vyřešit nejen nový požadavek, ale i předchozí „nedotažení“ zabezpečení IT infrastruktury a informačních systémů subjektů.
Nicméně, i když instituce využijí služeb těchto dodavatelských firem, odpovědnost je stále na jejich straně, proto by si měly dodavatele pečlivě vybírat a zjistit, zda mají dostatečnou kvalifikaci, zkušenosti a osvědčení.
Důležité je podle odborníků rovněž se postarat o správné zadání úkolů a kontrolu výkonu služeb dodavatelem. V zájmu zajištění efektivity a účinnosti tohoto modelu by měly být úkoly a odpovědnosti jasně definovány ve smlouvě mezi organizací a dodavatelem služeb kybernetické bezpečnosti.
Koho se NIS2 týká a od kdy bude platit
Směrnice pro firmy v Česku bude znamenat větší povinnosti v oblasti kybernetické bezpečnosti a ochrany sítí a informačních systémů. Nicméně přinese i zvýšenou ochranu a odolnost proti kybernetickým hrozbám a větší spolupráci mezi evropskými státy v této oblasti.
V neposlední řadě, splnění požadavků NIS2 může podle Soitronu pomoci organizacím získat důvěru svých zákazníků a partnerů, kteří budou spokojenější s ochranou svých dat a informací. Celkově by směrnice mohla pomoci subjektům zlepšit bezpečnostní postupy a minimalizovat rizika.
NIS2 se vztahuje na výrobce elektřiny, poskytování zdravotní péče, poskytování služeb elektronických komunikací, ale také na další z více než 60 služeb roztříděných do 18 odvětví. V ČR začne platit 16. 10. 2024 a týkat se bude až patnácti tisíc subjektů – středních a velkých firem nad 50 zaměstnanců nebo firem s ročním obratem nad 250 milonů Kč.
Přestože je směrnice NIS2 platná pouze pro organizace, které splňují definovaná kritéria, a ostatní tak požadavky nejsou přímo povinné splňovat, je dle expertů vhodné zauvažovat o tom, zda ji nevyužít jako doporučení pro zlepšení obecné kybernetické bezpečnosti i v dalších podnicích.
Šance i pro další subjekty
„Odhadem až 70 % tuzemských organizací má problém s kybernetickou bezpečností. Zejména menší a střední podniky nemají dostatečně zabezpečené IT systémy a nedodržují základní bezpečnostní opatření,“ říká Kocmich.
Častým problémem podle něj jsou například benevolentní oprávnění běžných uživatelů, chybějící dvou/více faktorové ověření v kombinaci se slabými hesly (i administrátorů), chybným řízením a decentralizací uživatelských identit.
Starosti dělá i zastaralý a nezáplatovaný hardware a software obsahující zranitelnosti, chybějící síťová segmentace, slabá nebo chybějící ochrana e-mailových služeb a přístupu k internetu či nedostatečná ochrana perimetru.
Problematická je podle Soitronu i nízká viditelnost v rámci síťového provozu, nízké nebo chybějící zabezpečení koncových stanic, chybějící centrální log management nebo nedostatečná školení zaměstnanců.
„Kybernetická bezpečnost je pro mnoho společností v Česku velkým problémem a pro útočníky mohou být snadnými cíli. Směrnice NIS2 by měla přispět ke zvýšení povědomí a ochraně proti kybernetickým hrozbám,“ uzavírá Kocmich.
Zdroj: Soitron
