Směrnice NIS 2 – nutné zlo, či příležitost brát kyberbezpečnost vážně?

DomůKyberbezpečnost

Směrnice NIS 2 – nutné zlo, či příležitost brát kyberbezpečnost vážně?

Ticho před bouří. Tak hodnotí aktuální stav při zavádění požadavků nové evropské směrnice o kybernetické bezpečnosti NIS2 a její implementaci do národní legislativy spoluzakladatelka a COO české technologické společnosti TeskaLabs Vladimíra Tesková.

ČTÚ: Objem přenesených mobilních dat loni stoupl o 43 %
Nové modely Lenovo ThinkPad a ThinkBook
Škodlivá rozšíření pro prohlížeče se maskovala za webovou analytiku
Rok 2020 akceleroval potřebu digitalizace

Ticho před bouří. Tak hodnotí aktuální stav při zavádění požadavků nové evropské směrnice o kybernetické bezpečnosti NIS2 a její implementaci do národní legislativy spoluzakladatelka a COO české technologické společnosti TeskaLabs Vladimíra Tesková.

O NIS2 se začalo významněji mluvit už v první polovině minulého roku, její finální znění bylo schváleno Radou Evropské unie 27. prosince 2022. V České republice je zavedení nových povinností plánováno nejpozději na 16. října 2024. To sice může působit na první pohled jako dlouhá doba, realita je ale trochu jiná.

Není čas ztrácet čas

Nařízení se týká středních a větších podniků, tzn. těch s 50 a více zaměstnanci, nebo ročním obratem minimálně 10 milionů eur, nebo bilanční sumou roční rozvahy alespoň 10 milionů eur. Požadavky související s implementací NIS2 se v první fází dotknou nejméně 6 000 firem, v dalších vlnách může jít až o desítky tisíc společností.

Vzhledem k tomu, že implementace má jasná pravidla, zahrnující primární analýzu, nezávislý auditorský posudek a teprve až poté následuje vlastní technická část, můžeme se v případě menších subjektů dostat na dobu 1-3 měsíců. Velké podniky však musí počítat s procesem v délce jednoho roku, výjimečně i dvou let.

Vysoké nároky na dodavatele kyberbezpečnostních řešení, která budou ve shodě s požadavky NIS2, ale splňuje jen nepatrná část ICT firem v Česku. „Je jasné, že kvůli plánovanému množství dotčených společností, malému počtu kvalifikovaných  dodavatelů a dlouholetému nedostatku pracovníků v IT oblasti se dostáváme do značného časového a kapacitního nesouladu,“ dodává Vladimíra Tesková a doporučuje v této souvislosti příliš neotálet.

NIS2 počítá s některými zásadními změnami. Které to jsou?

Pokud jsme si zvykli na určitou benevolentnost v případě zavádění legislativy GDPR, NIS2 je proti tomu značně nekompromisní a zavádí podstatně přísnější požadavky na subjekty pod ni spadající. Patří k nim mj. povinnost provádět vlastní posouzení bezpečnostních rizik, technická a organizační opatření vedoucí ke zvýšení kybernetické odolnosti, povinnost logování kybernetických dat a událostí (ukládání po dobu nejméně 18 měsíců) a oznamování bezpečnostních incidentů.

Zcela zásadní je vyvození osobní odpovědnosti pověřených osob a nemalé sankce. Ty mohou být peněžité (až 10 mil. eur, nebo 2 {94956223523e30c8113a3a8d6a5ce4812a2cbdf57d9d14e19ce953758f5ce762} z globálního obratu firmy), nebo může dojít k pozastavení certifikace či zákazu výkonu činnosti jakékoliv vedoucí osobě. Sankce je navíc možné udělovat opakovaně, dokud nedojde k nápravě.

Špičkový logmanagement v podání TeskaLabs

TeskaLabs se řadí ke špičkám v řešení logmanagementu, tedy procesu sběru, analýzy, archivace a správy logů v počítačových systémech a sítích. Logy jsou záznamy událostí a aktivit, které se vyskytují v operačních systémech, aplikacích, webových serverech, nejrůznějších zařízeních apod.

Správa logů je důležitá pro zabezpečení IT systému, odhalování chyb a problémů, diagnostiku výkonu a plánování kapacity. „A také pro splnění požadavků platné legislativy a směrnice NIS2. Náš „signature“ nástroj LogMan.io poskytuje detailní dokumentaci v případě kritického incidentu dle ZoKB, GDPR i ČSN ISO 27001:2013. Kromě toho dokáže najít původ incidentu, nahrává veškeré dění v IT struktuře společnosti pro pozdější přezkoumání a nabízí úplný přehled o veškerých datech v IT infrastruktuře,“ vysvětluje Vladimíra Tesková.

LogMan.io se může pochlubit také bezkonkurenčním výkonem v podobě až 500 000 EPS (události za sekundu), které je schopen zpracovat. V porovnání s maximálně 10 000 EPS jiných dodavatelů jde o skutečně úctyhodné číslo.

TeskaLabs má k dispozici vlastní tým elitních vývojářů a programátorů, stejně jako expertů na kyberbezpečnost i směrnici NIS2. I proto může svým zákazníkům vždy poskytovat řešení na míru a v případě jakýchkoliv požadavků zareagovat mimořádně rychle. Díky svému profesionálnímu přístupu má firma specializující se na kybernetickou bezpečnost ve svém portfoliu mnoho klientů napříč odvětvími. Nechybí v něm např. Nova, Prima, Cetin, E.ON, IKEM, MPSV, VZP ČR, FN Plzeň, FN Ostrava, Linet atd.

Chceme změnit přístup firem ke kybernetické bezpečnosti

„Řekněme si upřímně, spousta majitelů a manažerů firem, s nimiž momentálně řešíme otázky kyberbezpečnosti, vnímá nová nařízení jen jako nutné zlo. Tedy až na ty, kteří se s nějakým typem destruktivního kybernetického útoku už setkali,“ doplňuje Vladimíra Tesková. Není žádnou novinkou, že kvůli nedostatečnému zabezpečení přicházejí firmy o zásadní data, ať už jde o výrobní či finanční dokumentaci, klientské databáze a další citlivé informace. S tím pochopitelně souvisí i odchod zákazníků, nemluvě o značných ekonomických škodách. „Zastavení výroby většího podniku totiž může znamenat denní ztrátu klidně v řádu milionů eur,“ dodává Vladimíra Tesková.

O to víc zaráží, že ani společnosti z jasně „kritické infrastruktury“ často netuší, že pod NIS2 spadají. „I proto jsme připravili dlouhodobý projekt, který firmám pomůže zorientovat se v tomto složitém procesu a bude je informovat o všech novinkách, které s ním souvisejí. Naším cílem je, aby byla nová pravidla bezpečnosti vnímána především jako přínos pro firmy i jejich zákazníky a ne jako další byrokratická a ekonomická zátěž,“ uzavírá Vladimíra Tesková.

Více na www.teskalabs.com, logman.io a na sociálních sítích LinkedIn, Facebook nebo Twitter.

KOMENTÁŘE

WORDPRESS: 0
DISKUZE 1