Image
NIS2

Zvládněte nároky NIS2 společně s TD SYNNEX

Zvládněte nároky NIS2 společně s TD SYNNEX

Tisíce majitelů, ředitelů a IT specialistů v českých firmách stojí před úkolem, s nímž se doposud nesetkaly. V EU vstoupila v platnost směrnice NIS2, podle níž musí firmy již v roce 2024 splňovat nové, přísnější podmínky v kybernetické bezpečnosti. NIS2 se týká minimálně 6 000 tuzemských podniků. Otázka za 10 milionů eur zní: jsou na to připraveny?

Pro podniky bude NIS2 znamenat bezpečnostní audity, vytvoření bezpečnostních týmů a plánů, investice do infrastruktury nebo povinné hlášení incidentů. Ale nově se to může dotknout třeba mlékárny nebo zemědělského družstva. A pokuta za porušení pravidel může dosáhnout až 10 milionů eur!

NIS2 přitom vlastně zformulovala doporučení, která kyberbezpečnostní experti hlásají již delší dobu. V čase cloudů a hybridní práce již k zajištění firmy nestačí firewall či antivirus. Společnosti musí chránit nejen svůj perimetr, ale i svá data, zaměstnance a aplikace, ať jsou kdekoli a připojují se odkudkoli. To vše je ještě umocněno extrémním nárůstem hackerských útoků v posledních dvou letech.

Nový přístup k ochraně firemního prostředí je nejen nutností, ale i obchodní příležitostí. A my v TD SYNNEX chceme být společně s našimi partnery u toho! Proto se na téma NIS2 dlouhodobě zaměřujeme, abychom s partnery pomohli řešit problém NIS2 koncovým zákazníkům.

Co to je NIS2?

Cílem evropské směrnice NIS2 je zajistit vysokou úroveň kybernetické bezpečnosti napříč EU. NIS2 navazuje na předchozí směrnici NIS. Základní změnou je výrazné rozšíření počtu subjektů, které budou muset kyberbezpečnostní opatření realizovat a dodržovat. Zatímco NIS se u nás týkala cca 400 subjektů, nyní to bude odhadem minimálně 6000. Podmínky NIS2 budou převedeny do české legislativy formou nového zákona o kybernetické bezpečnosti (podobně jako NIS má nyní svůj odraz ve stávajícím znění Zákona o kybernetické bezpečnosti z roku 2014 a ve vyhlášce o kybernetické bezpečnosti). Pro české firmy by mělo být dodržování pravidel NIS2 závazné již v průběhu roku 2024. Mezním termínem je podzim 2024, předpokládá se ale, že nový zákon by mohl platit od července 2024.

NIS2 tedy představuje zásadní změnu přístupu státu k bezpečnosti. Zatímco dříve se řešily jen firmy, u nichž mohou mít narušení bezpečnosti významné dopady na ekonomiku (zejména kritická infrastruktura), nynější pojetí staví na tom, že bezpečností by se měl zabývat skutečně každý. Norma podstatně rozšiřuje počet dotčených subjektů a zavádí také významné sankce za nedodržování. Můžeme v ní spatřovat i reakci na měnící se kyberbezpečnostní svět. Kyberzločin se stal průmyslovým odvětvím, které je s rozvojem technologií schopné zaměřovat se i na menší cíle.

Koho se NIS2 týká?

Směrnice se vztahuje na podniky od střední velikosti (50 zaměstnanců, 10 milionů eur roční obrat) ve vybraných oborech. Definuje přitom dvě skupiny podniků, pro něž platí dvě různé úrovně povinností:

Základní subjekty: energetika (elektřina, ropa, zemní plyn), doprava (letecká, železniční, vodní, silniční), bankovnictví (úvěrové instituce), infrastruktura finančních trhů, zdravotnictví (zdravotnická zařízení, včetně nemocnic a soukromých klinik), pitná voda (dodavatelé a distributoři), odpadní voda, digitální infrastruktura (např. výměnné uzly internetu (IXP), poskytovatelé služeb systému doménových jmen (DNS), registry internetových domén nejvyšší úrovně (TLD), poskytovatelé služeb cloud computingu, poskytovatelé veřejných sítí elektronických komunikacím, poskytovatelé služeb datových center, poskytovatelé sítí pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru), řízení ICT služeb (B2B; MSP, MSSP), subjekty veřejné správy s výjimkou soudnictví, parlamentů a centrálních bank, vesmír (provozovatelé pozemní infrastruktury).

Důležité subjekty: poštovní a kurýrní služby, nakládání s odpady, výroba, produkce a distribuce chemických látek, výroba, zpracování a distribuce potravin, výroba, digitální poskytovatelé, výzkum.

Každá firma by měla samostatně určit, zda pod NIS2 spadá a do jaké kategorie patří. Ze strany státu nebude sestavován žádný oficiální seznam osob podléhajících regulaci. Každý si musí analyzovat, zda naplňuje kritéria pro určení (působení v regulovaném odvětví a velikost podniku), a pokud ano, pak se nahlásit Národnímu úřadu pro informační a kybernetickou bezpečnost (NÚKIB).

Na essentials se s největší pravděpodobností budou vztahovat obdobné povinnosti, které definuje nynější vyhláška o kybernetické bezpečnosti. Podle odhadů by do této kategorie mělo spadat zhruba 600 dalších firem (oproti cca 400 subjektům, které jsou regulovány podle NIS). Pro ty „pouze“ důležité podniky (cca 5 500 subjektů) budou zřejmě platit poněkud mírnější pravidla.

Hlášení incidentů

Kromě samoidentifikace budou firmy také povinně hlásit NÚKIB bezpečnostní incidenty. Incidentem se v tomto smyslu rozumí narušení bezpečnosti informací v rámci aktiv (souvisejících s poskytovanou službou). Norma se samozřejmě zaměřuje na incidenty, které mají původ v kybernetickém prostoru (tedy ne například vloupání, překopnutí kabelu apod.). Jednotlivé incidenty se budou posuzovat podle významnosti/nevýznamnosti dopadu na poskytovanou službu s úmyslným/neúmyslným zaviněním. A princip bude takový, že firmy ve skupině základních budou NÚKIB hlásit vše (tedy i neúmyslné nebo nevýznamné incidenty) a firmy ve skupině důležitých budou hlásit jen vše, co je úmyslné + významné incidenty.

Bezpečnostní opatření na straně firem

Z NIS2 vyplývá obsáhlý seznam bezpečnostních opatření, která by měly dotčené firmy dodržovat. Tato opatření jsou zatím definovaná v obecné rovině a budou konkretizována v prováděcích předpisech. Je ale zřejmé, že pro dotčené podniky to bude znamenat řadu povinností v novém nastavení firemních procesů a obsazení pozic, které doposud třeba vůbec neměly.

  1. Analýza rizik a politiky bezpečnosti informací;
  2. Zvládání incidentů;
  3. Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení;
  4. Bezpečnost v rámci dodavatelského řetězce;
  5. Bezpečnost v rámci pořízení, vývoje a údržby systémů;
  6. Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit);
  7. Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti;
  8. Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování;
  9. Bezpečnost lidských zdrojů, řízení přístupů a aktiv;
  10. Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.

Konkrétní povinnosti stanoví nový zákon, nicméně již nyní je jasné, že podniků se nově dotknou bezpečnostní aspekty, které doposud hodně z nich vůbec neřešilo. A to jak na straně koncepční (bezpečnostní audity, stanovení bezpečnostních politik a postupů), technické (vícefaktorová autentizace, ochrana vzdálených zařízení), ale i personální (manažer kybernetické bezpečnosti).

Firmy budou muset investovat do technologií a do lidí, aby novým požadavkům vyhověly. Ale především budou muset nejprve zjistit, jaký je stav jejich kyberbezpečnosti směrem k NIS2.

Sankce za porušování pravidel

V závislosti na závažnost porušení povinností až 7 milionů eur, respektive 1,4 % z celkového celosvětového ročního obratu u důležitých subjektů, a až na 10 milionů eur, respektive 2 % z celkového celosvětového ročního obratu, u základních subjektů.

Expertní služby TD SYNNEX

Podstatnou část aktivit spojených s NIS2 představují činnosti předcházející vlastním investicím do konkrétních řešení. Významnou roli proto budou hrát expertní služby, které je TD SYNNEX připravena poskytovat partnerům a koncovým uživatelům.

Klíčovou roli bude hrát především analýza rizik ve firemním prostředí, zhodnocení stávajícího stavu IT infrastruktury a následné doporučení tzv. compliance, tedy investic a opatření, které jsou nezbytné k dosažení shody s NIS2. Může se jednat o pořízení vlastních řešení, kde pomůžeme s návrhem konfigurace a vlastní implementací, ale třeba i outsourcing ke spolehlivému dodavateli z řad partnerů TD SYNNEX. Řada zákazníků se určitě rozhodne pokrýt část svých potřeb souvisejících s NIS2 migrací do cloudu, a v tomto směru disponuje TD SYNNEX silnou trojkou největších světových poskytovatelů AWS, Azure, Google Cloud. Problematice NIS2 se budeme věnovat také v rámci školení či workshopů.

Vendoři „umí“ NIS2 technologie

V závislosti na konkrétním stavu IT infrastruktury v jednotlivých firmách budou nároky NIS2 velmi pravděpodobně vyžadovat i investice do hardwaru nebo softwaru. Vendoři TD SYNNEX přitom umí partnerům a zákazníkům nabídnout celou řadou pokročilých bezpečnostních řešení, která mohou být odpovědí NIS2:

  • Firewall, antivirus/antimalware
  • Firewall as a service neboli FWaaS. Cloudově poskytovaná služba pro pokročilou ochranu poskytovanou napříč celou organizací včetně vzdálených poboček, zaměřená především na cloudové aplikace.
  • Network Access Control (NAC) neboli řízení přístupu k síti. Řešení, které brání neoprávněným uživatelům a zařízením v přístupu k podnikové nebo privátní síti.
  • XDR (Extended Detection and Response), bezpečnostní řešení s rozšířenou detekcí a reakcí.
  • Secure Web Gateway, neboli zabezpečená internetová brána, která pomáhá zabezpečit připojení zaměstnanců k veřejnému internetu.
  • DLP (Data Loss Prevention), nástroj ochrany proti úmyslným pokusům o odcizení dat, ale i proti ztrátám způsobeným lidskou chybou.
  • VPN (Virtual Private Network). Zabezpečené připojení pro bezpečnou, šifrovanou komunikaci přes veřejnou síť.
  • ZTNA (Zero Trust Network Access). Kontroluje zaměstnance a jejich zařízení před připojením k interním firemním aplikacím, které běží v datových centrech ve vlastní infrastruktuře nebo v cloudu. Dovoluje přístupy jen zabezpečeným zařízením k jen přesně definovaným službám.
  • Anti – Ransomware, Anti – Spyware.

Sledujte i nadále naše stránky vas.tdsynnex.cz, kde budeme pravidelně přinášet aktuální informace o všem, co se může týkat problematiky NIS2!

Podívejte se na seminář Nová směrnice NIS2 a její praktické dopady už od 2024který jsme pořádali ve spolupráci se společnostmi ROWAN LEGAL a KPMG.

Co si přečíst i toto?

Každou firemní IT infrastrukturu potřebujeme řídit a monitorovat. Jedině s kvalitními management nástroji můžete sledovat výkon celého systému, aktualizovat jej, diagnostikovat a opravovat problémy. Je celkem jedno, zda máte architekturu on-premise, hybridní nebo dokonce celou v cloudu. Management představuje klíč.

Přichází doba distribuční, vzkázali Pavel Klimuškin s Vítem Vojtěškem v prosincovém vydání časopisu ChannelWorld.

Na jedné straně je to nejmladší divize v rámci TD SYNNEX. O jejím vzniku se rozvířila debata půldruhého roku zpět. Na druhou stranu už od té doby pochytala nebo se potkala se spoustou velkých a dravých ryb – řeší SAS, Veritas, Veeam, Pure Storage, Wasabi nebo OpenText.

blog
Know-how rozhoduje
Technologie. Distribuce. Spolupráce.

Jsme váš TD SYNNEX.