5 duben 2023
Zdroj NÚKIB https://osveta.nukib.cz/mod/page/view.php?id=3148
„NIS2“ Už je čas?
NÚKIB nedávno publikoval svůj soubor doporučení ohledně novely zákona o kybernetické bezpečnosti
v souvislosti se směrnicí NIS2, a tak přidáváme i náš pohled z praxe.
Pod bod 11. Jak se připravit na novou právní úpravu uvádí následující….
„Nový zákon o kybernetické bezpečnosti by měl podle předpokladů začít platit v druhé polovině roku 2024. Zákon poskytne roční přechodnou lhůtu pro přizpůsobení se novým požadavkům a zahájení plnění některých povinností. Vybrané požadavky zákona (např. povinnost plnit protiopatření NÚKIB nebo hlásit kontaktní údaje a jejich změny) bude potřeba začít plnit v druhé polovině roku 2024, zbylé pak v druhé polovině roku 2025. Tato relativně dlouhá doba však neznamená, že by organizace, které budou povinnými subjekty podle nového zákona, měly do té doby připravovanou legislativu opomíjet a čekat se zahájením prací až na její finální přijetí.
Organizacím, které budou spadat pod nový zákon, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Zavedení funkčního procesu řízení kybernetické bezpečnosti v organizaci je záležitost několika měsíců až let. Obzvláště u těch organizací, které budou spadat do tzv. režimu vyšších povinností a které dosud kybernetickou bezpečnost ve své organizaci systematicky neřešily, je potřeba počítat s tím, že zavedení systému řízení bezpečnosti informací a splnění požadavků zákona a jeho prováděcích předpisů bude dlouhodobým procesem náročným na zdroje. Je tedy vhodné mít již na počátku účinnosti nové právní úpravy povědomí o tom, jaké všechny informační systémy organizace používá a v jakém stavu z hlediska kybernetické bezpečnosti se organizace nachází.
Základní povinností společnou pro oba režimy povinností je zavádění a provádění bezpečnostních opatření. Při stanovení úrovně zabezpečení a výběru konkrétních bezpečnostních opatření bude potřeba v souladu se zákonem a vyhláškami zohlednit specifika organizace a důležitost jednotlivých systémů a služeb (není smyslem zavádět nesmyslná a nákladná řešení tam, kde to pro organizaci nemá význam). Pokud vaše organizace kybernetickou bezpečnost do této chvíle systematicky neřešila, lze doporučit jako výchozí krok především:
Zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst) a vypracování tzv. business impakt analýzy (zejm. jaké by byly dopady narušení řádného fungování jednotlivých systémů na vaši organizaci; nejde přitom jen o nedostupnost používaných informačních systémů, ale i o narušení důvěrnosti nebo integrity shromažďovaných dat).
Již v této fázi je dobré se zaměřit na školení relevantních osob v organizaci. Doporučujeme základní školení pro všechny uživatele, odborné školení pro osoby, které v organizaci řeší/budou řešit kybernetickou bezpečnost a nezapomínat přitom i na vrcholový management (management si musí být vědom důležitosti řízení kybernetické bezpečnosti v organizaci).
Z technických opatření lze obecně doporučit nasadit firewally (zejména perimetrové), antiviry (zejména sofistikovanější EDR) a zálohovací řešení. Společně s prováděním aktualizací (tam, kde je to možné) se jedná o věci, které by měly být dávno běžnou součástí chodu každé organizace.
Nedoporučujeme bezhlavě nakupovat služby typu „posoudíme soulad vaší organizace s NIS2“ nebo „zavedeme vám v organizaci NIS2“. Nenechte se napálit „vševědoucími“ implementátory NIS2 na klíč. Směrnice NIS2 žádné konkrétní požadavky neupravuje, vše bude obsaženo až v novém zákoně o kybernetické bezpečnosti, který je teprve připravován.
…zde nelze, než souhlasit nicméně je třeba dodat, že nikdo vševědoucí ani neexistuje …. ale nic nevědoucí je bohužel zatím stav ve většině dotčených organizací a často zmiňovaná věta, že počkáme až…. Celé to totiž není určitě primárně o směrnicích a zákonech, ale o vlastní bezpečnosti a hlavní nosnou myšlenkou NIS2 je srovnat základní úroveň kyberbezpečnosti na vyhovující stav ne strašit či děsit…... a narovinu to co slýcháme od zákazníků pravidelná účast na „seancích“ s NÚKIBem taky moc informací nepřinese.
Jak zmiňuje NUKIB „Na druhou stranu však doporučujeme subjektům, aby se s předstihem zajímaly o to, jakým způsobem bude k plnění povinností v organizaci přistoupeno (zda vlastními silami, nebo za pomoci externích dodavatelů) a případně aby si zmapovaly trh se službami, které budou outsourcovány.“
Protože bude nově do regulace kybernetické bezpečnosti spadat mnohonásobně více subjektů, lze očekávat zvýšenou poptávku po službách externích společností, a to právě zejména v době zahájení účinnosti nového zákona.
Změna zákona o kybernetické bezpečnosti související s novou směrnicí NIS2 s sebou ponese i náklady potřebné na zajištění kybernetické bezpečnosti v rozsahu a kvalitě, kterou návrh zákona potažmo směrnice požadují. To, že v součtu celého národního hospodářství budou náklady na splnění povinností nezanedbatelné, je dáno zejména navýšením počtu subjektů, na které bude vzhledem k požadavkům směrnice NIS2 nově zákon o kybernetické bezpečnosti dopadat
……Finanční plánování, a zejména nutnost jeho předstihu a další aspekty, se mezi jednotlivými organizacemi liší. Bezpochyby však lze říci, že je nutné se finančním plánováním zajištění prostředků pro budoucí splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti začít zabývat co nejdříve.
Máte-li zájem o bližší informace o našem portfoliu zahrnujícím celou paletu řešení této problematiky neváhejte nás kontaktovat nabízíme bezplatnou online konzultaci.