S příchodem NIS2 musí firmy změnit pohled na kyberbezpečnost

Předpisy evropské směrnice NIS2, které se v současné době propisují do české legislativy, začnou platit již v průběhu příštího roku. Týkat se budou až desítek tisíc firem v České republice a tyto subjekty by se proto měly co nejdříve začít připravovat na změny, které je v souvislosti s novým konceptem kyberbezpečnosti čekají.

V současné době je v platnosti kybernetický zákon 181/2014 Sb., který se zaměřuje především na zabezpečení orgánů státní správy, kritické infrastruktury státu a subjektů, které se podílejí na chodu této infrastruktury. Norma NIS2 ale výrazně rozšiřuje okruh povinných subjektů bez ohledu na oblast podnikání. Nová legislativa se tak bude týkat firem s více než 50 zaměstnanci, nebo obratem či bilanční sumou roční rozvahy 10 milionů eur. Celkově se bude změna týkat desítek tisíc firem a jejich dodavatelů, což v rámci naplnění zákona znamená, že do něj budou muset investovat nemalé prostředky, nebo zcela změnit uvažování o IT.

Jedním z klíčových požadavků NIS 2, který budou muset firmy splnit, je Mobile device management. Znamená to, že kromě notebooků a počítačů bude povinností evidovat i veškerá další mobilní zařízení, na nichž se mohou vyskytovat data. Zejména půjde o mobilní telefony a tablety, které bude zároveň třeba zabezpečit stejným mechanismem, jako se zabezpečuje ostatní výpočetní technika. Firmy tedy budou potřebovat nástroj, kterým dokážou centrálně spravovat jak všechny zaměstnance bez ohledu na pracovní pozici, tak i veškerou techniku včetně mobilů. „Zaměstnavatel musí mít kontrolu nad všemi zařízeními, která jsou v jeho síti, musí vědět, jaká data jsou kde uložená, a hlavně musí vědět, kdo a za jakých podmínek k nim přistupuje,“ vysvětluje Petr Loužecký, odborník na kyberbezpečnost ze společnosti Algotech. Tato změna se tedy dotkne všech uživatelů, protože oblíbený benefit mobilního telefonu, který lze využívat i k soukromým účelům se stane minulostí. Z těchto zařízení se stanou vyloženě pracovní nástroje, nad nimiž bude mít zaměstnavatel plnou kontrolu včetně vzdáleného přístupu a uživatel do něj nebude smět instalovat žádné aplikace a ani stahovat žádná jiná než povolená data.

Firmy budou mít také povinnost zaznamenávat veškeré aktivity spojené s provozem IT síťové a serverové infrastruktury. Tedy dalším nástrojem, který budou muset pořídit, je takzvaný log management, jenž monitoruje a zaznamenává aktivity v síti a dále například veškeré přístupy na servery či síťové disky. „Ze všech takových událostí bude muset být záznam, který bude muset společnost uchovávat po dobu 18 měsíců, vzhledem k objemu dat budou nejvhodnější cloud služby,“ pokračuje.

Pro mnoho společností, které „spadnou“ do působnosti NIS2, bude též novinkou povinnost takzvaného disaster recovery plan, což je popis procesů, které umožňují obnovení nebo pokračování provozu kritické technologické infrastruktury a systémů po bezpečnostním incidentu, havárii či přírodní katastrofě. Zároveň budou firmy muset zajistit i disaster recovery provoz, což znamená, že budou muset zálohovat, a to jak online, tak třeba i offline mimo firmu. „Vznikne tedy potřeba mít k dispozici záložní prostředí mimo vlastní firmu, z nějž bude možné dle předem připraveného scénáře obnovit ztracená data,“ říká na závěr Petr Loužecký s tím, že díky NIS 2 se firmy vlastně budou učit profesionálně zvládat kybernetické incidenty bez ohledu na to, zda půjde o cílené útoky či o nehody. Budou si muset hlídat svou IT infrastrukturu tak, aby dokázaly rozpoznat, že k incidentu dochází a zároveň je čeká povinnost vypracovat plán, který jasně definuje, jak takovou událost řešit.