NIS 2: Příležitost brát kyberbezpečnost konečně vážně?

O NIS2 se začalo významněji mluvit už v první polovině minulého roku, její finální znění bylo schváleno Radou Evropské unie 27. prosince 2022. V České republice je zavedení nových povinností plánováno nejpozději na 16. října 2024. To sice může působit na první pohled jako dlouhá doba, realita je ale trochu jiná…

Nařízení se týká středních a větších podniků, tzn. těch s 50 a více zaměstnanci, nebo ročním obratem minimálně 10 milionů eur, nebo bilanční sumou roční rozvahy alespoň 10 milionů eur. Požadavky související s implementací NIS2 se v první fází dotknou nejméně 6 000 firem, v dalších vlnách může jít až o desítky tisíc společností. Vzhledem k tomu, že implementace má jasná pravidla, zahrnující primární analýzu, nezávislý auditorský posudek a teprve až poté následuje vlastní technická část, můžeme se v případě menších subjektů dostat na dobu jednoho až tří měsíců. Velké podniky však musejí počítat s procesem v délce jednoho roku, výjimečně i dvou let.

Vysoké nároky na dodavatele kyberbezpečnostních řešení, která budou ve shodě s požadavky NIS2, ale splňuje jen nepatrná část ICT firem v Česku. „Je jasné, že kvůli plánovanému množství dotčených společností, malému počtu kvalifikovaných dodavatelů a dlouholetému nedostatku pracovníků v IT oblasti se dostáváme do značného časového a kapacitního nesouladu,“ dodává Vladimíra Tesková a doporučuje v této souvislosti příliš neotálet.

Pokud jsme si zvykli na určitou benevolentnost v případě zavádění legislativy GDPR, NIS2 je proti tomu značně nekompromisní a zavádí podstatně přísnější požadavky na subjekty pod ni spadající. Patří k nim mimo jiné povinnost provádět vlastní posouzení bezpečnostních rizik, technická a organizační opatření vedoucí ke zvýšení kybernetické odolnosti, povinnost logování kybernetických dat a událostí (ukládání po dobu nejméně 18 měsíců) a oznamování bezpečnostních incidentů. Zcela zásadní je vyvození osobní odpovědnosti pověřených osob a nemalé sankce. Ty mohou být peněžité (až 10 mil. eur, nebo 2 % z globálního obratu firmy), nebo může dojít k pozastavení certifikace či zákazu výkonu činnosti jakékoliv vedoucí osobě. Sankce je navíc možné udělovat opakovaně, dokud nedojde k nápravě.

TeskaLabs se řadí ke špičkám v řešení logmanagementu, tedy procesu sběru, analýzy, archivace a správy logů v počítačových systémech a sítích. Logy jsou záznamy událostí a aktivit, které se vyskytují v operačních systémech, aplikacích, webových serverech, nejrůznějších zařízeních apod.

Správa logů je důležitá pro zabezpečení IT systému, odhalování chyb a problémů, diagnostiku výkonu a plánování kapacity. „A také pro splnění požadavků platné legislativy a směrnice NIS2. Náš nástroj LogMan.io poskytuje detailní dokumentaci v případě kritického incidentu dle ZoKB, GDPR i ČSN ISO 27001:2013. Kromě toho dokáže najít původ incidentu, nahrává veškeré dění v IT struktuře společnosti pro pozdější přezkoumání a nabízí úplný přehled o veškerých datech v IT infrastruktuře,“ vysvětluje Vladimíra Tesková. LogMan.io se může pochlubit také bezkonkurenčním výkonem v podobě až 500 000 EPS (události za sekundu), které je schopen zpracovat. V porovnání s maximálně 10 000 EPS jiných dodavatelů jde o skutečně úctyhodné číslo.

TeskaLabs má k dispozici vlastní tým elitních vývojářů a programátorů, stejně jako expertů na kyberbezpečnost i směrnici NIS2. I proto může svým zákazníkům vždy poskytovat řešení na míru a v případě jakýchkoliv požadavků zareagovat mimořádně rychle. Díky svému profesionálnímu přístupu má firma specializující se na kybernetickou bezpečnost ve svém portfoliu mnoho klientů napříč odvětvími. Nechybí v něm například Nova, Prima, Cetin, E.ON, IKEM, MPSV, VZP ČR, FN Plzeň, FN Ostrava, Linet a další známé společnosti.

„Řekněme si upřímně, spousta majitelů a manažerů firem, s nimiž momentálně řešíme otázky kyberbezpečnosti, vnímá nová nařízení jen jako nutné zlo. Tedy až na ty, kteří se s nějakým typem destruktivního kybernetického útoku už setkali,“ doplňuje Vladimíra Tesková. Není žádnou novinkou, že kvůli nedostatečnému zabezpečení přicházejí firmy o zásadní data, ať už jde o výrobní či finanční dokumentaci, klientské databáze a další citlivé informace. S tím pochopitelně souvisí i odchod zákazníků, nemluvě o značných ekonomických škodách. „Zastavení výroby většího podniku totiž může znamenat denní ztrátu klidně v řádu milionů eur,“ dodává Vladimíra Tesková.

O to víc zaráží, že ani společnosti z jasně kritické infrastruktury často netuší, že pod NIS2 spadají. „I proto jsme připravili dlouhodobý projekt, který firmám pomůže zorientovat se v tomto složitém procesu a bude je informovat o všech novinkách, které s ním souvisejí. Naším cílem je, aby byla nová pravidla bezpečnosti vnímána především jako přínos pro firmy i jejich zákazníky, a ne jako další byrokratická a ekonomická zátěž,“ uzavírá Vladimíra Tesková.