Nová směrnice Evropské unie
o kybernetické bezpečnosti NIS2
a co z toho vyplývá pro Vás.
Nová směrnice Evropské unie
o kybernetické bezpečnosti NIS2
a co z toho vyplývá pro Vás.
Co je směrnice NIS2?
Celoevropský právní předpis
Jedná se o celoevropský právní předpis o kybernetické bezpečnosti. Cílem této směrnice je dosáhnout vysoké úrovně kybernetického zabezpečení ve všech členských státech EU.
Schváleno finální znění
27.12.2022 bylo schváleno finální znění Radou evropské unie.
Nové povinnosti
Zavedení nových povinností v České republice nejpozději do 16.10.2024.
Přísnější povinnosti
Zpřísňuje povinnosti na kybernetickou bezpečnost.
Přísnější povinnosti
Vyplývající ze směrnice NIS2
- Povinnost provádět vlastní posouzení bezpečnostních rizik
- Technická a organizační opatření, která vedou ke zvýšení kybernetické odolnosti
- Povinnost oznamování bezpečnostních incidentů
- Povinnost logování kybernetických dat a událostí (ukládání nejméně po dobu 18 měsíců)
Koho se týká nová směrnice
- Nově se směrnice týká více než 6000 subjektů v ČR. Subjekty, které budou regulaci podléhat jsou rozděleny na 2 části – režimy essential (vyšší povinnosti) a important (nižší povinnosti). Více viz. příloha NÚKIB
- Týká se středních a větších podniků (tzn. zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu minimálně 10 miliónů eur, nebo bilanční sumy roční rozvahy alespoň 10 miliónů eur)
- Po sebeposouzení musí poskytovatel regulované služby nahlásit registrační údaje NÚKIB prostřednictvím nového komunikačního nástroje, tzv. portálu NÚKIB
Technická a organizační opatření
- Principem opatření je, aby organizace, pokud tak nečinila dosud, zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika, která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.
- Jedním z opatření je také řešení kybernetických bezpečnostních incidentů a povinnost jejich hlášení.
Povinnost provádět vlastní posouzení rizik
- Základní povinností je provádět vlastní posouzení rizik.
Povinnost ukládat logy všech systémů a IT infrastruktury
- Směrnice dále ukládá nutnost ukládat logy ze všech systémů a IT infrastruktury a jejich následné ukládání v nezměnitelné podobě po dobu alespoň 18 měsíců.
Vyčlenění finančních prostředků
- V rámci nové směrnice je potřeba zajistit finanční prostředky potřebné pro budoucí splnění daných povinností. Existují 3 kroky k plánování nákladů na bezpečnost v organizaci:
-
Zjištění potřeb v rámci své organizace
- Potřebu začlenit v rámci rozpočtování
- V rozpočtu rozčlenit náklady v čase
Způsob kontroly
- Liší se dle režimu essential (vyšší povinnosti) x important (nižší povinnosti)
- Skupina s vyššími povinnostmi bude kontrolována prostřednictvím NÚKIB a jeho zaměstnanců
- Skupina s nižšími povinnostmi bude kontrolována rovněž
Osobní odpovědnost
- Nově nesou odpovědnost konkrétní osoby, jsou jimi vedoucí osoby v organizaci, např. Majitelé, Jednatelé, Ředitelé, IT manažeři, Správci sítě, Oddělení kybernetické bezpečnosti, IT specialisté
Sankce
-
Peněžité – až 10M EUR nebo 2 % z globálního obratu
-
Sankční tresty – dočasné pozastavení certifikace anebo zákaz výkonu jakékoli vedoucí osobě
-
Sankce je možné dávat opakovaně, dokud nedojde k nápravě.
Hlášení kybernetických incidentů
-
Po zjištění incidentu nejpozději do 24 hodin podat tzv. včasné varování
-
Do 72 hodin prvotní posouzení incidentu včetně závažnosti a dopadu
-
Do 1 měsíce závěrečnou zprávu obsahující podrobný popis incidentu
Nová směrnice EU o bezpečnosti sítí a informací
- Veškeré detailní informace jsou uvedeny na stránkách Národního úřadu pro kybernetickou bezpečnost
Proč je logmanagement důležitý?
Soulad s legislativou a směrnicí NIS2
Soulad s regulacemi a zákony poskytuje detailní dokumentaci v případě kritického incidentu ZoKb Sb. č. 82/2018, GDPR a ČSN ISO 27001:2013.
Provozní důvody
V případě kritického incidentu dokážete pomocí sesbíraných logů najít původ incidentuNahrává veškeré dění v IT infrastruktuře pro pozdější přezkoumání.
Bezpečnostní důvody
Nahrává veškeré dění v IT infrastruktuře pro pozdější přezkoumávání.
Viditelnost
Úplný přehled (tzv. visibilita) nad veškerými daty z IT infrastruktury a děním ve firmě.
Napište nám
Zajímají Vás další informace o této směrnici? Jak Vám pomohou naplnit požadavky nástroje TeskaLabs či přímo Teskalabs Logman.io u Vás? Napište nám a řekněte si o DEMO.