Nová směrnice Evropské unie

 

o kybernetické bezpečnosti NIS2

a co z toho vyplývá pro Vás.

Nová směrnice Evropské unie

 

o kybernetické bezpečnosti NIS2

a co z toho vyplývá pro Vás.

Co je směrnice NIS2?

Celoevropský právní předpis

Jedná se o celoevropský právní předpis o kybernetické bezpečnosti. Cílem této směrnice je dosáhnout vysoké úrovně kybernetického zabezpečení ve všech členských státech EU.

Schváleno finální znění

27.12.2022 bylo schváleno finální znění Radou evropské unie.

 

Nové povinnosti

Zavedení nových povinností v České republice nejpozději do 16.10.2024.

Přísnější povinnosti

Zpřísňuje povinnosti na kybernetickou bezpečnost.

Přísnější povinnosti

Vyplývající ze směrnice NIS2

  • Povinnost provádět vlastní posouzení bezpečnostních rizik 
  • Technická a organizační opatření, která vedou ke zvýšení kybernetické odolnosti
  • Povinnost oznamování bezpečnostních incidentů
  • Povinnost logování kybernetických dat a událostí (ukládání nejméně po dobu 18 měsíců)

Koho se týká nová směrnice

  • Nově se směrnice týká více než 6000 subjektů v ČR. Subjekty, které budou regulaci podléhat jsou rozděleny na 2 části – režimy essential (vyšší povinnosti) a important (nižší povinnosti). Více viz. příloha NÚKIB 

  • Týká se středních a větších podniků (tzn. zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu minimálně 10 miliónů eur, nebo bilanční sumy roční rozvahy alespoň 10 miliónů eur)
  • Po sebeposouzení musí poskytovatel regulované služby nahlásit registrační údaje NÚKIB prostřednictvím nového komunikačního nástroje, tzv. portálu NÚKIB

Technická a organizační opatření

  • Principem opatření je, aby organizace, pokud tak nečinila dosud, zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika, která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.
  • Jedním z opatření je také řešení kybernetických bezpečnostních incidentů a povinnost jejich hlášení.

Povinnost provádět vlastní posouzení rizik

  • Základní povinností je provádět vlastní posouzení rizik.

Povinnost ukládat logy všech systémů a IT infrastruktury

  • Směrnice dále ukládá nutnost ukládat logy ze všech systémů a IT infrastruktury a jejich následné ukládání v nezměnitelné podobě po dobu alespoň 18 měsíců.

Vyčlenění finančních prostředků

  • V rámci nové směrnice je potřeba zajistit finanční prostředky potřebné pro budoucí splnění daných povinností. Existují 3 kroky k plánování nákladů na bezpečnost v organizaci:
  1. Zjištění potřeb v rámci své organizace

  2. Potřebu začlenit v rámci rozpočtování
  3. V rozpočtu rozčlenit náklady v čase

Způsob kontroly

  • Liší se dle režimu essential (vyšší povinnosti) x important (nižší povinnosti)
  • Skupina s vyššími povinnostmi bude kontrolována prostřednictvím NÚKIB a jeho zaměstnanců
  • Skupina s nižšími povinnostmi bude kontrolována rovněž

Osobní odpovědnost

  • Nově nesou odpovědnost konkrétní osoby, jsou jimi vedoucí osoby v organizaci, např. Majitelé, Jednatelé, Ředitelé, IT manažeři, Správci sítě, Oddělení kybernetické bezpečnosti, IT specialisté

Sankce

  • Peněžité – až 10M EUR nebo 2 % z globálního obratu
  • Sankční tresty – dočasné pozastavení certifikace anebo zákaz výkonu jakékoli vedoucí osobě
  • Sankce je možné dávat opakovaně, dokud nedojde k nápravě.

Hlášení kybernetických incidentů

  • Po zjištění incidentu nejpozději do 24 hodin podat tzv. včasné varování
  • Do 72 hodin prvotní posouzení incidentu včetně závažnosti a dopadu
  • Do 1 měsíce závěrečnou zprávu obsahující podrobný popis incidentu

Nová směrnice EU o bezpečnosti sítí a informací

  • Veškeré detailní informace jsou uvedeny na stránkách Národního úřadu pro kybernetickou bezpečnost

Proč je logmanagement důležitý?

Soulad s legislativou a směrnicí NIS2

Soulad s regulacemi a zákony poskytuje detailní dokumentaci v případě kritického incidentu ZoKb Sb. č. 82/2018, GDPR a ČSN ISO 27001:2013.

Provozní důvody

V případě kritického incidentu dokážete pomocí sesbíraných logů najít původ incidentuNahrává veškeré dění v IT infrastruktuře pro pozdější přezkoumání.

 

Bezpečnostní důvody

Nahrává veškeré dění v IT infrastruktuře pro pozdější přezkoumávání.

Viditelnost

Úplný přehled (tzv. visibilita) nad veškerými daty z IT infrastruktury a děním ve firmě.

Napište nám

Zajímají Vás další informace o této směrnici? Jak Vám pomohou naplnit požadavky nástroje TeskaLabs či přímo Teskalabs Logman.io u Vás? Napište nám a řekněte si o DEMO.

Souhlas se zpracováním údajů

3 + 2 =