V éře rostoucích digitálních hrozeb přináší Evropská unie aktualizovanou směrnici NIS2, jejímž cílem je významně posílit kybernetickou odolnost napříč členskými státy. V reakci na novou regulaci EU, Česká republika vytváří zcela nový zákon o kybernetické bezpečnosti (dále jen „nZKB“) včetně prováděcích právních předpisů.
Pro firmy v České republice představuje nZKB novou etapu v přístupu k zabezpečení jejich digitálních aktiv a procesů. Komplexní průvodce, vytvořený aliancí All4Cyber, vás provede celým procesem implementace nZKB, od počátečního sebeurčení až po kontinuální zlepšování stavu kybernetické bezpečnosti ve vaší společnosti. Garantem tématu je Petr Samek, spolumajitel české IT společnosti CNS, která je členem aliance All4Cyber.
Úvod do NIS2: Revoluce v evropské kybernetické bezpečnosti
NIS2 představuje revoluční krok v ochraně kritické infrastruktury a důležitých služeb před kybernetickými hrozbami. Oproti své předchůdkyni výrazně rozšiřuje působnost, zavádí přísnější bezpečnostní požadavky a klade důraz na proaktivní přístup k řízení kybernetických rizik. Cílem směrnice je zlepšit odolnost veřejných a soukromých subjektů v oblasti kybernetické bezpečnosti a vytvořit robustní a harmonizovaný rámec kybernetické bezpečnosti napříč EU.
Klíčové aspekty NIS2 zahrnují:
- rozšíření působnosti na více odvětví a subjektů,
- zavedení dvoustupňového systému klasifikace subjektů (základní a důležité),
- posílení schopnosti reagovat na kybernetické incidenty,
- zvýšení odpovědnosti managementu za kybernetickou bezpečnost
- a zpřísnění sankcí za nedodržení směrnice.
Pro firmy v Česku to znamená nutnost důkladně přehodnotit své současné přístupy ke kybernetické bezpečnosti a implementovat komplexní bezpečnostní opatření.
Krok 1: Sebeurčení – Spadáte pod nZKB?
První zásadní krok spočívá v důkladném posouzení, zda vaše organizace spadá do působnosti nZKB.
Regulované subjekty jsou definovány na základě kritérií pro identifikaci regulovaných služeb. Jedná se o subjekty, které poskytují služby např. v odvětvích veřejné správy, výrobního průmyslu, zdravotnictví, energetiky, finančních trhů apod. Tyto subjekty mohou být podrobeny dvěma režimům, tj. vyšší režim pro základní subjekty a nižší režim pro důležité subjekty, které stanovují míru povinností uložených nZKB.
Nový ZKB zavádí sofistikovaná kritéria kombinující sektorovou příslušnost s velikostními parametry.
Středním podnikem jsou takové podniky, které
- zaměstnávají více než 50 osob
- a jejich roční obrat přesahuje 10 milionů EUR,
- nebo roční balanční suma přesahuje 10 milionů EUR.
Velký podnikem jsou pak takové podniky, které
- zaměstnávají více než 250 osob
- a jejich roční obrat přesahuje 50 milionů EUR,
- nebo roční balanční suma přesahuje 43 milionů EUR.
Při určování velikosti organizace je třeba brát v úvahu tzv. partnerské (dceřiné) či propojené podniky (koncern, holding) a přičíst jejich velikosti. Je také důležité poznamenat, že i menší subjekty mohou spadat pod nZKB, pokud jsou identifikovány jako klíčové pro své odvětví.
Pro efektivní sebeurčení proveďte důkladnou sektorovou analýzu, velikostní posouzení a zvažte kritičnost vašich služeb. V případě nejasností konzultujte s odborníky a pečlivě dokumentujte celý proces sebeurčení.
Krok 2: Detailní analýza současného stavu
Po úspěšném sebeurčení následuje detailní analýza současného stavu kybernetické bezpečnosti ve vaší společnosti. Tento krok je zásadní pro pochopení vaší pozice ve vztahu k požadavkům NIS2 a identifikaci oblastí vyžadujících zlepšení.
Začněte komplexním auditem stávajících bezpečnostních opatření. Ten by měl zahrnovat analýzu síťové architektury, přezkoumání bezpečnostních politik a posouzení stavu nastavených procesů (např. řízení přístupů, řízení patch managementu, řízení incidentů, …), evaluaci bezpečnostních technologií, posouzení bezpečnostního povědomí zaměstnanců a evaluaci procesů reakce na incidenty.
Pomocí analýzy identifikujete kritická místa v zabezpečení společnosti a získáte přehled o aktuálním stavu KB. Současný stav porovnejte s požadavky nZKB, vypracujte detailní přehled identifikovaných mezer a prioritizujte oblasti pro zlepšení.
Krok 3: Vytvoření implementačního plánu
Na základě výstupu z analýzy by měla být vytvořena strategie implementace, která bude zahrnovat harmonogram úkolů, určení odpovědných osob za jednotlivé úkoly, termíny plnění a výběr vhodných technologií a řešení.
Začněte stanovením jasných a měřitelných cílů pro implementaci nZKB. Definujte krátkodobé, střednědobé a dlouhodobé priority na základě identifikovaných mezer. Zajistěte, aby tyto cíle byly v souladu s celkovou strategií a cíli vaší organizace.
Na implementaci požadavků nZKB je třeba pohlížet jako na projekt. Stanovte odpovědnou osobu za implementaci (projektového manažera), rozdělte projekt do menších, zvládnutel
Více informací
Pro další informace o alianci All4Cyber, jejích službách, řešeních a nadcházejících aktivitách, navštivte www.all4cyber.cz, LinkedIn, X, FCB nebo nás kontaktujte na info@all4cyber.cz.
O alianci All4Cyber
All4Cyber je aliance firem poskytujících řešení v oblasti kybernetické bezpečnosti. Vznikla spojením renomovaných společností: Antesto, CNS, DATASYS, DATRON, IdStory a TeskaLabs. Aliance poskytuje komplexní řešení kybernetické bezpečnosti pro soukromý i veřejný sektor, a to v souladu s platnou legislativou v čele s požadavky nové směrnice NIS2 a ZKB. Aliance se zavázala ke spolupráci, vzájemnému předávání zkušeností a šíření osvěty o komplexním tématu kybernetické bezpečnosti.
Členové All4Cyber
Antesto
Společnost Antesto byla založena v roce 2014 jako poskytovatel servisních služeb v oblasti ICT a specializovaného softwaru pro finanční poradce. Od roku 2019 se zaměřuje na oblast kybernetické bezpečnosti, která získává v posledních letech větší důležitost v mnoha aspektech podnikání. Firma disponuje specialisty, kteří aktivně sledují nové trendy i produkty v této oblasti a rozšiřují své znalosti tak, aby pomáhali klientům čelit kybernetickým útokům a hrozbám, které na ně v dnešní době mohou čekat. Antesto patří ke zkušeným IT profesionálům v oblastech návrhu řešení a následné implementace automatizovaného bezpečnostního či penetračního testování, pokročilého monitoringu, analýzy síťového provozu či Next Generation Firewallingu (NGFW vč. IPS/IDS).
CNS
S více než 30 lety zkušeností na evropském a americkém trhu je společnost CNS, a. s., spolehlivým partnerem v oblasti IT služeb a kybernetické bezpečnosti. Specializuje se na outsourcing IT, kybernetickou bezpečnost, implementaci ISMS a ISO norem a vývoj software na zakázku. Více než 20 let také působí na poli šifrování a zabezpečení datových přenosů, a to včetně R&D projektů s předními českými univerzitami. Zaměřuje se především na odvětví zdravotnictví, pro které poskytuje řešení pro zabezpečení citlivých dat pacientů a IT infrastruktury. Působí také ve státní správě, logistice a výrobě. Specializuje se na ISMS, ISO 27001, šifrování a přenosy dat nebo audit kybernetické bezpečnosti.
DATASYS
DATASYS, přední společnost v oblasti kyberbezpečnosti s více než 30letými zkušenostmi, poskytuje komplexní řešení pro ochranu dat, informací a služeb. Firma nabízí širokou škálu řešení a produktů, které pomáhají zabezpečit IT prostředí, ať už jde o oblast správy logů, SIEM systémů, monitorování bezpečnostních událostí ve službě eSOC, řízení privilegovaných identit a přístupů (PIM/PAM) a dalších aspektů kyberbezpečnosti. Řešení a odborné poradenství DATASYS pomáhají identifikovat bezpečnostní hrozby, posilovat ochranu systémů a splnit legislativní požadavky. Bezpečnostní řešení a služby od DATASYS využívají např. ministerstva, vodárenské, plynárenské a energetické společnosti, nemocnice, průmyslové podniky i obchodní řetězce.
DATRON
Technologická společnost DATRON se sídlem v České Lípě působí na trhu už více než 30 let. Specializuje se na vývoj aplikací, síťovou infrastrukturu a vzdělávání v oblasti ICT. DATRON se zaměřuje na kompletní přípravu dodávky IT projektů, od návrhu řešení přes předprodejní podporu až po realizaci. Ve svých pobočkách v České Lípě, Praze, Ostravě a Brně zaměstnává více než 50 odborníků. Společnost působí po celé České republice a na Slovensku. V současnosti dosahuje ročního obratu 1 miliardy Kč.
IdStory
IdStory je česká IT firma s globálním dosahem. Vyvíjí vlastní platformu pro Identity & Access Management – IdStory. S více než 16 lety zkušeností v oblasti informačních technologií se společnost stala lídrem na trhu IAM v České republice. Specializuje se na automatizaci správy identit na koncových systémech z jednoho místa. IdStory uchovává informace o všech důležitých událostech a změnách týkajících se životního cyklu identit. Mezi klienty IdStory, které důvěřují profesionálnímu přístupu a inovativním řešením, patří firmy napříč celým segmentem trhu od zdravotnictví přes veřejnou správu a služby až po velké nadnárodní společnosti.
TeskaLabs
Českou technologickou a vývojářskou společnost TeskaLabs založili v roce 2014 Vladimíra Tesková a Aleš Teska. Firma se dlouhodobě zabývá vývojem pokročilých softwarových produktů pro kybernetickou bezpečnost, jako je log management, SIEM a PKI řešení kybernetické bezpečnosti, které pomáhají firmám plnit vysoké bezpečnostní standardy. Renomé si firma vydobyla také účastí v prestižním globálním akcelerátoru TechStars, kde byla prvním českým startupem nebo dlouholetým úspěšným působením ve Velké Británii. Služby a bezpečnostní řešení od TeskaLabs dnes využívají firmy a instituce napříč odvětvími od velkých mediálních domů přes telekomunikační a energetické společnosti, nemocnice i průmyslové podniky po organizace státní správy.