NIS je zkratka pro „Network a Information Security“, obecně jde o směrnici EU o bezpečnosti sítí a informací. Tato směrnice vyžaduje, aby členské státy EU identifikovaly subjekty, které poskytují páteřní služby, a pro tyto subjekty zavádí nová opatření v oblasti kybernetické bezpečnosti.
Původní směrnice NIS byla poprvé zveřejněna v roce 2016, ale už o pět let později se ukázala jako nedostačující. Proto byla 28. listopadu 2022 Evropskou unií přijata její revidovaná verze NIS2. Nyní běží dvouleté přechodné období, během kterého musí všechny členské státy implementovat opatření směrnice NIS2 do své národní legislativy.
Co je NIS2?
NIS byla představena jako první směrnice Evropské unie o kybernetické bezpečnosti. Jejím cílem bylo chránit evropské organizace a občany tím, že zajistí, aby všechny páteřní sektory ve všech členských státech přijímaly opatření nezbytná k prevenci kyberútoků.
Problém NIS spočíval v tom, že jednotlivé členské státy si relativně vágní podmínky směrnice interpretovaly různě, což vedlo k různé úrovni implementace v rámci EU. Stávalo se například, že co jedná země považovala za zásadní, jiná země zcela vynechala.
Zástupci EU se proto vrátili k pracovnímu stolu, a i díky zkušenostem z prvního pokusu o NIS přišli na konci listopadu 2022 s vylepšenou verzí: NIS2.
Ta vyjasňuje záměry směrnice a ponechává mnohem méně prostoru pro individuální interpretaci – obsahuje podrobně popsaný rozsah a konkrétněji definuje požadavky, aby co nejdůrazněji omezila nesrovnalosti napříč členskými státy. Důslednost jejich práce podtrhuje i zavedení sankcí a pokut.
Členské státy EU musí požadavky NIS2 implementovat do svých národních legislativ do září 2024.
Jaký je účel NIS2?
Cílem NIS2 je díky zavedení požadavků a opatření v oblasti kybernetické bezpečnosti ve všech členských státech vytvořit standardní úroveň ochrany v celé Evropské unii.
Dokument jmenuje sektory, jichž se opatření týká, identifikuje bezpečnostní požadavky, sjednocuje ohlašovací povinnost a zavádí donucovací opatření a sankce.
Všechny tyto kroky mají chránit kritickou infrastrukturu a občany EU před kybernetickými útoky.
Jaký je rozsah NIS2?
Jednou z oblastí, ve které NIS2 ve srovnání se svou předchůdkyní dosáhla významného zlepšení, je rozsah. Nově mnohem konkrétněji vypočítává, kterých odvětví se směrnice týká – členské státy si tak nemohou rozsah vykládat podle svého.
Stojí za povšimnutí, že v NIS2 jsou zahrnuti též poskytovatelé digitální infrastruktury a digitálních služeb. To znamená, že se směrnice může dotýkat i organizací, které nemusí nutně fyzicky sídlit v EU – stačí, že poskytují kritické nebo klíčové služby v EU, jako jsou například cloudové služby, webhosting, sociální sítě, webové vyhledávače apod. Ti všichni by měli zpozornět.
NIS2 pokládá základy řízení kyberbezpečnostních rizik v následujících průmyslech a sektorech:
- Doprava
- Energetika
- Bankovnictví a infrastruktura finančních trhů
- Zdravotnictví
- Vodovodní služby
- Veřejná správa (na centrální i regionální úrovni)
- Odpadové hospodářství
- Poštovní a kurýrní služby
- Jídlo
- Výroba zdravotnických potřeb
- Chemická a farmaceutická výroba
- Letectví a kosmonautika
- Poskytovatelé digitální infrastruktury a digitálních služeb
Požadavky NIS2 se vztahují také na všechny střední a velké organizace, jež v těchto sektorech působí.
Kritické vs. klíčové subjekty podle NIS2
Subjekty, které do rámce NIS2 spadají, se dělí na dvě kategorie: „kritické“ a „klíčové“.
Hlavní rozdíl spočívá v tom, že případné narušení „kritických“ služeb by mělo vážné dopady na ekonomiku země či celou společnost. Do této kategorie patří sektory jako zdravotnictví, energetika nebo doprava.
Oba typy subjektů musí dodržovat tatáž bezpečnostní opatření. Ty „kritické“ jsou ovšem pod proaktivním dohledem, zatímco „klíčové“ subjekty se dostanou do hledáčku kontrolorů až ve chvíli, kdy se ukáže, že předpisy nedodržují.
Jaké změny NIS2 přinese?
Kromě širšího a podrobnějšího rozsahu (viz výše) směrnice přinese i následující změny a aktualizace (ve srovnání s původní NIS):
Bezpečnostní požadavky NIS2
NIS2 stanovuje rámec posílených bezpečnostních požadavků. Členské státy již nemají možnost libovolně si přizpůsobovat jejich dodržování – přílišná flexibilita v rámci původní směrnice vedla ke zranitelnostem. V rámci NIS2 již nic takového nehrozí, jelikož nová směrnice jasně určuje pravidla, která musí dodržovat všichni.
Organizace se tak musí věnovat následujícím oblastem:
- hodnocení a řízení rizik
- kyberbezpečnostní školení
- bezpečnostní politiky
- krizové řízení
- bezpečnost dodavatelského řetězce
- řešení a hlášení zranitelností a incidentů
- šifrování dat
Rozšířené možnosti vymáhání
Součástí nové směrnice je také podrobnější seznam opatření týkající se uplatňování NIS2. Nechybí ani pokuty, sankce a závazné pokyny, kdy a jak je vymáhat. Cílem je opět zajistit, aby nezůstal prostor pro svévolný výklad.
Přísnější hlášení incidentů
Nově je povinné incidenty nahlašovat. NIS2 pro to stanovuje přesný postup, včetně harmonogramu hlášení a bodů, které by hlášení mělo obsahovat.
Podle nové směrnice bude povinné hlásit všechny incidenty, během kterých došlo k narušení kybernetické bezpečnosti, a to bez ohledu na to, zda útok nějak ovlivnil provoz subjektu. Díky tomu budou kontrolní orgány schopné lépe monitorovat potenciální hroby a reagovat na ně.
V rámci nového plánu reakce na incidenty směrnice zavádí dvoufázový přístup. První hlášení musí být podáno do 24 hodin od zjištění kyberbezpečnostního problému, následná podrobnější zpráva by pak měla být podána do jednoho měsíce.
Každý členský stát bude rovněž muset zřídit národní tým pro reakci na počítačové bezpečnostní incidenty.
Lepší spolupráce
NIS2 reflektuje význam koordinace a komunikace napříč členskými státy EU – cílem je koneckonců chránit Evropskou unii před narušením jednoty.
Vedle toho, že každý členský stát bude mít svůj vlastní kyberbezpečnostní orgán, bude pro řízení celoevropských incidentů zřízena i Evropská síť styčných organizací pro řešení kybernetických krizí.
Vznikne tak propracovaný systém spolupráce mezi všemi členskými státy EU a na ochraně dat se budou podílet všichni společně.
Jak vám Safetica pomůže chránit data?
Bezpečnostní audit
Se Safetica můžete rychle provést datový audit a odhalit, jaké typy dat se ve vaší organizaci používají.
Přehled citlivých dat
Safetica poskytuje přehled o informačních tocích a ukládání citlivých dat, pomáhá sledovat, jak s daty nakládají zaměstnanci, a poskytuje hlášení o tom, jak jsou data zpracovávána.
Klasifikace dat a bezpečnostní politiky
Se Safetica můžete jednoduše klasifikovat data tak, abyste mohli aplikovat DLP politiky a zavádět bezpečnostní pravidla a opatření pro interakci uživatelů s citlivými informacemi.
Upozornění na únik dat
V případě, že dojde k bezpečnostnímu incidentu, systém Safetica upozorní v reálném čase příslušné pracovníky e-mailem. V něm poskytne podrobnosti, aby bylo možné podniknout relevantní kroky a minimalizovat tak dopad úniku dat.
Dodržování předpisů
S řešením Safetica a jeho DLP politikami můžete mít jistotu, že fungujete nejen v souladu s NIS2, ale i s dalšími předpisy jako jsou GDPR, ISO 27001, PCI DSS, CMMC a další.