Zajištění požadavků směrnice NIS2
Publikováno: 30.1.2024
Staňte se lídry v kybernetické bezpečnosti a splňte nové požadavky NIS2 s pomocí Blue Partners. Profesionální služby od analýzy po udržitelnost – vše s lidským přístupem a na míru vaší organizaci.
Co je NIS2
NIS2 je evropská směrnice, která reaguje na stále se měnící a vyvíjející kybernetické hrozby. Rozšiřuje spektrum organizací, na které se vztahuje, včetně veřejných a soukromých subjektů v konkrétních sektorech. Implementována bude prostřednictvím novelizace zákona o kybernetické bezpečnosti.
NIS2 a termíny
Na koho se vztahuje NIS2
NIS2 se týká středních a velkých organizací (s více než 50 zaměstnanci nebo obratem přesahujícím 250 milionů Kč), které poskytují alespoň jednu z regulovaných služeb. Nejste si jisti, zda se vaše společnost řadí mezi ty, na které se NIS2 vztahuje? Naše online ověření vám na základě IČ rychle poskytne odpověď.
Jak řešíme NIS2
Nabízíme řízený postup, který minimalizuje riziko nasazení neefektivních opatření a realisticky odhaduje náročnost těchto opatření.
Analýza probíhá formou řízeného pohovoru a diskuze.
Výstupem není jen pouhý checklist, zda požadované věci máte, ale především hodnotíme, zda slouží požadovanému účelu.
Typickým příkladem může být zálohovací plán. Jeden pohled na věc je, zda data zálohujete, jak často, zda do více lokalit, na různá zařízení a jaké máte hodnoty RPO (o kolik dat přijdeme) a RTO (za jak dlouho obnovíme data). Druhý pohled je, zda odběratelé této služby (garanti aplikací a služeb) toto vědí, souhlasí s tím a znají co to znamená pro jejich procesy a vědí, jak se s těmito situacemi vypořádají.
S čím vám můžeme pomoci
- Analýza stavu bezpečnosti vzhledem k NIS2
- Bezpečnostní koncepce (ISMS)
- Identifikace aktiv
- Základní dokumentace služeb
- Registrace služeb na NÚKIBu
- Analýza významných smluv
- Nastavení základních procesů IT
- Vzdělání zaměstnanců a garantů
- Řízení/implementace opatření na základě analýzy
- Zajištění a prohlášení shody s NIS2
Hlavní změny
Rozšíření počtu regulovaných organizací
Mezi regulované oblasti patří veřejná správa, energetika, výrobní a potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trhy, zdravotnictví, věda, výzkum, poštovní a kurýrní služby, vojenský a vesmírný průmysl. Celkem se jedná řádově o 6000 nově regulovaných subjektů.
Odpovědnost a povinnosti vedení
Důležitá část navrhovaného zákona je věnována povinnostem vrcholového vedení, mezi které patří i zajištění stanovení bezpečnostní politiky a cílů, zajištění dostatečných zdrojů a komunikace důležitosti bezpečnosti v rámci organizace.
Možnost pokut
Pokuta může vystoupat až do výše 10 mil. € nebo 2 % z čistého obratu za poslední ukončené účetní období.
Povinnost hlášení incidentů
Hlášení kybernetických incidentů na NÚKIB (resp. CERT) včetně oznámení incidentu uživatelům služby.
Správa rizik
Je nutné identifikovat aktiva, evidovat a hodnotit aktiva organizace včetně přiřazení garantů. Následně pak pravidelně vyhodnocovat rizika a aplikovat vhodná opatření.
Bezpečnost dodavatelského řetězce
Důvodem jsou jak stále častější úspěšné útoky z poslední doby skrze dodavatelský řetězec, kde tyto útoky jsou častěji nenápadnější, ale v určitých ohledech dopady jsou fatálnější. Proto návrh zákona udává povinnost aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů.
Lokalizace dat pro organizace s vyššími povinnostmi
Zpracování dat, u kterých by mohl mít za následek incident s významným dopadem, bude povoleno tyto data ukládat a zpracovávat pouze na území EU.
Která opatření by měla být zavedena jako první?
Pro organizace, které doposud nezavedly systematickou dokumentaci a opatření v oblasti kybernetické bezpečnosti, doporučujeme začít s těmito základními kroky:
- Identifikace a ochrana klíčových aktiv
- Vzdělávání a školení zaměstnanců
- Zabezpečení sítě, včetně firewallů a monitorování provozu
- Aplikační bezpečnost, zahrnující pravidelné aktualizace a záplaty
- Důsledné zasmluvnění s dodavateli a ověřování jejich bezpečnostních standardů
Proč si vybrat Blue Partners?
- Lidský přístup: Rozumíme, že každá organizace je unikátní. Přistupujeme k vám individuálně a hledáme řešení, která jsou pro vás nejefektivnější.
- Zkušenosti a diskrétnost: Naši odborníci mají bohaté zkušenosti s implementací bezpečnostních opatření a jsou prověřeni dlouholetou praxí.
- Certifikovaná kvalita: Jsme držiteli certifikátu ISO 27001 a osvědčení NBÚ, což zaručuje vysokou úroveň poskytovaných služeb.
Nabízíme komplexní řešení pro vaši shodu s NIS2, od prvotní analýzy až po zajištění shody a implementaci opatření. Kontaktujte nás pro více informací a zabezpečte svou organizaci v souladu s nejnovějšími požadavky NIS2.