Co je NIS2

NIS2 je evropská směrnice, která reaguje na stále se měnící a vyvíjející kybernetické hrozby. Rozšiřuje spektrum organizací, na které se vztahuje, včetně veřejných a soukromých subjektů v konkrétních sektorech. Implementována bude prostřednictvím novelizace zákona o kybernetické bezpečnosti.

V České republice, stejně jako v ostatních členských státech EU, jsou povinnosti podle NIS2 rozděleny na vyšší a nižší úroveň, což závisí na významu a kritičnosti organizace nebo služeb, které poskytuje.

Koho se NIS2 týká

NIS2 (novelizovaný zákon o kybernetické bezpečnosti) se týká středních a velkých organizací, které poskytují alespoň jednu z regulovaných služeb.

Nejste si jisti, zda se vaše společnost řadí mezi ty, na které se NIS2 vztahuje? Naše online ověření vám poskytne okamžitou odpověď.

Zákonné termíny implementace NIS2

Časová osa legislativních termínů a jejich návaznosti. Co je vhodné dělat, aby klient dosáhl souladu v požadovaný čas.
  • Horní část grafu: Na horní ose je znázorněn průběh legislativního procesu. Všechna hlavní opatření byla stanovena a zákonodárci nyní dolaďují zbývající detaily.
  • Spodní část grafu: Na spodní části grafu je zobrazena námi navrhovaná cesta k ideální implementaci. Tyto kroky by měly probíhat paralelně s legislativními procesy, aby bylo dosaženo shody v rámci stanovených zákonných termínů.

Aby byla zajištěna včasná implementace opatření, je nutné co nejdříve začít s posouzením a zhodnocením vaší situace ve vztahu k požadavkům NIS2.

Hlavní změny zajištění shody s NIS2

Zde naleznete přehled hlavních povinností a opatření, které musí organizace splnit.

Nižší povinnosti (platí pro všechny)

Menší a střední podniky: Týká se menších organizací a podniků, které neposkytují kriticky důležité služby.

Služby s nižší kritičností: Organizace poskytující služby, které nejsou strategicky důležité.

Mírnější bezpečnostní požadavky: Požadavky na bezpečnost jsou méně přísné než u organizací s vyššími povinnostmi.

Méně časté audity: Audity a kontroly probíhají méně často a nejsou tak detailní.

Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.

Organizační opatření:

  • Zajišťování kybernetické bezpečnosti (přehled bezpečnostních opatření, zodpovědnost, bezpečnostní politika, bezpečnostní dokumentace, relevantní smlouvy s dodavateli)
  • Bezpečnost lidských zdrojů (směrnice, školení kybernetické bezpečnosti uživatelů)
  • Řízení přístupu (jedinečná identifikace, pravidla hesel, omezení administrátorských a privilegovaných přístupů)
  • Řešení kybernetických bezpečnostních incidentů (oznamování a vyhodnocování)
  • Řízení kontinuity (postup obnovy primárních aktiv, odpovědnosti, zálohování)
  • Řízení identit a jejich oprávnění (správa identit, MFA)
  • Bezpečnost komunikačních sítí (segmentace, zajištění perimetru, používání VPN)
  • Detekce a zaznamenávání kybernetických bezpečnostních událostí
  • Aplikační bezpečnost (patch management, test zranitelnosti)

Vyšší povinnosti

Kritická infrastruktura: Týká se organizací, které provozují kritickou infrastrukturu (např. energetika, vodohospodářství, zdravotnictví, doprava).

Strategické služby: Zahrnuje organizace poskytující strategické služby, jako jsou telekomunikace, finanční služby, zdravotnické systémy atd.

Přísné požadavky: Vyžadují implementaci přísnějších bezpečnostních opatření a pravidelné hodnocení rizik.

Hloubkové audity: Organizace podléhají pravidelným a hloubkovým auditům a kontrolám ze strany státních orgánů.

Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 24 hodin.

Organizační opatření:

  • Systém řízení bezpečnosti informací (cíle, řízení rizik, bezpečnostní politika, vyhodnocení účinnosti systému řízení bezpečnosti informací, zpráva o přezkoumání, řízení změn)
  • Bezpečnostní role
    • Manažer kybernetické bezpečnosti
    • Architekt kybernetické bezpečnosti
    • Auditor kybernetické bezpečnosti
    • Garant aktiva
  • Řízení bezpečnostní politiky a bezpečnostní dokumentace
  • Řízení dodavatelů
  • Řízení změn
  • Akvizice, vývoj a údržba
  • Zvládání kybernetických bezpečnostních incidentů
  • Audit kybernetické bezpečnosti

Technická opatření:

  • Bezpečnost komunikačních sítí
    • Řízení komunikace
    • Zajištění důvěrnosti a integrity pomocí kryptografických algoritmů
    • Využití nástroje pro ochranu integrity sítě
  • Správa a ověřování identit
  • Řízení přístupových oprávnění
  • Zaznamenávání událostí
  • Zajišťování dostupnosti regulované služby

Ideální postup naší podpory s NIS2

Zajištění souladu s novou směrnicí NIS2 může být pro firmy náročné. Nabízíme komplexní podporu, která vám pomůže s hladkým a efektivním přechodem. Náš ideální postup zahrnuje následující kroky:

1. Analýza IT bezpečnosti

  • Provedeme hloubkové posouzení vašich IT systémů a procesů z hlediska kybernetické bezpečnosti.
  • Identifikujeme veškerá potenciální rizika a slabá místa, která by mohla být zneužita k narušení vašich systémů.

2. Návrh opatření

  • Na základě analýzy vám navrhneme komplexní plán na míru.
  • Plán zahrnuje technická i organizační opatření, která posílí vaši kybernetickou odolnost.
  • Doporučíme vhodné technologie a nástroje pro implementaci navrhovaných opatření.

3. Realizace

  • Zajistíme dohled nad implementací všech navržených opatření.
  • Budeme s vámi úzce spolupracovat a poskytovat vám podporu po celou dobu procesu.
  • Podpora s dotací na opatření v kybernetické bezpečnosti.

4. Dokumentace

  • Vytvoříme veškerou potřebnou dokumentaci prokazující váš soulad s NIS2.
  • Dokumentace bude zahrnovat analýzu rizik, plán opatření, záznamy o implementaci a další relevantní dokumenty.
  • Budeme vám nápomocni při uchování a správě dokumentace v souladu s požadavky NIS2.

5. Dlouhodobá podpora

  • I po implementaci NIS2 vám budeme nadále poskytovat podporu.
  • Pravidelně budeme kontrolovat váš stav souladu a navrhovat další vylepšení.
  • Budeme vás informovat o všech změnách v požadavcích NIS2 a nejlepších postupech pro zajištění bezpečnosti vašich dat a služeb.

Výhody a přínosy implementace NIS2

Implementace směrnice NIS2 přináší firmám v České republice řadu výhod a přínosů:

Zvýšená bezpečnost IT systémů

  • NIS2 klade přísnější nároky na kybernetickou bezpečnost, které pomohou společnostem lépe chránit své IT systémy.
  • Zavádí se robustní procesy řízení rizik, pravidelné testování systémů a implementace bezpečnostních kontrol.
  • Firmy ochrání svá citlivá data a systémy.

Snížení rizika kybernetických útoků

  • Směrnice NIS2 se zaměřuje na prevenci kybernetických útoků.
  • Požadavky na proaktivní opatření, jako je analýza rizik a testování penetrace, pomohou firmám identifikovat a řešit potenciální problémy včas.
  • Implementace robustních bezpečnostních kontrol pomůže s ochranou dat a systémů.

Soulad s legislativou

  • NIS2 je závazná směrnice EU.
  • Nesplnění požadavků NIS2 může vést k uložení vysokých pokut a dalším sankcím.
  • Implementace NIS2 pomůže firmám dosáhnout a prokázat soulad s legislativou, čímž se vyhnou právním a regulačním postihům.

Další benefity

  • Zvýšená důvěryhodnost u zákazníků a partnerů.
  • Získání konkurenční výhody na trhu.

Naše služby

Seznam jednotlivých služeb, které nabízíme v rámci zajištění souladu s NIS2:

  • Analýza IT bezpečnosti
  • Organizační opatření:
    • Outsourcing bezpečnostních rolí
    • Školení zaměstnanců a garantů
    • Tvorba bezpečnostních směrnic
    • Dokumentace aplikací
    • Katalog služeb
  • Technická opatření:
    • Test zranitelnosti
    • Dohled (Monitoring) nad službami
    • Logování
    • 2FA

Nabízíme řízený postup, který minimalizuje riziko nasazení neefektivních opatření a realisticky odhaduje náročnost těchto opatření. Analýza probíhá formou řízeného pohovoru a diskuze. Výstupem není jen pouhý checklist, zda požadované věci máte, ale především hodnotíme, zda slouží požadovanému účelu.

Jednotlivé fáze zajištění shody s NIS2. Důsledná analýza, detailní plán implementace, samotná implementace opatření, hodnocení, shoda s NIS2.

Tento flowchart ilustruje celý proces implementace NIS2 – od prvotní analýzy, až po shodu se zákonem.

Často kladené otázky (FAQ)

Přehledné Q&A video s popisky od Blue Partners shrnuje klíčové informace o směrnici NIS2 a o tom, jak docílit shody.

Proč si vybrat Blue Partners?

  • Lidský přístup: Rozumíme, že každá organizace je unikátní. Přistupujeme k vám individuálně a hledáme řešení, která jsou pro vás nejefektivnější.
  • Zkušenosti a diskrétnost: Naši odborníci mají bohaté zkušenosti s implementací bezpečnostních opatření a jsou prověřeni dlouholetou praxí.
  • Certifikovaná kvalita: Jsme držiteli certifikátu ISO 27001 a osvědčení NBÚ, což zaručuje vysokou úroveň poskytovaných služeb.

Nabízíme komplexní řešení pro vaši shodu s NIS2, od prvotní analýzy až po zajištění shody a implementaci opatření. Kontaktujte nás pro více informací a zabezpečte svou organizaci v souladu s nejnovějšími požadavky NIS2.