Jak implementovat směrnici NIS2 do firmy?

Směrnice NIS2 představuje klíčový legislativní rámec zaměřený na posílení kybernetické bezpečnosti. Pomáháme firmám plnit zvýšené požadavky na IT bezpečnost.

Co je NIS2?

NIS2 (Network and Information Security) je aktualizovaná verze směrnice zaměřené na bezpečnost počítačových sítí a ochranu přenášených informací, kterou vydala Rada EU a Evropský parlament. Nová verze směrnice byla přijata jako reakce na rostoucí počet kybernetických útoků, dlouhodobé výpadky systémů a z nich plynoucí finanční ztráty.

Směrnice NIS2 je navržena tak, aby reagovala na narůstat kybernetických hrozeb a zajistila vyšší úveň bezpečnosti digitálních služeb a sítí.

Klíčové aspekty směrnice NIS2 zahrnují:

• rozšíření působnosti - směrnice NIS2 se vztahuje na větší okruh subjektů než původní NIS a to včetně malých a středních podniků, které představují klíčovou součást ekonomiky nebo společnosti,
• zpřísněné povinnosti - organizace musí implementovat opatření zaměřená na prevenci, detekci a reakci na kybernetické incidenty,
• harmonizace sankcí - směrnice stanovuje jednotněší pravidla pro sankce za nedodržení povinností.

Cílem je zlepšit odolnost klíčové infrastruktury a omezit dopady kybernetických incidentů na ekonomiku a společnost.

Platnost směrnice NIS2

Směrnice NIS2 vstoupila v platnost na celoevropské úrovni na začátku roku 2023. Od té doby běží lhůta, během níž musí jednotlivé členské státy EU směrnici implementovat do národní legislativy.

V České republice je implementace NIS2 řešena prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti, jehož novelizovaná verze by měla vejít v platnost buď od 1. 7. 2025 nebo 1. 1. 2026 (zdroj: ČT24 - zpožnění při zavádění kybernetického zákona.

Kdy zavádět opatření vyplývající z NIS2?

První opatření související s NIS2 budou vyžadována nejdříve ve druhé polovině roku 2025.

Po nabytí účinnosti zákona se organizace, na které se směrnice vztahuje, budou muset registrovat přes portál NÚKIB. Do 12 měsíců od registrace pak platí povinnost implementace požadovaných bezpečnostních kroků.

Vzhledem k časové a finanční náročnosti zavedení těchto kroků je však vhodné začít s přípravami co nejdříve.

Klíčové kroky pro implementaci směrnice NIS2 do firmy

Pro zajištění souladu s požadavky NIS2 je nezbytné postupovat systematicky. Níže uvádíme klíčové kroky:

Analýza aktuálního stavu

• identifikujte, zda vaše organizace spadá pod působnost směrnice NIS2,
• proveďte audit vaší kybernetické bezpečnosti a identifikujte slabá místa.

Zřízení rolí a odpovědností

• určete osobu nebo tým odpovědný za implementaci směrnice NIS2,
• zaveďte postupy pro řízení rizik a reakcí na incidenty.

Technická a organizační opatření

• implementujte systémy pro detekci a prevenci kybernetických hrozeb (např. SIEM, IDS/IPS),
• zajistěte pravidelné aktualizace a školení zaměstnanců v oblasti kybernetické bezpečnosti.

Monitoring a reportování

• zaveďte systémy pro průběžné monitorování hrozeb,
• vytvořte mechanismy pro hlášení incidentů regulačním orgánům.

Testování a audity

• pravidelně testujte odolnost vaší infrastruktury pomocí penetračních testů,
• provádějte interní a externí audity souladu se směrnicí NIS2.

Dopady pro firmy a manažery

Implementace směrnice NIS2 může přinést nároky na zdroje a změnu firemních procesů, ale rovněž zajistí:

• zvýšenou odolnost proti kybernetickým hrozbám,
• větší důvěru zákazníků a partnerů,
• minimalizaci finančních ztrát spojených s kybernetickými incidenty.

Vědomé a strategické přístupy k implementaci směrnice NIS2 pomáhají nejen splnit legislativní požadavky, ale také zajistit dlouhodobou udržitelnost a konkurenceschopnost na trhu.

Připravte si v předstihu technické řešení

Ještě před schválením nového zákona o kybernetické bezpečnosti je pak na místě zvážit implementaci alespoň základních opatření, která by měla pomoci se zabezpečením klíčových aktiv.

Mimo jiné se může jednat o následující kroky:

• zajištění bezodkladné instalace aktualizací softwaru z ověřených zdrojů
• nastavení pravidel pro tvorbu silných hesel
• řízení počtu neúspěšných pokusů o přihlášení
• požadování opětovného ověření identity po stanovené době nečinnosti
• použití vícefázového ověření identity

Za zvážení pak také již nyní stojí nasazení nákladnějších prostředků ochrany, jako jsou:

• perimetrové firewally, které kontrolují a filtrují příchozí a odchozí síťový provoz
• EDR antiviry, které v reálném čase detekují, analyzují a reagují na kybernetické hrozby
• automatizované zálohovací platformy, které podporují šifrování dat

Zajistěte školení pro zaměstnance a vrcholové vedení

NIS2 a zákon o kybernetické bezpečnosti neklade požadavky pouze na hardware a software, ale i na lidské zdroje. Všichni zaměstnanci by proto měli projít základním školením na téma kybernetické bezpečnosti a školením na seznámení se s metodikou nastavenou organizací (poučení o povinnostech apod.).

Pokud potřebujete ve firmě nasadit zvýšené požadavky na IT bezpečnost plynoucí ze směrnice NIS2, tak se na nás neváhejte obrátit.

Poptat řešení