Účastníci odborné konference „NIS2 – aktuality, výzvy a praktické zkušenosti“ se shodují na tom, že expertní spolupráce a edukace veřejnosti je důležitá. A to nejen z pohledu platné legislativy, ale hlavně z pohledu na konkrétní stav řešení Kybernetické bezpečnosti firem a organizací.
Dne 1. 11. 2023 proběhla odborná konference a kulatý stůl v prostorách Divadla Na Fidlovačce, kterou pořádali společnosti Algotech, TeskaLabs Cyber Security a MyCom Solutions. Jedním z prezentujících a diskutujících odborných garantů byla i společnost AXENTA.
Setkání bylo zaměřeno na manažery, IT specialisty, právníky a bezpečnostní experty malých a středních firem a organizací v ČR, primárně z oborů dotčených potenciální povinností definované evropskou směrnicí NIS2 a ZokB, Zákona o kybernetické bezpečnosti 181/2014 Sb.
V úvodu konference byly zrekapitulovány základní parametry směrnice NIS2 včetně aktuálních dílčích informací o vývoji a stavu této směrnice vycházejících z veřejně dostupných informací. Součástí informací byla i oblast povinností a výzev, které implementace směrnice přináší. Zajímavou částí konference byl blok prezentací a diskuse s odbornými partnery a dodavateli řešení v oblasti Kybernetické bezpečnosti.
Problematice aktivního a profesionálního monitoringu Kybernetické bezpečnosti ve firmách a organizacích prostřednictvím SOC (Security Operation Center), tedy dohledové kyberbezpečnostní službě, se věnoval Jan Kozák, Presale Technical Specialist ze společnosti AXENTA.
V první části prezentace zmínil nejčastější cíle kyberbezpečnostních incidentů, mezi něž patří oblasti vědy, výzkumu a vzdělávání, státní správy, armády, komunikace i zdravotnictví. Za těmito incidenty stojí ve 40 % hackerský útok, zatímco interní zaměstnanec je překvapivě viníkem v celých 60 % případů.
Častým laickým omylem je představa, že stačí jeden klik a celá infrastruktura je jako mávnutím kouzelného proutku zavirovaná. Ve skutečnosti trvá 3-6 měsíců, než dojde k zahájení útoku, protože útočník se poměrně dlouhou dobu „rozhlíží“ a hledá ta nejzranitelnější místa v systému. A právě tady nastupuje SOC 2.0, který představuje ucelené řešení, zodpovídající za identifikaci, analýzu i nahlášení bezpečnostních incidentů. Je tvořen moderními technologiemi i týmy specialistů a je schopen získávat informace z nejrůznějších zdrojů, ať už jde o antivirové programy či log management.
Ohlasy účastníků odborné konference byly kladné a diskuse a představení řešení v oblasti kybernetické bezpečnosti přínosné. Současně konference představila novou odbornou platformu pro sdílení informací, zkušeností a názorů mezi odborníky z oblasti kybernetické bezpečnosti, zástupci firem a organizací podléhajících směrnici NIS2 a dalšími zájemci.
Účastníci se dozvěděli o novinkách souvisejících s NIS2 a ZoKB, o povinnostech a výzvách s nimi spojených, ale i o praktických zkušenostech z implementace požadavků. Současně byli seznámeni s aktuálními trendy a technologiemi v oblasti kybernetické bezpečnosti, které firmám mohou pomoci zlepšit ochranu systémů a služeb.
Konference rovněž ukázala, že spolupráce a edukace odborné i široké veřejnosti v oblasti kybernetické bezpečnosti je smysluplná a je třeba v podobných iniciativách pokračovat. Firmy a instituce z různých sektorů, které spojuje připravovaná směrnice NIS2, si dobře uvědomují důležitost sdílení znalostí a zkušeností. Vzájemná komunikace a kooperace jsou klíčové pro efektivní reakci na kybernetické hrozby a pro posilování odolnosti IT systémů. Organizátoři i partneři akce se shodli, že je potřeba udržovat dialog a výměnu informací mezi všemi zúčastněnými stranami, aby bylo možné čelit stále se měnícím a zvyšujícím se nárokům na kybernetickou bezpečnost – nejen v souvislosti s NIS2.
Co je směrnice NIS2
Evropský parlament na svém jednání 10. listopadu 2022 a Rada Evropské unie na jednání 28. listopadu 2022 přijaly znění nové směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v EU, tzv. směrnice NIS2. V platnost vstoupila 20. dnem po tomto zveřejnění. Členské státy EU pak mají 21 měsíců od vstupu směrnice v platnost na to, aby její ustanovení začlenily do svého vnitrostátního práva. Česká republika by měla mít nové povinnosti ukotveny v národní legislativě (ZoKB a některých dalších předpisů) do 16. října 2024.
Směrnice NIS2 mj. rozšiřuje okruh povinných osob v oblasti kybernetické bezpečnosti, zpřísňuje požadavky na hlášení bezpečnostních incidentů, zavádí osobní odpovědnost managementu a zásadně zvyšuje sankce za nedodržení povinností. NIS2 dělí organizace do dvou skupin – na subjekty zásadního významu a subjekty důležité.
Opatření se tak budou týkat více než 6 000 firem a institucí v České republice – od energetiky, zdravotnictví, potravinářství nebo chemický průmysl přes dopravu, bankovnictví, vodárenství, výrobu potravin či digitální infrastrukturu po poštovní a kurýrní služby, nakládání s odpady, veřejnou správu a mnoho dalších odvětví. Kromě oboru působnosti je jedním z kritérií pro zařazení pod NIS2 také roční obrat a počet zaměstnanců. Spadat pod ni bude tedy většina komerčních subjektů.
Ing. Radovan Slaný, MBA, AXENTA a.s.