Koho se směrnice týká? Především organizací, které fungují v tzv. kritických odvětvích, jako jsou například energetické sítě, zdravotnictví, doprava, vodovodní a kanalizační sítě atd. a jejich dodavatelské řetězce. Další skupinou jsou tzv. důležitá odvětví, kam patří kupříkladu chemická výroba, potravinářství či průmyslová výroba včetně automotive, elektroniky či zdravotnických nástrojů a jejich subdodavatelé. Obecně se dotkne všech podniků ve vyjmenovaných odvětvích s více než padesáti zaměstnanci či obratem přesahujícím padesát milionů eur, v rámci celé EU tedy jde zhruba o 160 000 subjektů.
Co NIS 2 pro tyto podniky a organizace bude znamenat:
1. Rozšířený záběr: NIS 2 rozšiřuje rozsah o více sektorů a typů entit včetně veřejných správ a středně velkých podniků, což zahrnuje například také poskytovatele IT služeb. Ti také budou muset nově plnit přísnější bezpečnostní požadavky.
2. Zpřísněné bezpečnostní požadavky: organizace musejí přijmout pokročilejší bezpečnostní opatření včetně aktivní kybernetické ochrany, nástrojů na detekci a odezvu na incidenty (EDR).
3. Povinné hlášení incidentů: nová směrnice zavádí povinnost hlásit kybernetické incidenty do 24 hodin a podat závěrečnou zprávu do jednoho měsíce. Neplnění této povinnosti může vést k sankcím.
4. Vyšší odpovědnost a pokuty: nerespektování směrnice může vést k administrativním pokutám, pozastavení licencí nebo jiným sankcím.
5. Důraz na bezpečnost dodavatelského řetězce: podniky, které jsou součástí technologického řetězce, musejí zajistit bezpečnost svých vlastních systémů i systémů svých dodavatelských řetězců.
6. Inovace a automatizace: směrnice podporuje využívání pokročilých technologií, jako jsou umělá inteligence (AI) a strojové učení (ML), které mohou pomoci při detekci a prevenci kyberútoků.
7. Důraz na ochranu před ransomwarem: ransomware je identifikován jako klíčová hrozba, kterou je nutné řešit pomocí aktivních a preventivních opatření, jako je zálohování a zabezpečení systémů.
8. Standardizace napříč EU: směrnice také znamená unifikaci a harmonizaci evropských standardů kybernetické bezpečnosti.
Tyto požadavky kladou zvýšené nároky na technologie IT bezpečnosti, které by organizace měly využívat ke splnění směrnice. Nechceme zahltit kompletním výčtem všech doporučených nástrojů, ale zcela jistě bude potřeba monitoring zdrojů (hardwarových, softwarových změn), dále pak zajištění kontinuity provozu kritických IT systémů např. s pomocí technologií disaster recovery a nástroje pro analýzu a reporting bezpečnostních incidentů typu EDR či rozšířené detekce a reakce na incidenty (XDR).
Je nepochybné, že infrastruktura kybernetické bezpečnosti podniků a organizací bude muset být posílena. To může pro mnohé středně velké firmy znamenat značný zásah do jejich personálních stavů a finančních rozpočtů. Proto se doporučuje kromě budování vlastního zabezpečení také zvážit alternativu služeb MSP poskytovatelů, kteří umožňují splnit požadavky NIS 2 bez nutnosti vysokých počátečních investic do IT.
Sami již zaznamenáváme poptávku ze strany zákazníků z důvodu NIS 2. Například společnost Unikom Kutná Hora zaměstnává 250 pracovníků a spadá mezi organizace, které budou muset splňovat nároky NIS 2, a to jak díky obratu, tak z pozice velkoobchodního dodavatele. Společnost proto zprovoznila v rámci používané platformy Acronis Cyber Cloud balíček Acronis Advanced Security + EDR, který zahrnuje URL filtr, antivirus, antimalware, antispyware, patch management a hodnocení zranitelností. Cloudové řešení pro ochranu koncových bodů poskytne nejen vyšší úroveň zabezpečení firemní infrastruktury, ale také reporty jako např. výstupy antivirových kontrol a další podklady vyžadované směrnicí NIS 2.
Autor: Štěpán Bínek, ZEBRA SYSTEMS