Jak na nový zákon o kybernetické bezpečnosti NIS2, praktický průvodce implementací.
Směrnice NIS2, která byla schválena Evropským parlamentem a Radou Evropské unie v roce 2022, přináší významné změny v oblasti kybernetické bezpečnosti v Evropské unii. Týká se všech firem nebo organizací, které poskytují regulované služby nebo zpracovávají velké množství citlivých údajů. Podle NÚKIBu by se jejich množství mělo navýšit až o 6 000.
V České republice bude směrnice NIS2 implementována novým zákonem o kybernetické bezpečnosti, který by měl vstoupit v platnost v roce 2025. Subjekty, které budou spadat pod regulaci, budou mít 12 měsíců na to, aby implementovaly požadovaná opatření.
Jak implementovat NIS2
Prvním krokem je posouzení, zda se daná organizace pod regulaci NIS2 vůbec spadá. To lze provést na základě velikostních a odvětvových kritérií, která jsou uvedena v návrhu vyhlášky o regulovaných službách.
Pokud organizace pod regulaci spadá, je třeba zahájit proces implementace. Tento proces lze rozdělit do následujících fází:
- Compliance management: zahrnuje edukaci top managementu o tom, co je nový zákon o kybernetické bezpečnosti; sebeurčující proces, do jaké skupiny firma/organizace patří; politika organizační bezpečnosti, případně definice manažera kybernetické bezpečnosti; zahrnutí cybersecurity do řízení firmy/organizace; politika systému řízení bezpečnosti informací ISMS.
- GAP analýza - v této fázi je třeba posoudit stávající stav kybernetické bezpečnosti organizace a identifikovat oblasti, které je třeba zlepšit.
- Vytvoření ISMS - ISMS je systém řízení bezpečnosti informací, který je základem pro implementaci NIS2.
- Aktiva: Identifikace aktiv (CMDB), Hodnocení aktiv (BIA), spolu s managementem určit hodnotu businessových procesů v organizaci. To je klíčové pro plán zvládání rizik.
- Analýza rizik - hodnocení pravděpodobnosti nějaké hrozby, která využívá zranitelnost prostředí a tím dochází k dopadu na aktiva, dochází ke škodě. Výstupem je riziko. Hodnotu rizika je většinou vhodné řešit s odborníkem. Nakonec se musí dojít k závěru, zda-li je riziko přijatelné nebo nepřijatelné. Pokud je přijatelné, tak se jím nemusím zabývat, pokud je nepřijatelné, tak to tak nemohu nechat být a musím to ošetřit.
- Plán zvládání rizik, ošetření rizik. V jeho rámci jsme povinni definovat co se má udělat, navážeme ho na dané riziko a jak se změní závažnost rizika, pokud opatření implementujeme, musíme určit termín, odpovědnost a zdroje, které k tomu potřebujeme. Výstupový dokument je Plán zvládání rizik a Prohlášení o aplikovatelnosti (pro auditora). Implementace opatření pak zahrnuje: řízení ISMS (dokumentace), pravidla, vzdělávání (lidský faktor je často velký problém), IT, software, hardware, procesy.
- Audit ISMS - přínosná kontrola od nezávislé strany.
- Řízení ISMS: PDCA (plan, do, check, act), integrace norem, Integrace architektur, compliance management.
Cyklus potom nadále pokračuje v určitých intervalech opět od začátku ke compliance managementu a po nějakém čase opět potřebná GAP analýza.
Co kdy udělat?
Nejdříve je nutné posoudit velikostní a odvětvová kritéria podle vyhlášky o regulovaných službách. Pokud firma / organizace s největší pravděpodobností do skupiny spadá, tak je nejlepší začít s provedením GAP analýzy a compliance managementu již ke konci roku 2023, začátkem roku 2024.
Do Nis2 budou spadat i segmenty, které dříve nespadaly, např. potravinářství, chemický průmysl, energetika, odpadové hospodářství, veřejná správa, doprava, finanční trh, zdravotnictví a další.
Je zároveň v plánu národní plán obnovy za 6,5 miliardy korun pro kybernetickou bezpečnost, nárok budou mít organizace, které budou spadat pod NIS2.
Kapacity na trhu nejsou. Rychlost znamená úspěch.
ISMS není tak těžké, nejtěžší je první krok. Neváhejte.
Chcete pomoci s implementací? Nabízíme nezávislou konzultaci.
Vyplňte formulář, nebo rovnou volejte na telefon +420 321 123 123.