NIS-2 a budoucnost kybernetické bezpečnosti
Co by vám nemělo uniknout
Na 30. qualityaustria Forum v březnu 2025 si odborníci z celé řady odvětví posvítili na aktuální regulační výzvy. Generální ředitel společnosti CIS Harald Erkinger ukázal cesty, jak projít současným labyrintem NIS-2. Pro moho firem je v současné době středem mnoha úvah kybernetická bezpečnost a budoucnost s NIS-2.
Digitalizace rychle postupuje a pro mnoho společností stejnou rychlostí rostou i výzvy s ní spojené. Velké obavy vzbuzuje na jedné straně především kybernetická kriminalita a na té druhé zase nové směrnice, jako je například NIS-2. Pro mnoho společností je totiž zavádění, resp. povinnost zavedení této směrnice (NIS-2) stále spojeno s velkou nejistotou. Harald Erkinger, CEO společnosti CIS – Certification & Information Security Services GmbH, zahájil svou prezentaci o NIS-2 zásadní otázkou: totiž na koho z přibližně 400 účastníků se směrnice vztahuje? Zhruba 30 % přítomných si bylo jistých, že ano a dalších 10 % respondentů odpovědělo jednoznačně záporně. Převážné většině účastníků napříč různými odvětvími nebylo jasné, zda se na ně směrnice vůbec vztahuje. Přečtěte si tedy i vy, zda se směrnice týká i vaší společnosti.
Pojmy „kritická infrastruktura“ a „dotčené sektory“
Směrnice NIS-2 určuje jako kritickou infrastrukturu ty sektory (sítě, služby, systémy) státu, jejichž narušení by mělo významný dopad na jeho základní společenské funkce, tedy zdraví nebo bezpečnost obyvatel, ekonomiku a pořádek.
Nejdůležitější rozdíl mezi těmito dvěma skupinami (s ohledem na audit NIS-2) spočívá v tom, že subjekty spadající pod kritickou infrastrukturu jsou pravidelně a cíleně auditovány ex ante (předem), zatímco dotčené sektory (tzn. s vazbou na kritickou infrastrukturu) jsou auditována ex post (dodatečně) v případě incidentu nebo podezření.
NIS-2 zde zůstane
Skutečnost je taková, že NIS-2 přichází a zaměření na kybernetickou bezpečnost, odolnost a NIS-2 je nutností. Implementace směrnice však vyžaduje čas, zdroje a personál – bez externí podpory bude NIS-2 obtížně zvládnutelný projekt.
Podnikům proto doporučujeme, aby s implementací začaly již nyní a využily osvědčené rámce, jako je ISO 27001, k vytvoření strukturovaného základu pro plnění opatření v oblasti kybernetické bezpečnosti. CIS pro tento účel nabízí také kombinovaný audit NIS a ISO 27001.
„Všechny společnosti dotčené NIS-2 musí implementovat a dodržovat všechny požadavky NIS-2. Manažeři mají povinnost školení a odpovědnosti a incidenty v oblasti kybernetické bezpečnosti musí být hlášeny do 24 hodin. A jedna věc je zaručena – zákonodárci budou kontrolovat, zda společnosti provádějí požadovaná opatření v oblasti bezpečnosti informací. Prevence je lepší než léčba – CIS doporučuje, aby se společnosti chránily nezávislým sebehodnocením a nechaly si audit provést zkušenými auditory NIS, jako jsou ti v CIS.“
H.Erkinger, CEO CIS – Certification & Information Security Services GmbH, ohledně směrnice NIS-2
6 doporučení, která vám usnadní proces zavádění NIS-2:
Aby byly společnosti a firmy nejen dobře připraveny, až směrnice přijde, ale také aby tuto výzvu využily jako faktor úspěchu, poskytl Harald Erkinger šest tipů, jak se s NIS-2 vypořádat:
- Využijte NIS-2 jako příležitost k odolnosti proti kybernetickým hrozbám.
- Nečekejte na zákon, začněte hned.
- Nepodceňujte množství úsilí, které budete muset vynaložit.
- Počítejte s tím, že budete potřebovat externí specialisty a až zákon vstoupí v platnost budou tito odborníci zahlceni poptávkou.
- Zůstaňte orientovaní na rizika, buďte nákladově efektivní a účinní.
- Buďte připraveni na dlouhou cestu.
Zajímá vás více informací? CIS je jednou z mála společností jmenovaných Spolkovým ministerstvem hospodářství, energetiky a cestovního ruchu (BMWET), která může díky svým odborným znalostem provádět testy NIS-2. Spojte se s našimi odborníky, abyste byli na bezpečné straně!
Další novinky
