Směrnice NIS2 vstoupila v platnost v roce 2021 a nahradila předchozí směrnici NIS z roku 2016. Cílem směrnice NIS2 je posílit ochranu kritických informačních infrastruktur a služeb v EU a zlepšit spolupráci mezi státy v oblasti kybernetické bezpečnosti. O detailech si popovídáme s Dominikem Hádlem ze společnosti Monstarlab.
Co se skrývá pod zkratkou NIS2?
Jedná se o zkratku názvu „Network and Information Security 2“, což je nová směrnice politiky EU. Cílem NIS2 je zlepšit společnou kybernetickou bezpečnost členských států, a tak být v éře frekventovanějších a dokolanejších kybernetických útoku připravenější i odolnější.
Jaké bude mít tato směrnice následky?
Tato změna se dotkne hlavně organizací, které jsou určitým způsobem společensky důležité. Tyto organizace pak budou muset zavést organizační i technická opatření k zajištění jejich kybernetické bezpečnosti. Novela nahradí směrnici NIS komplexnější politikou pro posílení kybernetické bezpečnosti a odolnosti poskytovatelů základních služeb.
O jaké nejčastější útoky se v rámci menších firem jedná?
Nejrozšířenějším útokem na firmy je v současnosti tzv. phishing. Je to forma útoku, kdy se škůdce vydává za důvěryhodnou osobu, a tak chce získat citlivá data zaměstnance a hlavně firmy. Společnosti takový únik informací může způsobit až fatální potíže.
Je nutný u menších podniků takový právní zásah? Potřebují ho?
První politika EU v oblasti kybernetické bezpečnosti, směrnice o bezpečnosti sítí a informací, která vstoupila v platnost v roce 2016, vyžadovala v důsledku nových kybernetických hrozeb aktualizaci. Během pandemie COVID-19 a následné situaci na Ukrajině došlo ve světě k nárůstu kybernetických útoků, což vedlo Evropskou komisi k návrhu směrnice NIS2.
Vzpomeňme si na útoky na české nemocnice nebo policii. Směrnice NIS2 vyplní mezery v původní směrnici NIS tím, že rozšíří okruh poskytovatelů kritických služeb, posílí bezpečnostní požadavky na tyto organizace a bude se zabývat bezpečností dodavatelského řetězce.
Proč už nestačí pouze dřívější doporučení NÚKIB?
Množství kybernetických útoků se v posledních dvou letech výrazně znásobilo a zdokonalilo. Pouhá doporučení už bohužel nestačí. Státy Evropské unie si nemohou dovolit výpadek klíčových zařízení jako nemocnic, které jsou důležité pro chod zemí a hlavně jejich obyvatel.
Je tato směrnice dostatečná? Nemělo by se jednat o větší okruh podniků?
Novela se týká zejména strategických odvětví jako jsou energetika, doprava, bankovnictví nebo zdravotnictví, tedy subjektů, které jsou pro fungování státu a unie klíčové. Směrnice pokrývá to nejdůležitější. Nemá smysl, aby mířila i na soukromá odvětví a malé podnikatele, které by taková změna z nuly mohla výrazně finančně zasáhnout. To ale neznamená, že jim žádná rizika nehrozí. Rozhodně i tyto menší podniky by měly své zabezpečení zaktualizovat.
Není na takovou směrnici pozdě? (firmy ji mohou zavést až do září 2024)
Firmy musí získat dostatek času na zavedení takových opatření. Každá změna potřebuje svůj čas a v tomto případě se nejedná o jednoduché úkoly. Méně než jeden rok by mohl být v mnoha případech hraniční.
Je z finančního hlediska zavedení této směrnice u takto malých podniků reálné?
Jak u kterých, ale musíme si uvědomit, že se jedná o podniky, které doteď věnovaly kyberbezpečnosti značnou část rozpočtu. Zároveň v rámci zachování udržitelného rozvoje odvětví je takový zásah nutný.
Nově Policie ČR chystá i web pro ohlašování kyberzločinů. Je toto řešení vůbec relevantní a k čemu může sloužit?
Získané informace nám mohou poskytnout ucelený rámec o kyberzločinech, díky kterému budeme moci rychleji a lépe reagovat na dění v kyberprostředí. Jelikož tu také dodnes neexistuje žádný centrální orgán, co by podobné věci řešil, určitě je to dobrým prvním krokem.
Zaujal Vás rozhovor? Více rozhovorů naleznete zde.
Zdroj obrázku: GlobeTeam NIS2