Nová česká kyberbezpečnostní legislativa bude klást na regulované subjekty řadu požadavků. Co to bude prakticky znamenat? V tomto blogu představíme organizační a technické požadavky pro oba režimy regulace vycházející ze ZoKB.
Co se v tomto blogu dozvíte:
Zatímco v našem předchozím článku Co je směrnice NIS2 jsme se věnovali vzniku a cíl§m nové evropské legislativy NIS2, v tomto blogu se budeme blíže věnovat národní úpravě, tedy novému zákonu o kybernetické bezpečnosti. Ten by měl vejít v platnost v roce 2024 a aktuálně jej připravuje Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB).
Návrh zákona vychází z již schválené a závazné směrnice NIS2, a proto si již lze celkem konkrétně představit organizační a technická opatření, které budou muset povinné subjekty naplnit. Pro lepší přehlednost srovnáme požadavky ve vyšším a nižším režimu povinností.
Než se ale pustíme do jejich představení, zastavme se chvíli okruhy opatření, které definuje přímo směrnice NIS2, a z nichž národní úprava vychází.
Která bezpečnostní opatření vyžaduje směrnice NIS2?
Směrnice NIS2 definuje sadu technických, provozních a organizačních opatření, které by regulovaný subjekt měl adoptovat, aby předešel nebo minimalizoval dopad incidentů na své služby a jejich odběratele.
Konkrétně se jedná o 10 okruhů, kompetencí, které směrnice zmiňuje v článku 21. V Národní úpravě - novém zákonu o kybernetické bezpečnosti - jsou pak tyto okruhy rozpracovány do konkrétních povinností, konkrétně v prováděcích předpisech k zákonu.
Porozumění těmto okruhům umožňuje lépe pochopit záměr směrnice i rozsah opatření, která zavádí.
Konkrétní povinnosti pro základní a důležité subjekty, které vyplývají z návrhu ZoKB, pak probereme v kapitole Plnění bezpečnostních opatření dle ZoKB.
- Analýza rizik a bezpečnosti informačních systémů
Posouzení rizik je prvním krokem při vytváření jakékoliv politiky řízení kybernetických rizik. Zahrnuje mimo jiné identifikaci zdrojů zapojených do poskytování kritické služby, jejich umístění (SaaS, cloud, on-prem, papír) a stanovení jejich důležitosti.
- Zvládání incidentů
NIS2 vyžaduje, aby povinná organizace zavedla nástroje a postupy zaměřené na detekci, reakci a řízení kybernetických incidentů. To může zahrnovat vytvoření plánu reakce na incidenty, definici rolí a odpovědností během bezpečnostního incidentu, postupy pro komunikaci a koordinaci, a další.
Aby bylo možné toho dosáhnout, je třeba implementovat technická řešení pro zvládání kybernetických incidentů, jako jsou například systémy detekce proniknutí (IDS), systémy prevence proniknutí (IPS), monitorování činnosti, detekci hrozeb na úrovni koncových bodů (EDR) a sítí (NDR) nebo systémy pro korelaci událostí (SIEM).
- Opatření pro zajištění business kontinuity
K posílení ochrany proti ztrátě dat a selhání systémů vyžaduje směrnice NIS2, aby organizace zavedly postupy pro zajištění dostupnosti služeb a obnovení provozu v případě kybernetického incidentu. V praxi se typicky bude jednat o technologie, jako jsou zálohovací řešení, obnova po havárii (disaster recovery) a zavedení postupů pro krizový management.
- Zabezpečení dodavatelského řetězce
Vzhledem k tomu, že organizace operují v čím dál více propojeném globálním trhu, bezpečnost dodavatelského řetězce je hlavní součástí směrnice NIS 2. Směrnice vyžaduje, aby povinné subjekty zavedly opatření, které bezpečnost jejich dodavatelského řetězce zajistí.
A to do takové míry, že subjekt bude muset smluvně ošetřit, že jeho dodavatelé budou dodržovat kybernetické bezpečnostní standardy. Ti také budou v případě potřeby muset předložit certifikace potvrzující, že jejich organizace splňuje právní požadavky na kybernetickou bezpečnost.
Hodnocení bezpečnosti dodavatelů třetích stran jsou nedílnou součástí identifikace potenciálních zranitelností a zajištění shody s NIS2/ZoKB.
- Bezpečnost při pořízení, vývoji a údržbě informačních systémů
Integrace bezpečnostních opatření do životního cyklu informačních systémů zahrnuje identifikaci a minimalizaci zranitelností během jeho akvizice, ale také implementaci bezpečnostních postupů během vývoje a údržby systému. V praxi se může jednat o zavedení postupů bezpečného vývoje životního cyklu (SDLC), zajištění pravidelných oprav a aktualizací, ale také transparentnost ohledně zranitelností - jejich hlášení je zásadní pro efektivní spolupráci v kybernetické komunitě.
- Audit účinnosti opatření pro řízení kybernetických rizik
Směrnice NIS2, resp. nový zákon o kybernetické bezpečnosti, bude vyžadovat, aby povinné organizace držely krok s rychle se měnícím hrozbami. Proto zavede povinnost pravidelných revizí kybernetických politik a postupů s cílem identifikovat potenciální zranitelnosti, mezery nebo zastaralé postupy.
- Základní praktiky kybernetické hygieny a vzdělávání
NIS2 vychází z předpokladu, že povědomí o bezpečnosti v rámci organizace je účinné kyberbezpečnostní politiky a řízení rizik. Vzdělávací programy by měly pokrýt základní postupy s důrazem na rozpoznání a vyhýbání se phishingovým útokům, odhalování podvodů a porozumění důležitosti okamžitého hlášení podezřelých zpráv a stránek.
Přestože základní praktiky kybernetické hygieny nejsou definovány, lze očekávat, že povinné subjekty budou muset nasadit dnes běžná opatření, jako například prosazování silné politiky pro nastavení a rotaci hesel, zavedení nástrojů pro pro detekci incidentů na koncových bodech (EDR), filtrování DNS a další osvědčené postupy, které eliminují nebo snižující riziko úspěšnosti kybernetického útoku.
- Použití kryptografie a šifrování
End-to-end šifrování komunikace mezi uživatelem a zdrojem dat výrazně zlepšuje bezpečnost. Šifrování citlivých souborů a databází přidává další vrstvu ochrany proti potenciálním hrozbám, znemožňuje data použít i v případě, že by je útočník dokázal získat.
- Bezpečnost lidských zdrojů, řízení přístupů a správa aktiv
Naplnění tohoto bodu směrnice vede ke kombinaci procesních postupů a technických nástrojů. Mohou sem spadat postupy pro bezpečný onboarding a offboarding zaměstnanců i zavedení nástrojů pro řízení přístupu, jako je například zero trust, které vedou k omezení rizika neoprávněného přístupu, manipulace a kompromitace dat.
- Použití vícefaktorové autentizace a bezpečná komunikace
Směrnice také ukládá povinnost použití dodatečných forem ověření uživatele, aby bylo minimalizováno riziko kompromitace jejich účtů. MFA je součástí řízení přístupu založeného na identitě, což je nedílná součást zero trust přístupu. MFA lze implementovat na úrovni aplikace, například jako součást SSO, nebo na síťové úrovni během autentizace. Směrnice dále vyžaduje používání bezpečných komunikačních nástrojů pro textové, zvukové a video komunikace.
Jaké jsou rozdíly mezi nižším a vyšším režimem regulace dle nového ZoKB?
Podle směrnice NIS2 a nového zákona o kybernetické bezpečnosti může být povinný subjekt identifikován jako základní nebo důležitý. Základní subjekty jsou v rámci regulace považovány za významnější – jsou na ně kladeny přísnější požadavky, a to jak z pohledu řízení kyberbezpečnostních rizik, tak kontroly dodržování požadavků.
Režim regulace pro svoji regulovanou službu organizace zjistí dle kritérií stanovených v prováděcích předpisech k ZoKB, konkrétně ve vyhlášce o regulovaných službách (viz návrh prováděcích předpisů). Pro některé subjekty ale budou existovat výjimky. Například provozovatelé DNS infrastruktury budou označeni jako “základní” bez ohledu na velikost.
Základní subjekty (essential)
Do kategorie “základní subjekt” spadají organizace uvedené v příloze I směrnice NIS2, které jsou zároveň identifikovány jako “velké”. Jedná se například o subjekty z energetického průmyslu, dopravy, bankovnictví, veřejné správy, poskytovatelé ICT služeb a další. Tyto budou regulovány v režimu vyšších povinností.
Důležité subjekty (important)
Do kategorie “důležitý subjekt” spadají středně velké organizace uvedené v příloze I a II. směrnice. Sem spadají zpravidla střední a velké firmy z oborů jako poštovní služby, potravinářství, chemický průmysl a další. Tyto budou regulovány v režimu nižších povinností.
Jaké organizační a technické povinnosti vyplývají ze ZoKB?
S novým ZoKB souvisí i další předpisy. Ty které nás zajímají, pokud jde o bezpečnostní opatření, jsou dvě samostatné vyhlášky upřesňující požadavky pro jednotlivé režimy regulace (vyšší a nižší povinnosti).
V níže uvedených tabulkách uvádíme přehled těchto povinnosti, které vycházejí z obecných požadavků NIS2. Srovnáváme požadavky na organizační a technická opatření u režimu vyšších a nižších povinností.
Tabulka 1: Srovnání organizačních opatření
Tabulka 2: Srovnání technických opatření
Kdo pomůže s implementací bezpečnostních opatření?
Organizace podléhající vyššímu stupni regulace budou muset stanovit tzv. bezpečnostní role, jako je manažer kybernetické bezpečnosti, architekt kybernetické bezpečnosti a auditor kybernetické bezpečnosti. Naopak, organizace v nižším stupni regulace budou povinny mít „odpovědnou osobu za kybernetickou bezpečnost“, která bude zodpovědná za řízení a rozvoj kybernetické bezpečnosti, dohled nad jejím stavem a komunikaci v této oblasti s vrcholovým vedením. Zjednodušeně řečeno, tato role odpovídá funkci manažera kybernetické bezpečnosti.
V každém případě mohou tyto role plnit jak zaměstnanci organizace, tak externí dodavatelé prostřednictvím outsourcingu.
Prakticky, pokud organizace začíná s implementací požadavků nového ZoKB, bude potřebovat právě manažera kybernetické bezpečnosti, který by měl zajistit implementaci bezpečnostních opatření. Nicméně, ten zpravidla nepracuje sám, protože technologie a kybernetická bezpečnost jsou natolik složité, že vyžadují další odborníky nejen z oblastí ICT a OT, ale také z práva, auditu, personálního managementu a dalších oborů.
Závěrem
Pro povinné organizace bude určení režimu regulace zcela zásadní, protože ten přímo ovlivňuje, jaká organizační a technická opatření budou muset v souvislosti s novým zákonem o kybernetické bezpečnosti naplnit.
Základní subjekty budou mít naplnění souladu se zákonem o poznání složitější. Nicméně, i důležité subjekty, zvláště pokud kyberbezpečnost doposud komplexněji neřešily, si budou muset vybudovat řadu nových kompetencí.
S přípravou na příchod nového ZoKB se tak vyplatí neotálet, začít zjišťovat potřebné informace nebo najít spolehlivé partnery, kteří s naplněním zákona pomohou. V České republice je takovým partnerem například technologická aliance GoodAccess společně s Guardians.cz, ProID a LogManager. Více informací najdete zde.
Pokud vás zajímají konkrétní technologie, které bude potřeba v souvislosti s novým zákonem implementovat, přečtěte si tento blog.
Pokud chcete mít všechny informace pohromadě, stáhněte si náš whitepaper Nový zákon o kybernetické bezpečnosti prakticky.
