NIS 2 a TELCO

by | Čvc 1, 2022 | Nejnovější, NIS II | 0 comments

Směrnice NIS 2 rozšiřuje nově oblast působnosti dosavadní právní úpravy o nová odvětví. A to včetně poskytovatelů digitální infrastruktury mezi něž se bezesporu řadí i mobilní operátoři a poskytovatelé telekomunikačních služeb. Směrnice zároveň přináší nové definiční rozdělení, které povinné subjekty rozděluje na tzv. základní a důležité. Mezi nově povinné základní subjekty patří zejména poskytovatelé veřejných sítí elektronických komunikací a služeb elektronických komunikací (zejména v případě jsou-li jejich služby veřejně dostupné).

Jaké povinnosti vám nově vzniknou?

Vzhledem k relativně přísným pravidlům, která bude směrnice pravděpodobně obsahovat, vznikne povinným subjektům povinnost zavést nová bezpečnostní opatření a hodnocení rizik. Pro základní subjekty by to mělo představovat zavedení vhodných a přiměřených technických či organizačních opatření zaměřených na řízení bezpečnostních rizik.

Součástí opatření pro některá odvětví by mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů (s přihlédnutím jak k technickým, tak netechnickým faktorům). 

Další změny přinášené NIS 2

Konkrétně bude NIS 2 představovat revoluci v ustanovení o postupech oznamování incidentů. Zavede totiž povinnost neprodleně oznámit každý incident, který má závažný dopad na poskytování služeb povinného subjektu i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident. Dále zavede také přísnější kontrolní opatření pro vnitrostátní orgány a přísnější požadavky na vymáhání povinností .

Klíčovou změnu též představuje přímá odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich následné dodržování. Toto riziko tak již nepůjde snadno přesunout na bedra IT / právních poskytovatelů.

Za nedodržení některých pravidel stanovených směrnicí NIS 2, zejména (ne)přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti, má hrozit pokuta ve výši minimálně 10.000.000 EUR nebo 2 % z celkového celosvětového ročního obratu podniku.

Navrhovaná opatření k řízení rizik v oblasti kybernetické bezpečnosti:

  •         analýza rizik a politika bezpečnosti informačních systémů,
  •         řešení incidentů (prevence a odhalování incidentů a reakce na ně),
  •         řízení kontinuity provozu a krizové řízení,
  •         zabezpečení dodavatelského řetězce,
  •         zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, 
  •         politiky a postupy (testování a audit v oblasti kybernetické bezpečnosti),
  •         používání kryptografie a šifrování.

Hodnocení důvěryhodnosti dodavatelů

Součástí opatření je i posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů – a to s přihlédnutím jak k technickým, tak netechnickým faktorům.

Pro posouzení důvěryhodnosti bude podstatné např. také zdali mají dodavatelé sídlo ve státech s demokraticky volenou vládu, důvěryhodnost tamního soudního systému. Prověřit lze také skutečnost, zda nejsou dodavatelé nepatřičně ovlivňováni zahraniční vládou či orgánem státní správy a zda jsou s dostatečnou mírou autonomie schopni zajišťovat dostupnost, integritu a důvěryhodnost dat v dodaných technologických řešeních. V neposlední řadě může hrát roli schopnost dodavatele naplňovat bezpečnostní standardy, které jsou v době realizace dodávky na trhu běžné a je ochoten zavázat se k jejich naplňování i do budoucna.

Kybernetická bezpečnost 5G sítě

Výše zmíněná hodnocení rizik by měla reflektovat technické a příp. i netechnické faktory včetně faktorů vymezených v doporučení EU „Kybernetická bezpečnost 5G“, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G (EU 5G Toolbox).

Jak je potřeba se připravit? 

V zájmu zajištění vyšší míry kybernetické bezpečnosti doporučujeme všem subjektům provést komplexní audit kybernetické bezpečnosti. Tento audit zmapuje současný stav kybernetické zabezpečení vaší společnosti z právního, organizačního i technického hlediska. Vedle toho také identifikuje bezpečnostní opatření, která by firma měla implementovat, aby splnila zákonnou i přirozeně bezpečnostní povinnost.

Následně je žádoucí audit vyhodnotit a implementovat navržená řešení. I v oblasti kybernetické bezpečnosti jsou ústředním rizikovým faktorem lidé – proto je vhodné své zaměstnance také náležitě proškolit a kontinuálně vzdělávat o aktuálních hrozbách.

Kdy můžeme takto zásadní změny očekávat?

Evropští zákonodárci, resp. Evropský parlament a Evropská rada, jíž dosáhli ohledně směrnice NIS 2 dohody. V této chvíli dochází dochází k dolaďování technických detailů před samotným finálním hlasováním o platném přijetí.

Dle vyjádření NÚKIB již Česká republika započala s jednáním ohledně transpozice a implementace směrnice NIS 2 do tuzemského právního řádu. Na zavedení nových pravidel, která mají být oficiálně zveřejněna v říjnu, bude čas zhruba do poloviny roku 2024.

Michael Fanta, šéfredaktor

Foto: Pixabay

0 Comments
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.