NIS2 je především procesní, nikoli technologická směrnice. Zaměřuje se na stanovení pravidel a požadavků na kybernetickou bezpečnost s cílem zvýšit digitální provozní odolnost a kybernetickou odolnost celé kritické infrastruktury v EU. Cílem směrnice je posílit opatření v oblasti kybernetické bezpečnosti, kapacity pro reakci na incidenty a řízení rizik kybernetické bezpečnosti v různých odvětvích, jako je energetika, doprava, zdravotnictví a digitální infrastruktura. Přestože technologie hrají při zavádění opatření kybernetické bezpečnosti zásadní roli, NIS2 zdůrazňuje, že je třeba, aby organizace sladily své obchodní procesy, organizační struktury, personální zajištění a technologickou základnu s novými požadavky, a zajistily tak soulad s nimi a zvýšily tím svou kybernetickou odolnost.
Aby byla společnost v souladu se směrnicí NIS2, měla by se zaměřit na zavedení následujících základních procesů:
- Zavedení pevného rámce řízení kybernetické bezpečnosti: Definujte role a odpovědnosti klíčových zúčastněných stran, včetně představenstva, vrcholového managementu a pracovníků IT. Jasně si stanovte linie pravomocí a komunikační kanály, abyste si zajistili komplexní strategii kybernetické bezpečnosti.
- Zavedení opatření pro řízení rizik kybernetické bezpečnosti: Řešte minimálně 10 oblastí řízení rizik kybernetické bezpečnosti uvedených v kapitole 4, článku 21 směrnice. Tyto oblasti zahrnují kontroly bezpečnosti identit, politiky řízení přístupu, pokročilou autentizaci a bezpečnost dodavatelského řetězce.
- Zajištění souladu s právními předpisy: Zajistěte, aby odvětvové právní předpisy měly přednost před rámcem NIS, pokud upravují veškeré bezpečnostní aspekty služeb. Harmonizujte ustanovení NIS2 s legislativou specifickou pro dané odvětví, aby byla zachována konzistentnost regulace.
- Řešení incidentů a reakce na ně: Zaveďte rychlá opatření pro reakci na incidenty, aby se minimalizovaly škody a prostoje. Vypracujte komplexní soubor opatření k řešení kybernetických bezpečnostních rizik a zajistěte, aby řešení incidentů bylo účinné a efektivní.
- Správa oprávněných přístupů: Zaveďte osvědčené postupy pro správu privilegovaného přístupu, včetně privilegovaných účtů umělé inteligence. Zajistěte, aby tyto účty byly vybaveny minimem nezbytných oprávnění, dodržovaly zásadu nejmenších oprávnění a byly přísně kontrolovány, aby se zabránilo neoprávněnému přístupu zvenčí.
- Zabezpečení a testování perimetrů a aktiv: Zaveďte důkladná bezpečnostní opatření na zajištění ochrany perimetrů a majetku společnosti. Pravidelně testujte a vyhodnocujte účinnost těchto opatření, abyste zajistili, že jsou aktuální a mohou účinně chránit před kybernetickými hrozbami.
- Pravidelné audity a kontroly dodržování předpisů: Pravidelně provádějte audity a kontroly shody, abyste zajistili, že společnost dodržuje požadavky směrnice NIS2. Tyto kontroly by měla provádět nezávislá třetí strana, aby byla zajištěna objektivita a přesnost.
- Zůstaňte informováni a připraveni: Zůstaňte informováni o požadavcích směrnice NIS2 a jejich potenciálním dopadu na provoz společnosti. Pravidelně revidujte a aktualizujte strategii kybernetické bezpečnosti společnosti, abyste zajistili její soulad s nejnovějšími požadavky a osvědčenými postupy.
Zavedením těchto základních procesů můžete jako společnost zajistit, že jste v souladu se směrnicí NIS2 a účinně řídíte svá rizika v oblasti kybernetické bezpečnosti.
Zdroje:
https://www.linkedin.com/pulse/ultimate-guide-nis2-compliance-meet-directive-requirements-hrzif
https://cybeready.com/compliance/achieving-nis2-compliance-10-steps-to-follow
https://yogosha.com/blog/nis2-directive-compliance-guide/
https://www.dataguard.co.uk/blog/the-nis2-directive-a-step-by-step-compliance-guide
https://claroty.com/blog/compliance-101-guide-to-the-nis2-directive
https://claroty.com/blog/compliance-101-guide-to-the-nis2-directive
https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI%282021%29689333
https://www.dataguard.co.uk/blog/the-nis2-directive-a-step-by-step-compliance-guide
