Ticho před bouří. Tak hodnotí aktuální stav při zavádění požadavků nové evropské směrnice o kybernetické bezpečnosti NIS2 a její implementaci do národní legislativy spoluzakladatelka a COO české technologické společnosti TeskaLabs Vladimíra Tesková. O NIS2 se začalo významněji mluvit už v první polovině minulého roku, její finální znění bylo schváleno Radou Evropské unie 27. prosince 2022. V České republice je zavedení nových povinností plánováno nejpozději na 16. října 2024. To sice může působit na první pohled jako dlouhá doba, realita je ale trochu jiná…
Směrnice NIS 2 je příležitost začít brát kyberbezpečnost konečně vážně
Nařízení se týká středních a větších podniků, tzn. těch s 50 a více zaměstnanci, nebo ročním obratem minimálně 10 milionů eur, nebo bilanční sumou roční rozvahy alespoň 10 milionů eur. Požadavky související s implementací NIS2 se v první fází dotknou nejméně 6 000 firem, v dalších vlnách může jít až o desítky tisíc společností. Vzhledem k tomu, že implementace má jasná pravidla, zahrnující primární analýzu, nezávislý auditorský posudek a teprve až poté následuje vlastní technická část, můžeme se v případě menších subjektů dostat na dobu 1-3 měsíců. Velké podniky však musí počítat s procesem v délce jednoho roku, výjimečně i dvou let.
Není čas ztrácet čas
Vysoké nároky na dodavatele kyberbezpečnostních řešení, která budou ve shodě s požadavky NIS2, ale splňuje jen nepatrná část ICT firem v Česku. „Je jasné, že kvůli plánovanému množství dotčených společností, malému počtu kvalifikovaných dodavatelů a dlouholetému nedostatku pracovníků v IT oblasti se dostáváme do značného časového a kapacitního nesouladu,“ dodává Vladimíra Tesková a doporučuje v této souvislosti příliš neotálet.
NIS2 počítá s některými zásadními změnami. Které to jsou?
Pokud jsme si zvykli na určitou benevolentnost v případě zavádění legislativy GDPR, NIS2 je proti tomu značně nekompromisní a zavádí podstatně přísnější požadavky na subjekty pod ni spadající. Patří k nim mj. povinnost provádět vlastní posouzení bezpečnostních rizik, technická a organizační opatření vedoucí ke zvýšení kybernetické odolnosti, povinnost logování kybernetických dat a událostí (ukládání po dobu nejméně 18 měsíců) a oznamování bezpečnostních incidentů. Zcela zásadní je vyvození osobní odpovědnosti pověřených osob a nemalé sankce. Ty mohou být peněžité (až 10 mil. eur, nebo 2 % z globálního obratu firmy), nebo může dojít k pozastavení certifikace či zákazu výkonu činnosti jakékoliv vedoucí osobě. Sankce je navíc možné udělovat opakovaně, dokud nedojde k nápravě.
Špičkový logmanagement v podání TeskaLabs
TeskaLabs se řadí ke špičkám v řešení logmanagementu, tedy procesu sběru, analýzy, archivace a správy logů v počítačových systémech a sítích. Logy jsou záznamy událostí a aktivit, které se vyskytují v operačních systémech, aplikacích, webových serverech, nejrůznějších zařízeních apod.
Správa logů je důležitá pro zabezpečení IT systému, odhalování chyb a problémů, diagnostiku výkonu a plánování kapacity. „A také pro splnění požadavků platné legislativy a směrnice NIS2. Náš „signature“ nástroj LogMan.io poskytuje detailní dokumentaci v případě kritického incidentu dle ZoKB, GDPR i ČSN ISO 27001:2013. Kromě toho dokáže najít původ incidentu, nahrává veškeré dění v IT struktuře společnosti pro pozdější přezkoumání a nabízí úplný přehled o veškerých datech v IT infrastruktuře,“ vysvětluje Vladimíra Tesková. LogMan.io se může pochlubit také bezkonkurenčním výkonem v podobě až 500 000 EPS (události za sekundu), které je schopen zpracovat. V porovnání s maximálně 10 000 EPS jiných dodavatelů jde o skutečně úctyhodné číslo.
TeskaLabs má k dispozici vlastní tým elitních vývojářů a programátorů, stejně jako expertů na kyberbezpečnost i směrnici NIS2. I proto může svým zákazníkům vždy poskytovat řešení na míru a v případě jakýchkoliv požadavků zareagovat mimořádně rychle. Díky svému profesionálnímu přístupu má firma specializující se na kybernetickou bezpečnost ve svém portfoliu mnoho klientů napříč odvětvími. Nechybí v něm např. Nova, Prima, Cetin, E.ON, IKEM, MPSV, VZP ČR, FN Plzeň, FN Ostrava, Linet atd.
Chceme změnit přístup firem ke kybernetické bezpečnosti
„Řekněme si upřímně, spousta majitelů a manažerů firem, s nimiž momentálně řešíme otázky kyberbezpečnosti, vnímá nová nařízení jen jako nutné zlo. Tedy až na ty, kteří se s nějakým typem destruktivního kybernetického útoku už setkali,“ doplňuje Vladimíra Tesková. Není žádnou novinkou, že kvůli nedostatečnému zabezpečení přicházejí firmy o zásadní data, ať už jde o výrobní či finanční dokumentaci, klientské databáze a další citlivé informace. S tím pochopitelně souvisí i odchod zákazníků, nemluvě o značných ekonomických škodách. „Zastavení výroby většího podniku totiž může znamenat denní ztrátu klidně v řádu milionů eur,“ dodává Vladimíra Tesková.
O to víc zaráží, že ani společnosti z jasně „kritické infrastruktury“ často netuší, že pod NIS2 spadají. „I proto jsme připravili dlouhodobý projekt, který firmám pomůže zorientovat se v tomto složitém procesu a bude je informovat o všech novinkách, které s ním souvisejí. Naším cílem je, aby byla nová pravidla bezpečnosti vnímána především jako přínos pro firmy i jejich zákazníky a ne jako další byrokratická a ekonomická zátěž,“ uzavírá Vladimíra Tesková.
O společnosti TeskaLabs
Technologická společnost TeskaLabs se dlouhodobě zabývá vývojem pokročilých softwarových produktů pro kybernetickou bezpečnost, jako jsou SIEM, log management a PKI řešení kybernetické bezpečnosti, které pomáhají firmám plnit vysoké bezpečnostní standardy v této oblasti.
Její služby a bezpečnostní řešení využívají firmy a instituce napříč odvětvími – např. O2, IKEM, Fakultní nemocnice Plzeň, TV Nova, TV Prima, Linet, AXA, Heureka, MPSV, Jablotron, Innogy, Axenta a mnoho jiných. TeskaLabs je strategickým partnerem O2 Czech Republic a Cisco Solution Partner.
Mariana Pohlová
www.tempusmedia.cz
www.teskalabs.com
