CO BUDE NIS2 OBNÁŠET?
NÚKIB na svých stránkách informuje, že byla na půdě EU přijata nová směrnice o kybernetické bezpečnosti (EU) 2022/2555. Nově připravovanou regulací kybernetické bezpečnosti, NIS2, chce EU docílit toho, aby důležité organizace zavedly preventivní kroky k posílení své kybernetické bezpečnosti. Česká republika by měla transponovat, tedy převést novelu zákona o kybernetické bezpečnosti a některých dalších relevantních předpisech do národního práva, do 16. října 2024.
Směrnice přináší nový termín, kterým je: ,,poskytovatel regulované služby.” Poskytovatelem regulované služby je kdokoliv, kdo poskytuje alespoň jednu regulovanou službu, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Kritéria této služby budou uvedena v připravované vyhlášce o regulovaných službách.
Nová směrnice dělí subjekty, společnosti a organizace, do dvou kategorií:
- základní subjekty (essential)
- důležité subjekty (important)
EU chce sjednotit povinnost zavádět bezpečnostní opatření
Před zaváděním bezpečnostních opatření je potřeba v organizaci stanovit tzv. rozsah řízení kybernetické bezpečnosti. Až po zmapování prostředí a určení rozsahu je možné navrhovat bezpečnostní opatření. Zákon počítá s vytvořením tzv. dvourychlostní kybernetické bezpečnosti, kdy budou existovat dvě samostatné a na sobě nezávislé sady pravidel, které budou uvedeny ve 2 samostatných vyhláškách. Jinými slovy, režim poskytovatele regulované služby se bude řídit buďto režimem vyšších povinností, nebo režimem nižších povinností. Režim nižších povinností byl stanoven s cílem ulehčit menším organizacím od přísných pravidel:
- vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu vyšších povinností – bezpečnostní opatření vychází z obsahu vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti; pro rizika, která mohou službu ohrozit, jsou zavedena přiměřená opatření, kterými se daná rizika sníží na akceptovatelnou úroveň; poskytovatelé regulované služby mají povinnost hlásit všechny kybernetické bezpečnostní incidenty s původem v kybernetickém prostoru; poskytovatelé regulované služby mají povinnost neprodleně informovat o tom, zda jimi hlášený incident se klasifikuje jako významný
- vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností – zavádí jednodušší povinnosti a méně náročná pravidla, která vyžadují jen nezbytně nutnou míru analýzy; poskytovatelé regulované služby v režimu nižších povinností jsou povinni hlásit pouze významné kybernetické bezpečnostní incidenty
JAK SE SUBJEKTY DOZVÍ, ŽE SE NA NĚ VZTAHUJE NIS2?
Subjekty, poskytovatelé regulované služby, budou povinni zjistit, zda splňují kritéria stanovená vyhláškou o regulovaných službách. Následně se tito poskytovatelé regulované služby samy nahlásí NÚKIB (zaregistrují se na portálu) a zapíší se do evidence. Na základě vykonávaných služeb bude poskytovatelům přidělen jeden ze dvou režimů povinností, kterými jsou režim vyšších povinností nebo režim nižších povinností.
Vyhláška dále říká, že v případě, že poskytovatel regulované služby naplní v souvislosti s jednou regulovanou službou zároveň kritéria poskytovatele regulované služby odpovídající režimu vyšších i nižších povinností, je režimem poskytovatele regulované služby pro tuto regulovanou službu režim vyšších povinností.
Na koho se NIS2 bude vztahovat? Jaká jsou kritéria pro identifikaci regulované služby?
Odpověď naleznete ve vyhlášce o regulovaných službách, která uvádí tento seznam regulovaných služeb:
- Veřejná správa – výkon svěřených pravomocí (spadají sem i obce s rozšířenou působností s počtem obyvatel do 125 000 – režim nižších povinností a obce s rozšířenou působností s nejméně 125 000 obyvateli – režim vyšších povinností)
- Energetika – Elektřina: výroba elektřiny, provoz přenosové soustavy elektřiny, provoz distribuční soustavy elektřiny, obchod s elektřinou, výkon činnosti nominovaného organizátora trhu s elektřinou, výkon činnosti prodeje nebo výroby elektřiny, agregace nebo odezvy strany poptávky nebo ukládání energie, včetně vydávání příkazů k obchodování na jednom či více trzích s elektřinou, včetně trhů s regulační energií, provoz dobíjecích stanic
- Energetika – Ropa a ropné produkty: těžba ropy, zpracování ropy, provoz skladovacího zařízení, provoz ropovodu, provoz produktovodu, výkon činnosti ústředního správce zásob, provoz čerpací stanice pohonných hmot
- Energetika – Plynárenství: výroba plynu, provoz přepravní soustavy plynu, provoz distribuční soustavy plynu, obchod s plynem, uskladňování plynu
- Energetika – Teplárenství: výroba tepelné energie, provoz soustavy zásobování tepelnou energií
- Energetika – Vodík: výroba vodíku, skladování vodíku, přeprava vodíku
- Výrobní průmysl: výroba počítačů, elektronických a optických přístrojů a zařízení, výroba elektrických zařízení, výroba strojů a zařízení nezařazená pod jiné oddíly klasifikace CZ-NACE, Výroba motorových vozidel (kromě motocyklů), přívěsů a návěsů, výroba ostatních dopravních prostředků a zařízení
- Potravinářský průmysl: výroba potravin, zpracování potravin, distribuce potravin
- Chemický průmysl: výroba nebezpečných chemických látek, směsí nebo přípravků nebo látky, zpracování nebezpečných chemických látek, směsí nebo přípravků nebo látky, skladování nebo distribuce nebezpečných chemických látek, směsí nebo přípravků nebo látky, výroba předmětů uvedených v čl. 3 bodě 3 přímo použitelného předpisu Evropské unie z látek nebo směsí
- Vodní hospodářství: provozování vodovodu, provozování kanalizace
- Odpadové hospodářství: provoz zařízení určeného pro nakládání s odpady, obchodování s odpadem, zprostředkování nakládání s odpadem, přeprava odpadu
- Letecká doprava: provoz letecké dopravy, provoz letiště, provoz pomocných zařízení v rámci letiště, služba řízení letového provozu ve vzdušném prostoru České republiky, bezpečnostní kontrola týkající se nákladu nebo poštovních zásilek, služba odesílání nákladu nebo poštovních zásilek, služba dodávek palubních zásob, služba při odbavovacím procesu, letové navigační služby
- Drážní doprava: stavění vlakových cest na celostátní úrovni, provoz celostátní dráhy, provoz regionální dráhy, provoz veřejně přístupné vlečky, provoz drážní dopravy na celostátní dráze, provoz drážní dopravy na regionální dráze, provoz drážní dopravy na veřejně přístupné vlečce, provoz zařízení služeb
- Vodní doprava: výkon činnosti námořní vodní dopravy, provoz řídícího orgánu přístavu nebo provoz díla nebo zařízení v rámci přístavu, provoz služby lodní dopravě (VTS)
- Silniční doprava: činnost subjektu odpovědného za kontrolu řízení provozu, Provoz inteligentního dopravního systému
- Digitální infrastruktura a služby: poskytování veřejně dostupné služby elektronických komunikací, zajišťování veřejné komunikační sítě, poskytování služby výměnného uzlu internetu (IXP), poskytování služby systému překladu jmen domén (DNS), správa a provoz registru internetových domén nejvyšší úrovně, poskytování služby cloud computingu, poskytování služby datového centra, poskytování služby sítě pro doručování obsahu (CDN), správa kvalifikovaného systému elektronické identifikace, poskytování služby vytvářející důvěru, poskytování řízené služby (MSP), poskytování řízené bezpečnostní služby (MSSP), poskytování služby on-line tržiště, poskytování služby internetového vyhledávače, poskytování platformy sociální sítě
- Finanční trh: výkon činnosti úvěrové instituce, provoz obchodního systému, výkon činnosti ústřední protistrany
- Zdravotnictví: poskytování zdravotní péče, poskytování zdravotnické záchranné služby, výkon činnosti referenční laboratoře EU zahrnuté do sítě referenčních laboratoří pro oblast veřejného zdraví, výzkum a vývoj léčivých přípravků, výroba léčivých přípravků, výroba léčivých látek, výroba zdravotnických prostředků, výroba diagnostických zdravotnických prostředků in vitro, výroba zdravotnických prostředků považovaných za kriticky důležité v případě mimořádné situace v oblasti veřejného zdraví
- Věda, výzkum a vzdělávání: výzkum a vývoj, provozování velké výzkumné infrastruktury
- Poštovní služby: poskytování poštovní služby, poskytování kurýrní služby
- Vojenský průmysl: výroba vojenského materiálu, obchod s vojenským materiálem, výroba zboží a technologií dvojího užití, vývoz zboží a technologií dvojího užití, zprostředkování zboží a technologií dvojího užití, technická pomoc pro zboží a technologií dvojího užití, tranzit a přeprava zboží a technologií dvojího užití
- Vesmírný průmysl: zajištění podpory poskytování služeb využívajících kosmického prostoru
jaké povinnosti budou mít subjekty, na které se NIS2 vztahuje?
Splnění požadavků evropské směrnice na bezpečnost dat ISO/IES 27001, aniž by byl vyžadován certifikát.
Mezi hlavní agendu spadá:
- Stanovení rozsahu řízení kybernetické bezpečnosti (jsou identifikována primární aktiva – informace a služby a podpůrná aktiva – zaměstnanci, dodavatelé, objekty a technická aktiva).
- Registrace a nahlášení údajů na Portálu NÚKIB.
- Zavádění bezpečnostních opatření (řídí se navrhovanými vyhláškami o bezpečnostních opatřeních pro poskytovatele regulované služby – režimy vyšších a nižších opatření).
- Hlášení a zvládání kybernetických bezpečnostních incidentů
- poskytovatel regulované služby v režimu nižších povinností je povinen v rámci stanoveného rozsahu hlásit Národnímu CERT všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a mají významný dopad na poskytování regulované služby
- poskytovatel regulované služby v režimu vyšších povinností je povinen v rámci stanoveného rozsahu hlásit NÚKIB všechny kybernetické bezpečnostní incidenty.
- Informování zákazníků o incidentech a hrozbách (kybernetickou hrozbou je jakákoliv potenciální okolnost, událost nebo jednání, které mohou poškodit ovlivnit aktiva, jejich uživatele nebo další osoby, a tím způsobit kybernetickou bezpečnostní událost nebo kybernetický bezpečnostní incident).
- Zavádění protiopatření.
- Analýza rizik a s ní související agenda (aktiva, hrozby, rizika, opatření, plány a řízení kontinuity, krizové řízení, DRP, řízení a hlášení bezpečnostních incidentů, politiky bezpečnosti informací.
- Zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli (klíčoví dodavatelé by měli také splňovat požadavky NIS2 – nutné ošetřit smluvně).
- Zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení.
- Politiky a postupy (testování a audit) – dohled státu.
- Používání kryptografie.
- Postupy pro základní počítačovou hygienu a vzdělávání uživatelů.
- Bezpečnost lidských zdrojů (řízení přístupů).
- Zabezpečení komunikačních nástrojů (MFA) a nástrojů pro nouzovou komunikaci.
- Bude se také měnit zákon o elektronických komunikacích, zákon o informačních systémech veřejné správy a zákon o střetu zájmu.
Bezpečnostní opatření
- „Bezpečnostními opatřeními se rozumí úkony, jejichž cílem je zajištění řádného poskytování regulované služby a kybernetické bezpečnosti aktiv.”
- Bezpečnostní opatření dělíme na organizační a technická.
- Organizačními opatřeními poskytovatele regulované služby v režimu nižších povinností jsou: zajišťování minimální úrovně kybernetické bezpečnosti, povinnosti vrcholového vedení, bezpečnostní role, řízení bezpečnostní politiky a dokumentace, řízení aktiv, řízení dodavatelů, bezpečnost lidských zdrojů, řízení změn, akvizice, vývoje a údržby, řízení přístupů, zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, řízení kontinuity činností.
- Technickými opatřeními poskytovatele regulované služby v režimu nižších povinností jsou: fyzická bezpečnost, bezpečnost komunikačních sítí, správa a ověřování identit, řízení přístupových oprávnění, detekce kybernetických bezpečnostních událostí, zaznamenávání bezpečnostních a relevantních provozních událostí, aplikační bezpečnost, kryptografické algoritmy, zajišťování dostupnosti regulované služby a x) zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv.
technická a procesní opatření, kterým věnovat pozornost:
- Systém na uchovávání logů / log management
- Systém na upozornění na vybrané události s vysokým bezpečnostním rizikem (např. SIEM)
- Zabezpečení přístupů / SSO, MFA
- Segmentace v rámci LAN
- Asset management
- Politiky pro hesla
- Servisní případy
- Print server (tisk by neměl být povolen z klientského zařízení přímo na tiskárnu)
- SOAR (security orchestration, automation and response)
- OT (operational technology)
- VMS
- EDR
- Zabezpečení zálohovacího systému
- Omezit časový interval např. na firewallu, kdy se smí připojit dodavatel (vypínání automatizovaným způsobem po pracovní době)
Poskytovatelé regulovaných služeb by měli komunikovat s NÚKIB prostřednictvím Portálu NÚKIB, kde by měla probíhat i automatizovaná registrace relevantních organizací, nahlášení kontaktních údajů pověřených zástupců těchto organizací a následně hlášení incidentů, provedení protiopatření nebo nápravného opatření či hlášení dodavatelů, bude-li to pro konkrétní subjekt relevantní. Další informace viz. vyhláška o portálu NÚKIB