Pondelok – Piatok: 09:00 – 16:00

Canex Prichádza NIS2: Obdoba GDPR pre oblasť kyberbezpečnosti

| Aktuality Blog |

Publikované 26. marca 2023
Dahua
4 Riešenia Dahua Transmission poháňané PoE 2.0
8. augusta 2022
Dahua
Dahau WizMind Metadata: Zachytenie detailov (na ktorých záleží)
11. augusta 2023
Dahua
Posilnenie vzdelávania pomocou najmodernejších technológií
17. novembra 2023
Dahua
Pohľad na novú súpravu 2-vodičovej hybridnej vily EACH série Dahua: Rozšíriteľnosť, dostupnosť, pohodlie, HD video
24. marca 2023
Hanwha
Využívanie AI na správny účel
5. decembra 2022
Hanwha
Ochrana pred počítačovou kriminalitou: Kybernetická bezpečnosť
20. septembra 2021

Prichádza NIS2: Obdoba GDPR pre oblasť kyberbezpečnosti

Nová európska kyberbezpečnostná smernica NIS2 sa má dotknúť zhruba 6000 organizácií v Českej republike. Čo prinesie a kedy by sa o nej mali firmy a inštitúcie začať zaujímať? Spýtali sme sa europoslankyne Markéty Gregorovej, ktorá sa na príprave znenia NIS2 podieľala.

„Ak nechcete žiadnu paniku mesiac po vstúpení NIS2 do platnosti, je práve teraz čas začať sa o toto nariadenie zaujímať.“

hovorí Markéta Gregorová

10. novembra 2022: Európsky parlament schválil znenie nariadenia NIS2 – Kedy očakávate, že sa táto regulácia oficiálne zverejní?

Rada Európskej únie nariadenie formálne schválila 28. novembra. Po uverejnení smernice v Úradnom vestníku smernica nadobudne účinnosť 20 dní po jej uverejnení a členské štáty budú musieť implementovať nové prvky smernice do vnútroštátneho práva.

Členské štáty na to budú mať lehotu 21 mesiacov / 2 roky.

Členské krajiny ale už pri vyjednávaní dali najavo, že to chcú implementovať čo najrýchlejšie.

Optimistická odpoveď teda je budúci rok.

NIS2 má regulovať úroveň kyberbezpečnosti v podnikoch naprieč verejným aj súkromným sektorom a uvádza sa, že sa v SR bude týkať až 6000 organizácií: Kto by mal zvlášť spozornieť? Kto môže byť veľmi prekvapený, že sa ho NIS2 tiež týka?

Ak bola vaša spoločnosť alebo organizácia napadnutá ransomwarom alebo podobným útočným softvérom, musíte venovať väčšiu pozornosť kybernetickej bezpečnosti už teraz. Bez ohľadu na NIS2 alebo akýkoľvek iný zákon. Utrácať peniaze za kvalitnú ochranu sa vypláca. Útoky nadobúdajú na intenzite, rozmanitosti as rastúcim počtom pripojených zariadení aj na závažnosti.

NIS2 je základná minimálna harmonizácia prvkov kybernetickej bezpečnosti, ktorú dáva zmysel vykonávať u najdôležitejších spoločností v našich krajinách. Napríklad vytvárame európsku databázu zraniteľností. To znamená, že rýchlosť, s akou dokážeme ochrániť české firmy pred novo nájdenými zraniteľnosťami, je potenciálne 27-krát vyššia, pretože to teraz robíme spoločne. To šetrí náklady a zvyšuje bezpečnosť pre všetkých.

Podľa globálnych trendov v útokoch sú obzvlášť ohrozené sektory: energetiky, dopravy, bankovníctva, zdravotníctva, digitálnej infraštruktúry, verejná správa a vesmír.  Tieto sektory teda v NIS2 budú spadať do kategórie tzv. zásadných odvetví, teda tých, na ktoré sa budú klásť najprísnejšie nároky ochrany.

Firmy, ktoré spadajú do sektorov: poštové služby, odpadové hospodárstvo, chemikálie, potraviny, výrobu zdravotníckych pomôcok, elektroniku, stroje, motorové vozidlá a digitálnych poskytovateľov  označujeme za tzv. dôležité odvetvia a budú musieť plniť základné požiadavky na svoju ochranu.

Mení nejako NIS2 definíciu toho, čo sa dnes považuje za „kritickú infraštruktúru“ alebo „kritickú informačnú infraštruktúru“?

Kritickú infraštruktúru definuje NIS1 a iné dokumenty, na tom NIS2 nič nemení. Iba sa rozširujú kategórie povinných subjektov.

NIS2 nie je prvým európskym pokusom o reguláciu kyberbezpečnosti: V čom je hlavný rozdiel oproti doterajšej regulácii NIS1?

Stručne: Viac spoločnej koordinácie a väčší rozsah

NIS1 uvádzal do pohybu požiadavky na spoločnú úroveň kyberbezpečnosti naprieč členskými štátmi, ale keďže to mnohé štáty stále chránili ako otázku národnej bezpečnosti a samozrejme tiež často nemali vybudované kapacity, nebola vôľa viac zdieľať informácie, zraniteľnosti a pod. Základné kapacity sa už vybudovali, a preto je teraz možné rozšíriť sektory, ktoré je nutné chrániť, ale aj začať viac spolupracovať a koordinovať reakcie aj opatrenia.

NIS2 vzdialene pripomína podobné európske nariadenie týkajúce sa osobných údajov – GDPR, ktoré platí od roku 2018: Bude mať NIS2 podobný vplyv na podniky ako GDPR? Bude treba podobná administratíva? V čom vidíte podobnosti/odlišnosti?

Úplne súhlasím s týmto pripodobnením. GDPR nastavilo globálne štandardy ochrany dát. Moja najväčšia nádej je, že NIS2 urobí podobnú službu v kyberbezpečnosti, že to bude zdroj určitej inšpirácie, a predovšetkým záväzok na trhu aj pre okolité krajiny. Nedávno som o NIS2 mala prezentáciu napríklad pre firmy v Bosne a Hercegovine. Kyberútoky nerešpektujú národné hranice.

Ako presne to na slovenskom trhu bude fungovať, určí národná implementácia v spolupráci s Národným úradom pre kybernetickú bezpečnosť (NÚKIB). Tí ale predvídajú, že sa zamerajú predovšetkým na tie zásadné odvetvia a tie dôležité si budú žiadať o certifikáciu u súkromných certifikátorov, ktorých postupy kontroly NÚKIB schvália a dovolia im tú certifikáciu robiť. Potom to bude systém kombinujúci pravidelné a náhodné kontroly, teda že si bude musieť firma za vopred určenú dobu (národnou implementáciou, ale bavíme sa v priebehu rokov) obnoviť certifikáciu. Zároveň bude kedykoľvek možné, že ju národnej úrovni niekto náhodne skontroluje, či dodržiava povinnú úroveň zabezpečenia.

Kedy by sa firmy a podniky mali začať o toto nariadenie zaujímať? Kedy teda možno čakať, že to bude záväzné a môžu padnúť prvé pokuty?

Zaujímať by sa mali už teraz. Odporúčam k tomu webovú stránku https://nis2.nukib.cz, nechceme žiadnu paniku mesiac po vstupe do platnosti, ale pokojnú prípravu. Je tak akurát čas začať.

Ako som spomínala, odhad národnej implementácie je jeden až dva roky.

A samozrejme, firmy by to nemali robiť kvôli strachu z pokuty, ale z obavy pred ransomwarom, ktorý ich oberie o oveľa viac – o peniaze aj dôveru zákazníkov.

Ako sa NIS2 dotkne dodávateľov hardvéru a sieťových či bezpečnostných technológií? Bude potrebné, aby výrobca, ktorý sa chce zúčastniť tendra, disponoval akýmsi „NIS2 certifikátom”?

Ako som spomínala, digitálna infraštruktúra bude pod prísnejším režimom tzv. zásadných odvetví. Je to teda tak, ako hovoríte, bude potrebné spĺňať požiadavky na zabezpečenie určené certifikačným procesom NÚKIB. Výberové konania by to novo mali reflektovať spolu s ďalšími vecami.

Čo ak má podnik existujúcu IT infraštruktúru od pochybného dodávateľa, ktorý nemôže preukázať súlad s NIS2? Znamená to, že v deň platnosti NIS2 bude musieť celú túto infraštruktúru vymeniť?

Súlad s európskou legislatívou by bol v tomto prípade mojou treťou alebo štvrtou starosťou. Pochybní dodávatelia predstavujú finančné a bezpečnostné riziko pre akýkoľvek podnik už teraz, nie až s príchodom legislatívy. Požiadavky v NIS2 sú úplný základ a zaistia, že všetky relevantné entity budú bezpečnejšie. Snáď to bude predovšetkým znamenať, že zatraktívne podnikanie s poctivými dodávateľmi.

Inak samozrejme záleží, kedy a ako si podnik požiada o certifikáciu: Potom tam bude nejaká doba, kedy pôjde naprávať zistené chyby  takže nie, dňom nadobudnutia platnosti NIS2 sa ani tí, čo takpovediac zaspia, nemusia obávať toho, že ešte v ten deň budú musieť zjednať nápravu. Ale dôveryhodného dodávateľa by si mali zaobstarať už teraz.

V rámci prípravného výboru ste sa podieľali na znení NIS2: Čo bolo najťažším/najdiskutovanejším článkom tohto nariadenia?

Povedala by som, že „najobľúbenejšou” časťou všetkých, od politikov po lobistov, boli požiadavky na rozsah, teda ktoré entity a odvetvia pod NIS2 spadnú. Všetci by radi jazdili po bezpečných a kvalitných cestách, ale málokto za nich chce zaplatiť.

Aká je „česká stopa” v NIS2? Bude implementácia v Česku ťažšia alebo ľahšia v porovnaní so zvyškom EÚ? Kde očakávate najväčšie komplikácie?

Máme jeden z najživších a najkonkurencieschopnejších obchodných sektorov v Európskej únii. Verím, že všetky naše podniky budú v budúcnosti zlepšovať svoju kybernetickú bezpečnosť, či už budú musieť vyhovieť novým zmenám v NIS2, alebo nie.

Čo sa týka českej stopy, ide o prácu kolegu Marcela Kolaji a moju. Vďaka nám by sa mali do verejného obstarávania zahrnúť okrem požiadaviek na certifikáciu kybernetickej bezpečnosti aj požiadavky na šifrovanie a používanie produktov s otvoreným zdrojovým kódom, čo je podľa nás dôležitá súčasť zvyšovania odolnosti našej infraštruktúry.

Markéta Gregorová

  • Česká politička a od roku 2019 poslankyňa Európskeho parlamentu
  • Členka Výboru pre medzinárodný obchod a Osobitného výboru pre zahraničné zasahovanie do všetkých demokratických procesov v Európskej únii
  • Na príprave finálneho znenia smernice NIS2 sa priamo podieľala ako tzv. tieňová spravodajkyňa Výboru pre zahraničné veci Európskeho parlamentu

Dalibor Smažinka, Key Account Manager End Customers, Axis Communications

Ako zodpovedný európsky výrobca IT produktov – hlavne sieťových zariadení pre kamerové systémy – berieme tému kyberbezpečnosti veľmi vážne, a tak pre nás nástup NIS2 nebude znamenať žiadnu výraznú zmenu v nastavenom kurze. Kamery a ďalšie sieťové technológie sa pravidelne stávajú terčom alebo priamo nástrojom útokov – či už ide o únik citlivých firemných alebo osobných dát, alebo napríklad botnetové útoky, ktoré v minulosti využívali aj nechránené sieťové kamery. Preto máme bezpečnostné záväzky NIS2 u našich produktov už dlhšiu dobu zavedené – ide napríklad o správu a detekciu zraniteľností, testovanie a audit, dlhodobo konzistentnú podporu firmware, šifrovanie v koncových zariadeniach, viacfaktorové overovanie, bezpečnosť ako hlavné kritérium pri vývoji produktov a mnoho ďalších funkcionalít. Kroky Európskej únie k posilneniu ochrany kľúčových subjektov teda veľmi vítame, koncoví užívatelia tak budú mať zákonné vodítko pre výber spoľahlivých výrobcov. Navyše vo svetle posledného geopolitického vývoja sú tieto kroky úplne opodstatnené.

Prečítajte si:

Kontaktný Formulár

Ak máte akýkoľvek problém alebo otázku, kontaktujte nás. Urobíme všetko pre to, aby ste čo najrýchlejšie získali odpoveď.

odoslaním formulára súhlasíte so spracovaním poskytnutých osobných údajov