NIS2 READY
S nadobúdaním účinnosti smernice NIS2 sa mnohé organizácie snažia čo najrýchlejšie splniť nové požiadavky v oblasti kybernetickej bezpečnosti. Rýchlosť bez jasného pochopenia môže viesť k chybám, ktoré môžu byť nákladné. Tu je desať najčastejších úskalí, s ktorými sa pri implementácii smernice NIS2 stretávame, a tiež rady, ako sa im vyhnúť.
1. Neoverujete si, či sa na vašu organizáciu vzťahuje smernica NIS2
Najčastejšou chybou je jednoducho nevedomosť o tom, že sa na vás smernica NIS2 vzťahuje. Mnohé organizácie predpokladajú: „To platí pre nemocnice, banky alebo dodávateľov energie, nie pre nás.“ To však nie je pravda. Smernica NIS2 sa vzťahuje aj na odvetvia, ako sú doprava, dodávky vody, IT služby, cloudové služby, telekomunikácie, poštové služby, výskum a výroba kritických komponentov.
Ak ste stredná alebo veľká spoločnosť (50 a viac zamestnancov alebo obrat nad 10 miliónov eur) a pôsobíte v jednej z týchto oblastí, s najväčšou pravdepodobnosťou spadáte do pôsobnosti NIS2 (a jej vnútroštátnej implementácie podľa zákona o kybernetickej bezpečnosti).
Dokonca aj menšie organizácie mimo týchto sektorov môžu byť nepriamo ovplyvnené smernicou NIS2 – napríklad ako dodávatelia alebo partneri organizácií, na ktoré sa už vzťahuje zákon o kybernetickej bezpečnosti (napr. poskytovateľ IT služieb pre nemocnicu alebo výrobca dodávajúci pre energetickú spoločnosť).
Čo robiť?
Skontrolujte si svoj status na webovej stránke Národného bezpečnostného úradu (NBÚ), aby ste zistili, či sa musíte zaregistrovať ako základný alebo dôležitý subjekt. Nečakajte na oficiálny list – je to vašou povinnosťou si to zistiť.
2. Predstava, že NIS2 je len IT problém
Mnohé organizácie vnímajú NIS2 ako čisto technickú záležitosť – aktualizácie, firewally, antivírusové nástroje. V skutočnosti ide o manažérsku a organizačnú záležitosť. Zodpovednosť za kyberbezpečnosť leží na vedení spoločnosti, nielen na IT tíme.
Podľa NIS2 už riadenie kybernetickej bezpečnosti nie je voliteľné, ale je to zákonná povinnosť. NIS2 dokonca zavádza osobnú zodpovednosť vedenia. Ak organizácia zanedbá svoje povinnosti, NBÚ môže sankcionovať vrcholových manažérov.
Čo robiť?
Určite osobu alebo tím zodpovedný za kybernetickú bezpečnosť (napríklad CISO – Chief Information Security Officer).
Zabezpečte jasný rozpočet, právomoci a pravidelné podávanie správ vedeniu. Vedenie sa musí naďalej angažovať – bezpečnosť nemožno jednoducho „outsourcovať“.
3. Nedostatočné monitorovanie diania vo vašich systémoch
Mnohé organizácie nemajú prehľad o tom, čo sa deje v ich sieťach. Zhromažďujú protokoly, ale nikto ich nepreveruje. V dôsledku toho sa incidenty odhalia až o niekoľko dní neskôr – keď je už neskoro.
Čo robiť?
Zavádzajte vhodné monitorovacie nástroje a poverte niekoho ich pravidelnou kontrolou. Zameriavajte sa na to najdôležitejšie – účty správcov, prístup k citlivým údajom, kritické systémy a všetko, čo je pripojené k internetu.
Prehľad = ochrana.
4. Podceňovanie komunikácie s vedením organizácie
Aj tá najlepšia bezpečnostná stratégia zlyhá, ak jej vedenie nerozumie. Ak vedenie nepozná riziká, nebude na ne vyčleňovať čas, peniaze ani ľudí. Podľa smernice NIS2 je však vedenie osobne zodpovedné.
Čo robiť?
Hovorte jazykom biznisu, nie technológií. Vysvetlite, ako by riziká mohli ovplyvniť prevádzku, reputáciu alebo súlad s predpismi.
Organizujte krátke pravidelné brífingy a zapojte vedenie do simulovaných útokov – rýchlo uvidia, ako rýchlo sa situácia môže vyhrotiť.
5. Nesprávne chápanie riadenia rizík
Niektoré organizácie považujú riadenie rizík za formálnu záležitosť – zoznam, ktorý sa napíše raz a nikdy sa nepreveruje. Iné to preháňajú so zložitými registrami plnými žargónu, ktorý nikto nepoužíva. Ani jeden prístup nefunguje.
Čo robiť?
Začnite jednoducho: spíšte svoje kľúčové systémy a obchodné procesy, potom sa opýtajte: Čo sa stane, ak zlyhajú? Čo by to mohlo spôsobiť? Ako tomu môžeme predísť alebo sa rýchlo zotaviť?
Používajte jasný, jednoduchý jazyk. Zapojte zamestnancov mimo IT oddelenia. Každé identifikované riziko by malo viesť k reálnemu a praktickému opatreniu, nielen k farebnému vyhodnoteniu.
6. Vytváranie bezpečnostných smerníc, ktoré nikto nečíta
Mnohé organizácie si stiahnu šablóny, pridajú svoje logo a nazvú to „bezpečnostnou smernicou“. Ak ju však nikto nepozná, nečíta ani nedodržiava, je bezcenná.
Čo robiť?
Zamerajte sa na podstatné veci:
- ako sa udeľujú prístupy používateľom,
- ako sa riešia aktualizácie,
- ako sa hlásia incidenty,
- ako sa chránia údaje.
Prispôsobte úroveň detailov pre rôzne role (zamestnanci vs. správcovia) a udržiavajte zásady aktuálne.
7. Ignorovanie rizík tretích strán
Kybernetické útoky sa často šíria prostredníctvom dodávateľov – softvéru, služieb alebo cloudových platforiem. Ak váš partner nie je zabezpečený, stále nesiete zodpovednosť. NIS2 výslovne vyžaduje, aby organizácie riadili riziká tretích strán a dodávateľského reťazca.
Nezabudnite posúdiť svoju vlastnú zraniteľnosť voči dodávateľom – najmä prostredníctvom aktualizácií softvéru, spravovaných IT služieb a cloudových integrácií. Jeden slabý článok môže ohroziť celú vašu sieť.
Čo robiť?
Spíšte všetkých dodávateľov a poskytovateľov služieb, ktorí majú prístup k vašim systémom alebo údajom. Pýtajte sa na ich bezpečnostné postupy, certifikácie a procesy riešenia incidentov. Do zmlúv zahrňte aj kyberbezpečnostné požiadavky, napríklad požiadavky podľa ISO 27001 alebo lehoty na oznamovanie incidentov.
8. Chýbajúci plán pre prípad, že sa niečo pokazí
Mnohé organizácie dúfajú, že sa nikdy nestretnú s kybernetickým incidentom. V dnešnom svete však nejde o to, či sa to stane, ale kedy. Bez plánu nastane chaos, zmätok, omeškania, nedodržanie termínov na hlásenie.
Čo robiť?
Vytvorte jasný plán reakcie na incidenty, ktorý definuje, kto čo robí, ako komunikovať a kedy hlásiť NBÚ (do 24 hodín). Plán pravidelne testujte – aspoň raz ročne pomocou jednoduchého simulovaného cvičenia.
9. Zanedbávanie školenia zamestnancov (alebo jeho jednorazové uskutočnenie)
Najslabším článkom v kyberbezpečnosti nie je technológia – sú to ľudia. Väčšina incidentov začína jedným neopatrným kliknutím na phishingový e-mail.
Čo robiť?
Organizujte pravidelné, praktické školenia zamerané na zvyšovanie bezpečnostného povedomia pre všetkých, nielen pre IT pracovníkov. Využívajte krátke školenia s príkladmi z praxe (falošné e-maily, podozrivé odkazy). Povzbudzujte zamestnancov, aby bez obáv hlásili podozrivú činnosť.
Sledujte mieru účasti a mieru dokončenia školení – audítori môžu požadovať dôkaz, že vaši zamestnanci absolvovali školenie a pochopili jeho obsah.
10. Napísali sme dokumenty. A tým to končí.
Kyberbezpečnosť nie je jednorazový projekt. Technológie, hrozby a vaše podnikanie sa menia. Aj vaše obranné mechanizmy sa musia vyvíjať.
Čo robiť?
Prehodnoťte svoje hodnotenia rizík, politiky a plány pre prípad incidentov aspoň raz ročne alebo po významných zmenách v systémoch.
Vykonávajte testy, simulácie phishingu alebo stolové cvičenia. Chyby a takmer incidenty považujte za príležitosti na zlepšenie.
Záverečná myšlienka: NIS2 nie je hrozba – je to príležitosť
NIS2 nie je niečo, čoho by ste sa mali báť. Je to rámec, ktorý vašu firmu urobí bezpečnejšou, dôveryhodnejšou a odolnejšou.
Tí, ktorí sa pripravia včas, získajú viac než len súlad s predpismi – získajú dôveru, spoľahlivosť a konkurenčnú silu.
Ako vám pomôže Tazilla
Tazilla vás krok za krokom prevedie procesom dosiahnutia súladu s NIS2 – od zistenia, či sa na vás smernica vzťahuje, cez posúdenie rizík, vytvorenie politík, školenie zamestnancov až po plánovanie reakcie na incidenty.
Všetko na jednej platforme, vytvorenej tak, aby bola kybernetická bezpečnosť jednoduchá a praktická.