Směrnice o bezpečnosti sítí a informačních systémů (NIS2) je nová směrnice Evropské unie o kybernetické bezpečnosti. Vychází z NIS1 (schválen v roce 2016) a vytváří standard pro kyberbezpečnostní opatření, aby byly sítě a informační systémy evropských společností chráněny před kybernetickými hrozbami.
Evropské předpisy o kybernetické bezpečnosti
NIS2 bezpochyby představuje důležitý krok vpřed v konfiguraci podnikové kybernetické bezpečnosti, ale je stále nutné, aby organizace rozuměly tomu, jak dodržovat předpisy a být schopny těžit z jejich výsledků. Zejména proto, že soulad s direktivou zahrnuje mnohem více než pouhé získávání nových technologií: je nutné vybudovat bezpečnostní kulturu, která přesahuje oddělení CISO a ovlivní celou organizaci. Aniž bychom zacházeli dále, právě teď najdeme mnoho společností, které mají potíže v:
• Rychle zjistit: Průměrná doba přístupu zločince (tj. doba, kterou protivníkovi trvá, než se z původně kompromitovaného přístupu přesune do strany) se v roce 2023 snížila na 62 minut, podle nejnovější zprávy o globálních hrozbách CrowdStrike. To znamená, že organizace potřebují vědět, jak detekovat a zastavit hrozby dříve, než se stanou plnohodnotnými incidenty.
• Pochopení cloudu: Cloud je novým bojištěm mezi těmi, kdo chrání tuto infrastrukturu, a protivníky. Podle zprávy o globálních hrozbách společnosti CrowdStrike vzrostl počet narušení cloudu v roce 2023 o 75 % a počet kybernetických útoků souvisejících s cloudem vzrostl o 110 %. S rostoucím přijetím cloudu musí organizace rozumět a zabezpečit svá cloudová prostředí.
Směrnice o bezpečnosti sítí a informačních systémů (NIS2) je nová směrnice Evropské unie o kybernetické bezpečnosti
• Integrovaní a starší analytici– Organizace musí držet krok se stále sofistikovanějším prostředím hrozeb. Vzhledem k současnému nedostatku dovedností souvisejících se zabezpečením a rychle rostoucím plochám útoků je důležité, aby společnosti zvolily správné bezpečnostní nástroje a služby, aby analytiky dokázaly rychle detekovat, identifikovat a napravit hrozby.
• Správa heterogenních bezpečnostních nástrojů– Jak se objevují nové bezpečnostní hrozby a výzvy, mnoho organizací přijímá specifické produkty, které je řeší. Tím vytvářejí další složitost ve svém prostředí, nové problémy při správě mnoha nástrojů a mezery v jejich obraně, které mohou protivníci využít.
Navzdory výše uvedeným výzvám je cílem nařízení NIS2 posílit schopnosti organizací působících v EU a plnících zásadní funkce pro společnost a ekonomiku. Ve skutečnosti si NIS2 klade za cíl snížit nesrovnalosti při řešení kybernetických bezpečnostních hrozeb, zvýšit povědomí o kybernetické bezpečnosti a zlepšit schopnost organizací reagovat na incidenty.
Členské státy EU mají do 17. října 2024 transponovat nařízení NIS2 do své národní legislativy. Vedoucí pracovníci v organizacích klasifikovaných jako základní infrastruktura mají proto odpovědnost za aktualizaci postupů své společnosti v oblasti kybernetické bezpečnosti. Náklady na nedodržení mohou být pokuty, poškození pověsti a ztráta zákazníků.
Kromě technologie: NIS2 ovlivňuje lidi a procesy
V každém případě je také důležité pochopit, že NIS2 neznamená pouze mít nezbytnou technologii pro konfrontaci s kybernetickými útoky. Jde také o společnosti, které mají osvědčené postupy a celkovou kulturu, ve které každý jednotlivec bere kybernetickou bezpečnost vážně.
Jedním ze způsobů, jak mohou obchodní vedoucí zapojit svou organizaci do své cesty kybernetické bezpečnosti, je proto pamatovat na to, že každý požadavek NIS2 spadá do tří kategorií: lidé, procesy a technologie.
· Lidé: Lidé ve společnosti patří mezi nejdůležitější faktory při budování silné kultury kybernetické bezpečnosti. Ať už pracujete na školení zaměstnanců o osvědčených postupech nebo najímáte externí odborníky, aby poskytovali služby řízené detekce a reakce, je potřeba uznat, že je zapotřebí kulturní adaptace založená na ochraně.
Nabídka školení v oblasti kybernetické bezpečnosti profesionálům od chvíle, kdy vstoupí do organizace, proto zajišťuje, že kybernetická bezpečnost je pro ně vždy prioritou, ačkoli zaměstnanci nejsou jediní, kdo může ovlivnit bezpečnostní pozici organizace. Tyto pozice musí organizace vyžadovat i od svých partnerů.
· Technika: Je nutné zajistit, aby společnost měla vhodnou technologii k obraně proti jakékoli hrozbě. Technologická infrastruktura se často stává složitější, protože organizace rozšiřují své systémy a získávají nová řešení. Tato technologická expanze vytváří nová rizika, protože existuje více prvků, které je třeba sledovat a chránit. Výběr konsolidované bezpečnostní platformy, která nabízí integrované funkce, pomáhá pokrýt tato slepá místa a zefektivňuje kybernetickou obranu.
· Proces: Procesy kybernetické bezpečnosti se musí neustále vyvíjet, aby si udržely náskok před protivníky. To znamená, že vedoucí pracovníci a CISO potřebují důkladné pochopení svých procesů kybernetické bezpečnosti, aby pomohli celé organizaci řešit neustále se měnící prostředí hrozeb.
Přestože soulad s novým nařízením může být náročný, společnosti, které upřednostňují kybernetickou bezpečnost a dodržují směrnici NIS2, budou nyní mnohem lépe připraveny bránit se současným a vznikajícím bezpečnostním hrozbám a urychlit tamní růst v průběhu příštího roku.
Autor: Christoph Bausewein, člen General Data Protection Policy Council of CrowdStrike
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
