Jak splnit požadavky NIS2

Co musíte jako firma podle NIS 2 splnit

1. zavést vnitřní směrnice, politiky a odpovědnosti lidí a vedení firmy
2. znát svá aktiva, systémy a rizika s tím spojená
3. zavést řízení rizik
4. řídit přístup k informacím, zajistit bezpečnost a ochranu dat
5. zajistit bezpečnost vaší sítě
6. zavést šifrování
7. řídit vaše IT: aplikace, software, hardware a další IT vybavení
8. zvládat nakupované IT služby a jejich dodavatele
9. omezit lidské chyby pomocí vzdělávání zaměstnanců
10. chránit se proti útokům a umět reagovat útoky a incidenty 
11. umět zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
12. zajistit trvalé fungování a zlepšování výše uvedeného

1. Zavést směrnice, politiky a odpovědnost lidí znamená

• mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění  a další
  
• mít dokumentaci k prokázání shody s NIS2
• vést směrnice, pracovní postupy a politiku pro vaše zaměstnance (nejen) k bezpečnosti

2. Znát aktiva, systémy znamená:

• vedení dokumentace o vašich aktivech - datech, informacích a IT vybavení
• vědět, která data jsou pro firmu kritická z hlediska fungování
• mít popsaná rizika ve firmě
• vědět, co všechno dalšího vám musí fungovat 
• zavést pravidelné hodnocení rizik
• ke každému riziku mít popsaný způsob, jak se s ním popasujete
• vést informace o vašich podpůrných aktivech, IT vybavení a infrastruktuře
• vést přehled nakupovaných IT služeb a jejich dodavatelů
• vedení dokumentace o uložených zálohách, testovacích plánech a údržbě 

3. Zavést řízení rizik ve firmě znamená:

• vedení registru rizik podle požadavků zákona o kybernetické bezpečnosti
• vedením přehledu primárních i podpůrných aktiv a jejich souvislostí
• zavedení rolí a odpovědností za kybernetickou bezpečnost 
• zavedení chybějících směrnic a postupů

4. Řízení přístupu k informacím znamená:

• vědět kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu) 
• řídit oprávnění a přístupy zaměstnanců
• digitální předávání klíčů a karet zaměstnancům pomocí jednoduché aplikace
• vedení dokumentace vašich procesů kolem řízení bezpečnosti informací
• při nástupu zaměstnance mít pod kontrolou komu a proč dávám oprávnění, kdo zná jaká hesla, kdo má kam přístup ve firmě (klíče, vstupní karty)
• při odchodu zaměstnance odebírat jejich oprávnění 

5. Technická bezpečnost: znamená

• zajistit bezpečnost software, hardware a IT infrastruktury
• zavést ochranu dat, jako je zálohování, šifrování nebo jiná opatření
• mít pod kontrolou, kdo má přístup k datům a informacím na úrovni stprávců
• zabezpečit své informační systémy, aplikace, software
• mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
• pořizovat a provozovat bezpečné technologie 

6. Kryptografie znamená:

• Kryptografie a správa klíčů (Šifrování dat v klidu a při přenosu 

7. Řídit provoz IT znamená:

• pořizovat a provozovat bezpečné technologie 
• provádět pravidelnou údržbu
• provádět pravidelné aktualizace
• zajistit monitoring proti kybernetickým hrozbám 
• nesdílet heslo k wifi
• zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb (preventivní opatření)
• zajistit bezpečnou fyzickou infrastrukturu, 
• mít prostory fyzicky zabezpečené (například klíče, kamerový systém)
• pokud máte serverovnu, vědět, kdo do ní má přístup

8. Bezpečnost dodavatelů znamená:

• zvládat dodavatele IT služeb
• mít přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
• zajistit jejich prověření, mít ošetřené smlouvy 
• mít přehled jaká data u nich máte uložena
  
• víte, že se k datům nedostane nikdo neoprávněný zvenku
• mít dokumentaci zabezpečení používaných aplikací a software
• vést informace o dodavatelích služeb, o přístupech dodavatelů
• vést informace o zabezpečení nakupovaných služeb

9. Lidský faktor znamená

• omezit lidské chyby pomocí vzdělávání pracovníků v informační bezpečnosti
• mít vzdělávací plány zaměstnanců
• vědět, koho jste proškolili a v čem
• digitálně seznamovat vaše zaměstnance se směrnicemi a další dokumentací
• poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
  
• poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
• poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji

10. Incident management znamená:

• evidovat bezpečnostní incidenty, jako jsou útoky, ztráty dat, ztráty klíčů 
• evidovat a řešit incidenty (vedením incidentů a reakce na ně)
• umět řešit následky těchto bezpečnostních incidentů 
• umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
• umět oznámit incident zákazníkům

11. Obnova a kontinuita znamená:

• Zajistit kontinuitu provozu a obnovu po havárii 
• mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
• mít zpracované DRP
• umět obnovit provoz po havárii nebo útoku

• pravidelně přehodnocovat situaci  - rizika, hrozby i opatření
• provádět pravidelnou údržbu IT vybavení
• provádět pravidelné testování a audity skutečného stavu
• na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
• řídit opatření v návaznosti na zjištění
• plánovat pravidelné testování, aktualizace a vedení údržby

Jak vám pomůžeme splnit povinnosti NIS2

• Aptien vám na jednom místě usnadní splnění velké části vašich povinností.
• Pomůže s řízením rizik, s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů. 
• Aptien, jako integrovaný systém řízení rizik a shody vám v jednom prostředí.

Směrnice NIS 2 ke stažení

• Směrnice EU 2016/1148 NIS 2 v PDF