Co musíte jako firma podle NIS 2 splnit?
Zde je seznam základních 12-ti požadavků s komentářem toho, co v praxi znamenají
- zavést vnitřní směrnice, politiky a odpovědnosti lidí a vedení firmy
- znát svá aktiva, systémy a rizika s tím spojená
- zavést řízení rizik
- řídit přístup k informacím, zajistit bezpečnost a ochranu dat
- zajistit bezpečnost vaší sítě
- zavést šifrování
- řídit vaše IT: aplikace, software, hardware a další IT vybavení
- zvládat nakupované IT služby a jejich dodavatele
- omezit lidské chyby pomocí vzdělávání zaměstnanců
- chránit se proti útokům a umět reagovat útoky a incidenty
- umět zajistit obnovu provozu a vašich procesů v případě útoku nebo havárie
- zajistit trvalé fungování a zlepšování výše uvedeného
1. Zavést směrnice, politiky a odpovědnost lidí (Governance) znamená:
- mít základní směrnice kolem bezpečnosti, jako je například Bezpečnostní politika, politika hesel, přidělování oprávnění a další
- mít ve směrnicích zakotvené odpovědnosti managementu
- mít dokumentaci k prokázání shody s NIS2
- vést směrnice, pracovní postupy a politiku pro vaše zaměstnance (nejen) k bezpečnosti
- zavedení rolí a odpovědností za kybernetickou bezpečnost
- zavedení chybějících směrnic a postupů
2. Znát aktiva, systémy znamená:
- vedení dokumentace o vašich aktivech (vést katalog primárních a podpůrných aktiv) - o datech, informacích a IT vybavení a infrastruktuře
- vědět, která aktiva a data jsou pro firmu kritická z hlediska fungování
- vést přehled nakupovaných IT služeb a cloudových služeb
3. Zavést řízení rizik ve firmě znamená:
- mít popsaná rizika ve firmě v registru rizik podle požadavků zákona o kybernetické bezpečnosti
- mít zavedený systém řízení a hodnocení rizik
- ke každému riziku mít popsaný způsob, jak se s ním popasujete
4. Řízení přístupu k informacím znamená:
- řídit oprávnění a přístupy zaměstnanců v průběhu nástupu, zaměstnání i při odchodu
- při nástupu zaměstnance mít pod kontrolou komu a proč dáváte oprávnění, kdo zná jaká hesla, kdo má kam přístup ve firmě (klíče, vstupní karty)
- při odchodu zaměstnance odebírat jejich oprávnění
- vědět kdo má kam přístup a proč (kdo má jaký klíč nebo vstupní kartu)
- řídit přístupy na základě pracovního zařazení zaměstnanců (pracovní pozice)
5. Technická bezpečnost sítě znamená:
- zajistit bezpečnost sítě a související infrastruktury (segmentace sítě,
- mít zabezpečenou firemní síť proti útokům (mít firewall, bezpečnou bránu)
- zajištění bezpečných hesel, přihlašování uživatelů k síti, šifrování
- zajištění bezpečné politiky hesel přístupu do sítě
- zajištění detekce útoků
- zajištění vzdáleného přístupu (VPN)
- pořizovat a provozovat bezpečné technologie
6. Kryptografie a ochrana dat znamená:
- zavést základní ochranu dat, jako je zálohování nebo jiná opatření
- zavést ochranu (šifrování) dat při přenosu
- zavést ochranu / šifrování dat v klidu (ukládání na médiích)
- zavést bezpečnou správu klíčů
7. Řídit provoz IT znamená:
- pořizovat a provozovat bezpečné informační technologie
- provádět pravidelnou údržbu
- provádět pravidelné aktualizace
- zajistit monitoring proti kybernetickým hrozbám
- zavést detekci a vyhodnocování různých útoků, virů, malware a dalších kybernetických hrozeb (preventivní opatření)
- zajistit bezpečnou fyzickou infrastrukturu, na které je IT provozováno, mít prostory fyzicky zabezpečené (například klíče, kamerový systém)
8. Bezpečnost dodavatelů znamená:
- zvládat dodavatele IT služeb
- mít přehled kdo jsou vaši dodavatelé IT služeb, včetně cloudových služeb
- zajistit jejich prověření, mít ošetřené smlouvy
- mít přehled jaká data u nich máte uložena
- víte, že se k datům nedostane nikdo neoprávněný zvenku
- mít dokumentaci zabezpečení používaných aplikací a software
- vést informace o dodavatelích služeb, o přístupech dodavatelů
- vést informace o zabezpečení nakupovaných služeb
9. Lidský faktor znamená:
- omezit lidské chyby pomocí vzdělávání pracovníků v informační bezpečnosti
- mít vzdělávací plány zaměstnanců
- vědět, koho jste proškolili a v čem
- poučit a průběžně vzdělávat zaměstnance o základních typech kybernetických útoků
- poučit a průběžně vzdělávat zaměstnance o tom, s jak citlivými údaji pracují, co se může stát
- poučit a průběžně vzdělávat zaměstnance o práci s hesly, a dalšími přihlašovacími údaji
10. Incident management znamená:
- evidovat bezpečnostní incidenty, jako jsou útoky, ztráty dat, ztráty klíčů
- evidovat a řešit incidenty (vedením incidentů a reakce na ně)
- umět řešit následky těchto bezpečnostních incidentů
- umět rychle oznámit (musíte do 24 hodin) bezpečnostní incident, který má významný dopad na fungování organizace
- umět oznámit incident zákazníkům
11. Obnova a kontinuita znamená:
- umět řešit následky incidentů - zajistit kontinuitu provozu a obnovu po havárii
- vedení dokumentace o uložených zálohách, testovacích plánech a údržbě
- mít představu, kde máte zálohu s daty, jak je stará, koho zavolat a kdo může obnovu provést
- mít zpracované DRP
- umět obnovit provoz po havárii nebo útoku
12. Zajistit trvalé fungování a zlepšování výše uvedeného znamená
- pravidelně přehodnocovat situaci: aktiva, rizika, hrozby i opatření
- provádět pravidelnou údržbu dokumentace
- provádět pravidelné testování a audity skutečného stavu
- na základě výsledků auditů provádět změny a vylepšení procesů, IT vybavení a nebo směrnic
- řídit opatření v návaznosti na zjištění
- plánovat pravidelné testování, aktualizace a vedení údržby
Jak vám pomůžeme splnit povinnosti NIS2
Aptien pomůže vést kompletní dokumentaci pro prokázání shody s NIS2
- Aptien je integrovaný systém řízení rizik a shody
- v jednom prostředí vám umožní vést veškerou dokumentaci lépe než v excelu
- pomůže s řízením rizik,
- s kompletním vedením dokumentace shody, vedením informací o aktivech, incidentech i
- s řízením vašich opatření, která navazují na zjištění auditu, analýzy rizik nebo vyplývají z konkrétních incidentů.







