BLACK FRIDAY - Největší IT akce roku. Získej až 80 % kreditů navíc nebo využij slevy až 80 % na e-learning. Ale pozor, akce platí pouze do 30. 11. 2024.
NOVINKA: Staň se datovým analytikem od 0 Kč a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 29 - Technická a organizační opatření NIS2 Nové

Předchozí
Další

V minulé lekci, Analýza stavu a řízení rizik podle NIS2, jsme si ukázali, jak provést analýzu stavu organizace a jak postupovat při řízení rizik podle NIS2.

V tomto tutoriálu kyberbezpečnosti se podíváme podrobněji na technická a organizační opatření, která vyžaduje směrnice NIS2. Zaměříme se na to, jak mají být nastaveny, jak zapadají do celkového systému bezpečnosti a jak pomáhají chránit klíčové části provozu.

Technická opatření podle NIS2

Technická opatření tvoří nezbytný základ, který chrání infrastrukturu, data i uživatele. Mnohá z nich jsou dlouhodobě ověřenými postupy kybernetické bezpečnosti a jejich zavedení je důležité pro organizace všech velikostí. Směrnice NIS2 je nezařazuje jako izolované technologie, ale jako součást uceleného systému řízení bezpečnosti.

Ilustrační foto s motivem počítače a EU - Kybernetická bezpečnost a NIS2

Podívejme se na stručný přehled jednotlivých témat, seřazený od nejzákladnějších kroků, které zvládne i malá firma, až po opatření typická pro větší nebo kritičtější systémy:

  • Bezpečné nakládání s přístupovými údaji – Základem ochrany je řízení přístupů, tedy kvalitní správa hesel, vícefaktorové ověřování a jasně stanovené uživatelské role. Tím se minimalizuje riziko, že se do systémů dostane někdo neoprávněný.
  • Ochrana stanic, serverů a správa aktualizací – Koncová i serverová zařízení musí být bezpečně nakonfigurovaná, pravidelně aktualizovaná a chráněná před škodlivým kódem. Součástí je i sledování zranitelností a jejich včasné odstraňování. Jde o nejdostupnější a nejdůležitější vrstvu technické ochrany.
  • Šifrování dat a bezpečná komunikace – Citlivé informace mají být chráněny při přenosu i ukládání. Šifrování zabraňuje tomu, aby útočník využil data i v případě, že se k nim dostane.
  • Zálohování a obnova provozu – Pravidelné a ověřené zálohy jsou klíčové pro zvládnutí incidentů způsobených útoky, selháním systémů nebo lidskou chybou. Patří mezi zásadní prvky odolnosti.
  • Síťová segmentace a oddělení prostředí – Rozdělení infrastruktury na menší části omezuje šíření útoků a výrazně snižuje dopady incidentů. Je důležité zejména pro organizace s komplexnější sítí nebo větším počtem služeb.
  • Monitoring a logování – Pro včasné odhalení incidentů je nutné sledovat provoz, sbírat logy a mít nastavené alerty. Monitoring pomáhá rozpoznat problém dříve, než způsobí větší škody, a umožňuje zpětnou analýzu událostí.
  • Pokročilé detekční a ochranné mechanismy – Nástroje, jako je EDR, IDS/IPS nebo WAF, pomáhají hrozby aktivně detekovat a blokovat. Jsou typická pro prostředí, která vyžadují vyšší úroveň kontroly a odolnosti.

Tématu segmentace sítě se podrobně věnujeme v lekci Síťová segmentace jako základ bezpečné infrastruktury. Jak efektivně sledovat provoz a pracovat s logy, popisujeme v lekci Monitoring a log management v kyberbezpečnosti.

Technická opatření tvoří první vrstvu obrany a mají zásadní vliv na odolnost organizace. Aby byla bezpečnost skutečně funkční, musí na tuto technickou základnu navazovat i jasně nastavené organizační procesy, odpovědnosti a pravidla. Právě těm se budeme věnovat v následující části.

Organizační opatření podle NIS2

Technická opatření dokážou zabránit mnoha útokům, ale sama o sobě nestačí. Aby byla bezpečnost dlouhodobě účinná, musí mít organizace jasně nastavené procesy, odpovědnosti, pravidla a kontrolu. Právě tento rámec tvoří organizační opatření, která NIS2 považuje za stejně důležitá jako technologie.

Směrnice zdůrazňuje, že bezpečnost není výhradně úkol IT oddělení, ale součást řízení celé organizace. Cílem organizačních opatření je zajistit, aby technologie fungovaly podle domluvených pravidel, zaměstnanci věděli, jak se chovat v běžném i rizikovém prostředí, a vedení mělo přehled o tom, jak jsou bezpečnostní povinnosti plněny.

Podívejme se proto podrobněji na oblasti, které tvoří základ stabilní a řízené kybernetické bezpečnosti v prostředí NIS2.

Role, odpovědnosti a školení zaměstnanců

Aby byla bezpečnost v organizaci dlouhodobě udržitelná, musí být jasně určeno, kdo za co odpovídá a jaké má mít kompetence a znalosti. NIS2 zdůrazňuje, že kybernetická bezpečnost není jen technická disciplína — je to řízený proces, který vyžaduje přehledné rozdělení rolí a průběžné vzdělávání všech, kdo se na něm podílejí. Každá organizace by tedy měla mít popsáno, kdo se stará o klíčové oblasti bezpečnosti.

V menších firmách může několik těchto úkolů plnit jedna osoba, ve větších organizacích je vhodné role rozdělit. Důležité je, aby všichni věděli, na koho se obrátit, a aby vedení mělo přehled o tom, jak jsou povinnosti plněny.

Samotné určení rolí nestačí – lidé musí také rozumět tomu, jak svou roli vykonávat bezpečně. NIS2 požaduje pravidelné školení všech zaměstnanců, a to v rozsahu odpovídajícím jejich práci.

Školení zaměstnanců – ilustrační foto - Kybernetická bezpečnost a NIS2

Školení by mělo zahrnovat například:

  • bezpečnou práci s daty a zařízeními,
  • rozpoznání podezřelých e-mailů a útoků sociálního inženýrství,
  • správné postupy při nakládání s přístupovými údaji,
  • povinnosti, které vyplývají z interních pravidel,
  • a především to, jak a komu incidenty hlásit.

Vedoucí zaměstnanci a osoby s rozšířenými pravomocemi navíc potřebují hlubší znalosti, protože rozhodují o změnách v prostředí nebo řeší dopady incidentů.

Bezpečnost dodavatelů a externích služeb

Směrnice NIS2 klade důraz na to, aby byla chráněna nejen vlastní infrastruktura organizace, ale také služby zajišťované dodavateli. Praktická příprava proto zahrnuje základní přehled o tom, kteří dodavatelé jsou pro provoz klíčoví a jaký dopad může mít jejich selhání na bezpečnost.

Součástí tohoto přístupu je posouzení, zda externí služby – například cloud, hosting nebo IT podpora – splňují potřebnou úroveň zabezpečení. Pokud mají vliv na provoz významných systémů, je vhodné stanovit jasné požadavky ve smlouvách a počítat s jejich pravidelným prověřováním.

Dokumentace

Dokumentace tvoří důležitou součást řízení bezpečnosti. Nejde jen o formální povinnost, ale o nástroj, který pomáhá udržovat přehled o tom, jak jsou systémy chráněny a jak se jednotlivé postupy vyvíjejí.

Do této oblasti patří především bezpečnostní politika, která popisuje celkový přístup organizace k ochraně informací, dále již zmíněný plán řízení rizik a jeho průběžné aktualizace a také plán reakce na incidenty.

Součástí dokumentace jsou i záznamy o školeních a přehled testů, auditů a kontrol, které ukazují, zda opatření fungují v praxi.

Dokumenty nemají být zbytečně obsáhlé – důležité je, aby byly srozumitelné, aktuální a odpovídaly velikosti a potřebám organizace.

Pravidelné kontroly a testování

Bezpečnostní opatření mají smysl jen tehdy, pokud se pravidelně ověřuje, že skutečně fungují. Infrastruktura, technologie i hrozby se neustále mění, a proto je průběžné prověřování jedním z klíčových prvků celého systému řízení kybernetické bezpečnosti. Díky kontrolám lze odhalit slabiny, které by se jinak projevily až při incidentu.

Do této průběžné péče patří především testy zranitelností a penetrační testy, které ukazují, jak snadno by mohl útočník překonat ochranná opatření. K ověření připravenosti slouží i simulace incidentů, například modelové výpadky služeb nebo ztráta zařízení, které pomáhají prověřit reakci technických týmů.

Systém musí být pravidelně vyhodnocován, a proto se v určitých intervalech aktualizují plány řízení rizik i plány reakce na incidenty. Jakmile se objeví nové hrozby nebo dojde k významné změně v infrastruktuře, je nutné tomu přizpůsobit také přijatá opatření.

Celý proces ukazuje, že bezpečnost není jednorázový úkol, ale součást dlouhodobé a průběžné péče o stabilní a bezpečný provoz organizace.

Hlášení incidentů

Součástí požadavků NIS2 je také povinnost oznamovat závažné bezpečnostní incidenty příslušným orgánům. Aby organizace dokázala tuto povinnost splnit, musí vědět, jak incident rozpoznat, kdo jej vyhodnocuje a kdo rozhoduje o tom, zda má být hlášen.

V této fázi NIS2 klade důraz především na připravenost: organizace má mít určené odpovědné osoby, základní postup pro shromáždění potřebných informací a vnitřní mechanismus, kterým mohou zaměstnanci podezřelé události nahlásit.

Podrobné postupy hlášení, lhůty a komunikace s úřady se řeší v samostatné lekci, kde se této oblasti budeme věnovat více do hloubky.

Shrnutí

Směrnice NIS2 přináší nový standard kybernetické bezpečnosti, který bude mít zásadní dopad na firmy a instituce v celé Evropské unii. Zásadní změnou je nejen rozšíření okruhu povinných subjektů, ale také vyšší požadavky na zabezpečení, dokumentaci a odpovědnost. Pokud chceme být připraveni, musíme se na NIS2 dívat jako na příležitost zlepšit bezpečnostní kulturu organizace a chránit se před reálnými hrozbami.

Požadavky směrnice NIS2 nejsou jen o dodržování zákona, ale především o budování odolného a bezpečného digitálního prostředí. Každý IT specialista i každý zaměstnanec v organizaci k tomu může přispět. A čím dříve začneme, tím lépe budeme připraveni.

V následujícím kvízu, Kvíz - Kybernetická bezpečnost, si vyzkoušíme nabyté zkušenosti z kurzu.


 

Předchozí článek
Analýza stavu a řízení rizik podle NIS2
Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Kvíz - Kybernetická bezpečnost
Článek pro vás napsal Max Snítil
Avatar
Uživatelské hodnocení:
Ještě nikdo nehodnotil, buď první!
.
Aktivity