NÚKIB a NIS2
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) usiluje o rozšíření svých pravomocí v rámci nové směrnice NIS2. Nová legislativa by umožnila NÚKIB nařizovat mlčenlivost o kybernetických incidentech, čímž by mohli regulovat nejen povinnost hlásit incidenty, ale také zakázat jejich zveřejňování v zájmu národní bezpečnosti. Toto opatření je zaměřeno na ochranu citlivých informací a prevenci poškození pověsti postižených subjektů.
Snaha regulovat tok informací o provedených útocích, kdy něketeré z nich jsou nedej bože úspěšné je zřejmě správná věc. Má to dvě roviny. První je motivace dalších potenciálních útočníků. Že se jejich snaha může podařit. A druhá rovina je ukvapený nesystémový postup jiných potenciálních cílů, kdy mohou udělat krok, který povede naopak naproti útočníkovi.
bezpečnostní specialista TITIOSměrnice NIS2 představuje významný krok ve zpřísnění pravidel kybernetické bezpečnosti. Záměrem NÚKIB je zabránit tomu, aby zveřejňování informací o incidentech neohrozilo uživatele a nezpůsobilo další škody. Regulace mlčenlivosti má předejít šíření paniky a zajistit, aby byly incidenty řešeny efektivně a diskrétně. Tento přístup by měl zvýšit důvěru veřejnosti v digitální služby a infrastrukturu.
Implementace nové pravomoci přináší také výzvy, zejména v oblasti transparentnosti a rovnováhy mezi bezpečností a informovaností veřejnosti. NÚKIB bude muset pečlivě zvážit, kdy a jak použít tuto pravomoc, aby neomezil právo veřejnosti na informace více, než je nezbytně nutné. Tento krok je součástí širšího úsilí Evropské unie o posílení kybernetické odolnosti členských států a ochranu kritické infrastruktury před rostoucími hrozbami v digitálním prostředí.
NIS2 zpřísňuje, lhůty se počítají na hodiny
Směrnice NIS2 přináší přísnější pravidla pro oznamování významných incidentů. Nová právní úprava zavádí vícefázový přístup, který má zajistit rovnováhu mezi rychlým a podrobným oznamováním incidentů. Podle recitálu (101) má rychlé oznamování pomoci snížit šíření incidentů a umožnit regulovaným subjektům žádat o podporu. Na druhé straně podrobné oznamování umožňuje čerpat poučení a zvyšovat kybernetickou odolnost.
Několik ministerstev kritizovalo návrh, protože při incidentu v pátek odpoledne může být obtížné sehnat odpovědné úředníky, kteří by situaci mohli okamžitě reportovat.
IT ministerstvaPod směrnicí NIS2 budou spadat mnohem více subjektů než dříve, včetně všech středních a velkých podniků působících ve vybraných sektorech jako jsou energetika, doprava, zdravotní péče, digitální infrastruktura, veřejná správa a mnoho dalších. To znamená, že řada firem, které dříve nebyly považovány za provozovatele základních služeb nebo neposkytovaly důležité digitální služby a tedy nespadaly pod původní směrnici NIS, nyní bude muset splnit nové požadavky na bezpečnostní opatření a hlášení incidentů.
Incidenty, které musí být oznamovány, jsou ty, které by mohly způsobit závažné provozní narušení služeb, finanční ztrátu nebo značnou hmotnou či nehmotnou újmu. Závažnost se hodnotí podle dopadu na fungování služby, délky trvání incidentu a počtu dotčených příjemců služeb. Pokud je incident vyhodnocen jako významný, musí být bez zbytečného odkladu, nejpozději do 24 hodin, podáno varování. Následně musí být incident oznámen do 72 hodin, a to i během víkendů a svátků.
Návrh kybernetického zákona od NÚKIB ponechává lhůty (v § 17), ale zmírňuje oznamovací povinnost. Z povinně hlášených incidentů vyškrtává ty, u kterých lze do 24 hodin vyloučit úmyslné zavinění. Takže incidenty způsobené neúmyslnou chybou, například zaměstnancem, nebudou podléhat povinnému hlášení.
NIS2 (Network and Information Security) se blíží
S blížícím se datem účinnosti nové směrnice EU o kybernetické bezpečnosti, známé jako NIS2, se firmy a organizace po celé Evropě musí připravit na nové požadavky a standardy, které tato směrnice přináší. NIS2, jakožto revize původní směrnice NIS (Network and Information Systems), má za cíl posílit kybernetickou odolnost klíčových sektorů a digitálních služeb tím, že rozšiřuje rozsah původní směrnice a zavádí přísnější regulační požadavky.
Paradoxně NIS2 pomůže mnoha firem s bezpečností a s problémem zálohování svých dat.
Daniel Vičan, TITIOPod směrnicí NIS2 budou spadat mnohem více subjektů než dříve, včetně všech středních a velkých podniků působících ve vybraných sektorech jako jsou energetika, doprava, zdravotní péče, digitální infrastruktura, veřejná správa a mnoho dalších. To znamená, že řada firem, které dříve nebyly považovány za provozovatele základních služeb nebo neposkytovaly důležité digitální služby a tedy nespadaly pod původní směrnici NIS, nyní bude muset splnit nové požadavky na bezpečnostní opatření a hlášení incidentů.
Klíčové požadavky:
1. Rozšířené povinnosti pro řízení rizik a hlášení incidentů: Organizace budou muset mít na místě pokročilé strategie pro řízení rizik a pro hlášení bezpečnostních incidentů včas a účinně.
2. Posílení bezpečnostních politik: Firmy budou muset přijmout přísnější bezpečnostní politiky, včetně zlepšení fyzické a IT bezpečnosti, zavedení pravidel pro šifrování dat a zajištění ochrany osobních údajů.
3. Důraz na školení a vzdělávání: Směrnice klade velký důraz na pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti, aby byli lépe připraveni rozpoznat a reagovat na bezpečnostní hrozby.
Pokuty za nedodržení nových pravidel mohou být značné, a to až do výše 10 milionů EUR nebo 2% celosvětového obratu podniku. Kromě finančních sankcí mohou firmy čelit i reputační škodě, která může mít dlouhodobý negativní dopad na jejich podnikání.
Implementace NIS2 představuje významný krok směrem k bezpečnějšímu a odolnějšímu digitálnímu prostředí v EU. Pro firmy to znamená potřebu pečlivé přípravy a investic do zlepšení svých kybernetických obranných mechanismů a procesů. S blížícím se datem účinnosti je nyní klíčový čas pro všechny dotčené organizace, aby se ujistily, že jsou plně připraveny splnit nové požadavky a vyhnout se potenciálním sankcím.
Příběh o zničené reputaci
V digitálním věku, kdy se kybernetická bezpečnost stává stejně důležitou jako fyzická ochrana majetku, příběh jedné kartonážní společnosti slouží jako drsné připomenutí toho, co se může stát, pokud firmy podcení tuto důležitou oblast. Tato firma, která byla považována za jednoho z předních výrobců kartonových obalů v regionu, se stala obětí devastujícího kybernetického útoku, který měl dalekosáhlé následky nejen pro její provoz, ale i pro její celkovou reputaci.
Vše začalo, když hackeři prostřednictvím sofistikovaného ransomware útoku paralyzovali celý IT systém společnosti. Tento malware šifroval všechna data, včetně výrobních plánů, zákaznických databází a finančních záznamů, čímž efektivně zastavil všechny operace. Firma, která nepovažovala kybernetickou bezpečnost za prioritu, neměla adekvátně nastavené zálohovací procedury, což znamenalo, že její data nebyla jen dočasně nedostupná – byla ztracena navždy.
Bez možnosti obnovit svá data se společnost ocitla v kritické situaci. Výroba stála, objednávky se hromadily a zákazníci začali obracet svou důvěru jinam. V době, kdy trh vyžaduje rychlou reakci a flexibilitu, neschopnost firmy reagovat na požadavky zákazníků vedla k rychlému úpadku jejího postavení na trhu.
Katastrofální ztráta dat a následný kolaps výrobních operací měly za následek nejen finanční ztráty, ale také zásadní poškození reputace společnosti. Zprávy o útoku a následném chaosu se rychle šířily průmyslem, což vyvolalo otázky týkající se profesionalismu a spolehlivosti firmy. Zákazníci, kteří již dříve spoléhali na kvalitu a dodržování termínů, nyní viděli firmu jako nespolehlivého partnera.
Nikdy bych nečekal, jak může takhle nenápadná věc ovlinit moje podnikání.
majitel firmy
Příběh této kartonážní společnosti slouží jako varování pro všechny podniky, které dosud nevěnovaly dostatečnou pozornost kybernetické bezpečnosti a zálohování dat. Kybernetické hrozby jsou stále sofistikovanější a destruktivnější, a proto je nezbytné, aby firmy investovaly do robustních bezpečnostních opatření, včetně pravidelného zálohování dat, aby se ochránily před podobnými katastrofami.
Manažer pro kybernetickou bezpečnost
S přijetím nové směrnice EU o kybernetické bezpečnosti, známé jako NIS2, se zavádí řada nových regulací a povinností, které mají za cíl zvýšit odolnost a bezpečnost klíčových sektorů a digitálních služeb v celé Evropské unii. Jednou z klíčových novinek, kterou tato směrnice přináší, je povinnost jmenování manažera pro kybernetickou bezpečnost v organizacích spadajících pod její působnost.
Manažer pro kybernetickou bezpečnost bude hrát zásadní roli v zabezpečení organizace proti kybernetickým hrozbám. Tato pozice zajišťuje, že organizace má na místě strategii pro řízení kybernetických rizik, efektivně implementuje bezpečnostní politiky a průběžně monitoruje a vyhodnocuje bezpečnostní opatření. Manažer bude také zodpovědný za koordinaci s národními regulačními orgány a za zajištění, že všechny bezpečnostní incidenty jsou řádně hlášeny.
Podle směrnice NIS2 musí manažer pro kybernetickou bezpečnost disponovat nejen hlubokými znalostmi v oblasti IT a kybernetické bezpečnosti, ale také schopnostmi v oblasti řízení rizik a krizového managementu. Kromě technických dovedností je vyžadována i schopnost komunikovat s různými odděleními organizace a s externími orgány. Manažer by měl být schopen vést tým, formulovat bezpečnostní strategie a politiky, a zároveň udržovat krok s neustále se vyvíjejícími hrozbami a technologiemi.
Zavedení role manažera pro kybernetickou bezpečnost představuje pro mnohé organizace výzvu, ale zároveň nabízí příležitost k posílení jejich obranných mechanismů proti kybernetickým útokům. Tato pozice umožňuje lepší koordinaci a reakci na incidenty, což může výrazně snížit potenciální škody způsobené kybernetickými útoky. Pro profesionály v oblasti kybernetické bezpečnosti to představuje nové možnosti kariérního růstu a specializace.
Tuto službu Vám můžeme také nabídnout, máme dostatek kvalifikovaných lidí.
Roman Švec, TITIOSměrnice NIS2 jasně signalizuje, že EU klade velký důraz na zvýšení úrovně kybernetické bezpečnosti na vnitrostátní i mezinárodní úrovni. Jmenování manažera pro kybernetickou bezpečnost je klíčovým krokem k dosažení tohoto cíle. Organizace by měly tento požadavek brát vážně a připravit se na jeho implementaci včas, aby zajistily nejen dodržení legislativy, ale i ochranu svých aktiv a dat před narůstajícími kybernetickými hrozbami.
Školení kybernetické bezpečnosti
V éře digitalizace a rostoucího počtu kybernetických útoků je nezbytné, aby organizace nejen posilovaly své bezpečnostní infrastruktury, ale také investovaly do vzdělávání svých zaměstnanců. Naše firma, která je lídrem v oblasti poskytování profesionálního školení kybernetické bezpečnosti, nabízí kurzy, které jsou designovány tak, aby vybavily jednotlivce i celé týmy dovednostmi potřebnými k ochraně jejich digitálního prostředí.
Naše školicí programy jsou pečlivě přizpůsobeny potřebám klienta, ať už jde o malé startupy nebo velké korporace. Nabízíme široký spektrum témat, od základních principů kybernetické bezpečnosti až po pokročilé techniky obrany proti nejnovějším hrozbám. Kurzy jsou vedeny zkušenými odborníky, kteří mají praktické znalosti a zkušenosti z první linie boje proti kybernetické kriminalitě.
Zaměřujeme se na aktivní a interaktivní formy učení, kde účastníci nejen získávají teoretické znalosti, ale mají také možnost tyto znalosti aplikovat v praxi. Skrze simulace kybernetických útoků a obranných cvičení mohou účastníci získat cenné zkušenosti a naučit se identifikovat a reagovat na potenciální hrozby ve svých vlastních sítích.
V oblasti kybernetické bezpečnosti dochází rychle k novým vývojům a naše firma si klade za cíl udržet kurikulum aktuální. Pravidelně aktualizujeme naše školicí materiály, aby odrážely nejnovější hrozby a nejlepší praktiky. Tento přístup zajišťuje, že naši absolventi školení jsou vždy připraveni čelit aktuálním i budoucím výzvám v oblasti kybernetické bezpečnosti.
Kromě technických dovedností se naše školení zaměřuje také na zvýšení bezpečnostního povědomí. Poukazujeme na důležitost bezpečnostní kultury ve firmách a učíme, jak ji efektivně budovat a udržovat. Přesvědčujeme účastníky o tom, že kybernetická bezpečnost není jen záležitostí IT oddělení, ale že každý zaměstnanec hraje klíčovou roli v ochraně organizace.
Při školení strašně rád používám příklady z praxe nebo interaktivní výuku. Lidé si toho pak více odnesou a pak nědělají spoustu nesmyslných věcí, jako je Heslo123. :-)
Daniel Vičan, TITIOInvestice do profesionálního školení kybernetické bezpečnosti je investicí do budoucnosti vaší firmy. S rostoucími hrozbami je klíčové mít tým, který je nejen vybaven nejnovějšími technologiemi, ale také má potřebné znalosti a dovednosti k efektivní obraně. Naše školení poskytují tuto základnu, a to díky kvalitnímu vzdělávání a praktickému tréninku, který pomáhá budovat bezpečnější a odolnější digitální prostředí.
