Původní verze NIS se týkala omezeného počtu společností s významným vlivem na společnost. Její nová verze NIS2 si klade za cíl zajistit bezpečnost všech poskytovatelů služeb klíčových pro správné fungování společnosti. Dotkne se tedy nejen velkých, ale i malých a středních podniků působících například v energetice, zdravotnictví, v dopravě, ale i v potravinářství a dalších oblastech.
Jaké povinnosti bude NIS2 firmám ukládat?
„Přesné povinnosti a aplikovatelnost zatím nejsou známé, budou součástí až nového zákona o kybernetické bezpečnosti. Identifikovat, na koho a v jakém rozsahu NIS2 bude mít dopad, je před přijetím zákona nereálné. Pro firmy, u kterých je riziko, že finálně budou pod NIS2 spadat, je nejlepší přípravou prostě brát kybernetickou bezpečnost vážně a postupovat podobně jako při zavádění ISMS podle ISO 2700× – navrhovaná opatření ve Vyhláškách o kybernetické bezpečnosti doprovázející nový Zákon z ISO 2700× vychází, a tak nebudete mít s implementací povinností, které s NIS2 přijdou, žádný vážnější problém,“ vysvětluje Karel Medek, Technical Tribe Lead Protect, T-Business, divize pro firemní zákazníky T-Mobile.
Pojďme se tedy podívat alespoň všeobecně, co všechno bude potřeba ke splnění NIS2:
- zavést směrnice informační bezpečnosti
- mít stanovenu strategii v oblasti kybernetické bezpečnosti a stanovené odpovědnosti
- mít přehled o svých firemních datech
- zajistit jejich ochranu a bezpečný přístup k informacím
- mít systém hodnocení a řízení rizik
- mít pod kontrolou své dodavatele a nakupované služby
- vzdělávat zaměstnance v oblasti bezpečnosti dat
- zajistit bezpečnost IT, od zařízení až po aplikace
- chránit se proti útokům a mít nástroje pro reakci na incidenty
- zajistit obnovu provozu a procesů v případě útoku nebo havárie
- průběžně vylepšovat všechna uvedená opatření
Jak můžou firmy zlepšit svou kybernetickou bezpečnost už teď?
Útočníci nepočkají, až se firmy připraví na novou směrnici. Terčem útoků v nějaké podobě se loni stalo přes 93 % podniků. „Cílem byli všichni, včetně malých a středních podniků, které většinou nemají buď dostatečné prostředky, nebo nástroje pro svoji ochranu. Překvapuje mě, jak málo firem v Česku si je dnes vědomých skutečného stavu odolnosti své digitální infrastruktury,“ komentuje situaci Karel Medek, a dodává: „Zabezpečit se proti kyberhrozbám je dnes důležitější než kdy předtím. Hlavní je začít a snažit se neposkytnout útočníkům technologický náskok.“
Většina útoků na firemní sítě vychází z nedostatečně spravovaných a zabezpečených koncových zařízení. Malware, jako jsou trojské koně, viry, červi, ransomwary, keyloggery a další, mohou proniknout skrz zastaralou antivirovou ochranu notebooků, mobilů nebo serverů a způsobit výrazné škody firmě i jejím zákazníkům. Řešením jsou mimo pravidelných aktualizací i pokročilé nástroje pro monitorování hrozeb Endpoint Detection and Response (EDR). Tato řešení sledují stav koncových zařízení v reálném čase a mohou automaticky reagovat, aby předešla rozvoji podezřelých aktivit do plnohodnotného útoku.
Další často se vyskytující kybernetickou hrozbou jsou DDoS útoky, které spočívají v zahlcení veřejné infrastruktury firmy tak obrovským množstvím požadavků, že paralyzují veřejné připojení společnosti. Standardní firemní firewally a specializovaná hardwarová řešení umístěná u zákazníka si bohužel s DDoS útoky neporadí. „Optimálním řešením je kombinace operátorské ochrany a zabezpečení na všech dalších úrovních sítě, včetně neustálého dohledu, jaký nabízí například naše Bezpečnostní dohledové centrum,“ vysvětluje Karel Medek.
A jak je na tom vaše společnost? Vyplňte si jednoduchý dotazník a porovnejte úroveň své kybernetické bezpečnosti s ostatními firmami.
Využijte také jedinečnou možnost konzultace s experty T-Mobile, kteří pomohou zlepšit ochranu vaší firmy před kybernetickými hrozbami.
T-Businessje součást společnosti T-Mobile, která se specializuje na digitální řešení pro firemní klientelu. Společnostem všech velikostí nabízí konzultaci, jak pomocí moderních technologií zvýšit efektivitu jejich podnikání.
ČLÁNKY DO MAILU