Nová směrnice společné úrovně kybernetické bezpečnosti v EU NIS2 přichází

Digitální transformace zrychluje. A právě zvyšující se tempo je pro útočníky motivující, protože skupina potenciálních obětí a množství, popřípadě objem škod, které mohou způsobit, roste. Společná obrana vůči kybernetickým útokům k zajištění kontinuity kritických služeb na půdě Evropské unie je prioritou nové směrnice známé jako NIS2.

Zajištění kybernetické bezpečnosti je jeden z hlavních úkolů Evropské unie

Historie unijní legislativy v oblasti kybernetické bezpečnosti sahá do roku 2016, kdy vznikla první verze směrnice NIS (The Network and Information Security – NIS Directive). Cílem původní směrnice NIS bylo zvýšit úroveň kybernetické bezpečnosti napříč celou Evropskou unií. Zavedla mimo jiné bezpečnostní požadavky pro provozovatele základních a digitálních služeb a přinesla také povinnosti na národní úrovni – například určení příslušných státních orgánů, kontaktních míst a týmů pro řešení počítačových bezpečnostních incidentů (CSIRT – Computer Security Incident Response Team). V České republice znamenal vznik směrnice NIS na evropské úrovni novelizaci již existujícího zákona č. 181/2014 Sb., o kybernetické bezpečnosti.

Evoluce kybernetické bezpečnosti v Evropské unii

Je pochopitelné, že spolu s vývojem rizik se musí neustále inovovat i obranné a detekční strategie, vzniká proto inovovaná směrnice NIS2, která pro všechny členské státy konsoliduje a sjednocuje požadavky v oblasti řízení kybernetických rizik, testování kybernetické odolnosti a hlášení incidentů. Jednou z významných změn je rozšíření působnosti požadavků na další instituce a organizace. Za tímto účelem poskytuje soubor pravidel a regulační rámec pro hladkou spolupráci orgánů jednotlivých členských států. 

Aby mohlo být vymáháno požadované plnění směrnic jednotlivými státy a organizacemi, stanovují se v NIS2 nápravná opatření a sankce. ‎Směrnice také formálně zřizuje evropskou síť styčných organizací pro kybernetické krize, tzv. EU-CyCLONe (Cyber Crisis Liaison Organisation Network), která bude podporovat koordinované řízení rozsáhlých kybernetických bezpečnostních incidentů.‎

NIS2 v České republice

Evropský parlament na svém jednání 10. listopadu 2022 a Rada Evropské unie na jednání 28. listopadu 2022 přijaly finální znění směrnice NIS2. Transpoziční lhůta (tj. lhůta pro aplikaci vyhlášky do české legislativy) je 21 měsíců od jejího schválení, tedy zhruba do poloviny roku 2024. Předpokládá se, že transpozice do české legislativy proběhne formou novelizace stávajících zákonů a souvisejících vyhlášek. Národní úřad pro kybernetickou bezpečnost uvolnil 26. ledna 2023 pro připomínkování odborné veřejnosti návrh nového znění zákona kybernetické bezpečnosti a souvisejících vyhlášek.

Odhaduje se, že nová směrnice zvýší počet regulovaných subjektů o zhruba šest tisíc. NIS2 rozeznává dva druhy soukromých a veřejných subjektů, které jsou dále rozděleny dle odvětví:

Část subjektů již požadavky splňuje, či je přímo regulovaná dle současného zákona o kybernetické bezpečnosti. Zbylé instituce budou muset zajistit plnění požadavků ve svých informačních systémech. Návrh novelizace zavádí dva odlišné režimy úrovní povinností. Pravidla stanovená stávající legislativou se významně nezpřísňují. Vedle již zmíněného zvýšení sankcí, je potřeba zmínit další změny, které pozorujeme v souvislosti zavedení nové směrnice. Jedná se o sebeurčení, kontrolní hlášení či prokazování kybernetické odolnosti.

Odolnost jako prostředek, nikoli cíl

Právě pojem „testovaní a prokazování kybernetické odolnosti“ je jedním z důležitých pojmů skloňovaných v rámci strategie kybernetické bezpečnosti EU. Díky neustále se zrychlujícímu vývoji rizik dostává tento pojem nový rozměr.

Klasické využití Business Continuity Managementu (BCM) a penetračních testů dnes již není dostatečné. „Rizika, zejména nové typy kybernetických útoků, technik a taktik, kterých útočníci využívají, se s rostoucí digitalizací služeb neustále vyvíjejí. Proto se stejně tak musí neustále inovovat i obranné a detekční strategie“ říká Petr Plecháček, Associate Partner oddělení technologického consultingu a IT EY Česká republika.

Evropská unie podává institucím v této souvislosti pomocnou ruku v podobě rámce TIBER-EU (Threat Intelligence-based Ethical Red Teaming Framework). Jde o soubor návodů, jak by měly organizace postupovat při testování a zlepšování kybernetické odolnosti prováděním řízeného kybernetického útoku založeného na aktuálních technikách a taktikách. Myšlenka tohoto rámce ale není poskytovat výsledky typu „prošel/neprošel“, nýbrž zajištění funkce entity jako celku, tedy jejích lidí, procesů a technologií. Testy mají odhalit slabá místa, a umožnit tak subjektům dosáhnout vyšší kybernetické odolnosti.

Nedostatek odborníků – začátek doby automatizované

Nové požadavky směrnice NIS2 značně rozšíří seznam institucí spadajících pod její regulaci. V současné době odhadujeme, že se může jednat až o šest tisíc organizací, které budou muset tyto požadavky adoptovat. To vyvolá, ve spojitosti s dalšími regulacemi z balíčku kybernetické odolnosti EU, ještě větší nedostatek odborníků kybernetické bezpečnosti na pracovním trhu.

Přístup a myšlení firem se tak bude muset, dle našeho názoru, změnit, a to zejména u menších subjektů, kde nebude možné sestavit plnohodnotný tým odborníků na všechny oblasti kybernetické bezpečnosti – jednoduše proto, že nebudou k dispozici. 

Řešení se nabízí: stejně jako jsme se naučili využívat pronájem služebních aut, sdílení městského automobilu nebo kola, tak i v oblasti zajištění kybernetické bezpečnosti lze očekávat trend zajišťování některých oblastí formou sdílené služby. 

Druhou cestou je automatizace, umělá inteligence a strojové učení. Neustále se zvyšující počet informačních systémů produkuje narůstající množství dat, což ve spojitosti s nedostatkem zaměstnanců způsobuje, že schopnost společností analyzovat a vyhodnocovat relevantní data je stále nižší. I přesto, anebo právě proto, je nutné se orientovat na relevantní hrozby a automatizované testování kybernetické odolnosti vůči nim.

Nástroj? Ten máme

Na trhu se v souvislosti s NIS2 objevuje spousta produktů, které „vyřeší celou oblast jako mávnutím kouzelného proutku“. Bylo by to samozřejmě ideální a určitě příjemné řešení. Na základě našich zkušeností jsme ale přesvědčeni, že univerzální řešení směrnice NIS2 ve formě jednoho nástroje neexistuje.

Přístup EY

Kybernetickou bezpečnost vnímáme jako nutnou nedílnou součást firemní politiky. V rámci našich projektů využíváme celosvětově uznávaný MITRE ATT&CK framework vycházející z celosvětové komunity tisíců odborníků na kybernetickou bezpečnost. Tento rámec sdílí znalosti o současných kybernetických útocích, bezpečnostním zpravodajství, hrozbách a nejnovějších taktikách a technikách protivníků, jakož i obranných a detekčních strategiích. Pomocí vhodné implementace tohoto frameworku můžeme nejen správně identifikovat reálné hrozby, ale také navrhnout automatické testování kybernetické odolnosti přímo pro danou společnost.