Evropská směrnice NIS2 a související nový zákon o kybernetické bezpečnosti (nZoKB) znamenají pro firmy řadu nových výzev. V České republice se dotknou řádově tisíců organizací. NIS2 však přináší nejen nové bezpečnostní požadavky, ale vyžaduje zcela nový přístup – klade důraz na proaktivní a komplexní řízení kybernetické bezpečnosti v rámci členských státu Evropské unie. Co konkrétně to pro firmy znamená nám řekl Vojtěch Hvězda, specialista na kybernetickou bezpečnost ve společnosti Gordic.

Nová legislativa se se dotkne vyšších tisíců českých organizací, přičemž změna se netýká jen IT firem nebo kritické infrastruktury jako doposud. Nově budou muset svou kybernetickou bezpečnost řídit například i nemocnice, vodohospodářské a energetické podniky, poskytovatelé digitální infrastruktury, správci odpadů nebo dopravci, a střední a velké podniky s více než 50 zaměstnanci či obratem nad 10 milionů eur. Legislativa nově požaduje, aby tyto organizace nejen zabezpečily své informační systémy, ale aby svá rozhodnutí v oblasti bezpečnosti zakládaly na systematické analýze rizik.

Co taková analýza rizik obnáší a proč je klíčová?

VH: Analýza rizik je efektivním nástrojem pro účelovou implementaci technických a organizačních bezpečnostních opatření. Bez možnosti navázat investice do bezpečnostních opatření na reálné výstupy z analýzy rizik střílí vedení společností slepými náboji.

Analýza rizik spočívá v identifikaci aktiv, zhodnocení hrozeb a zranitelností a určení rizik. Teprve po takové analýze lze navrhnout a zavést přiměřená bezpečnostní opatření proti zjištěným reálným rizikům. Problém je, že většina firem s něčím takovým nemá zkušenost a neexistuje jednotná metodika, jak uvedené procesy v té které organizaci realizovat. Proto jsme s ohledem na nZoKB, nVoKB, ISO27001, nařízení DORA a další vyvinuli aplikaci Gordic CSA (Cyber Security Audit), která proces analýzy rizik výrazně zjednodušuje a vede uživatele krok za krokem v souladu jak s osvědčenými postupy v oblasti řízení rizik, tak aktuální legislativou.

Jak konkrétně CSA pomáhá s naplněním legislativních požadavků?

VH: CSA je softwarová aplikace dostupná formou služby, která pokrývá celý proces řízení kybernetické bezpečnosti a analýzy rizik v organizaci. Výrazně zjednodušuje nejen zpracování zmíněné analýzy rizik, ale i průběžné plnění dalších povinností vyplývajících z nZoKB, a to vše v jednotném, uživatelsky přívětivém prostředí.

Mezi hlavní funkcionality aplikace CSA patří:

• Evidence aktiv, v rámci které identifikuje a přehledně eviduje klíčové regulované služby a s nimi související potřebné Informace, a technická a organizační podpůrná aktiva nutná pro poskytování regulované služby.

• Identifikace rizik a jejich hodnocení, v rámci které poskytuje seznam aktuálních hrozeb a zranitelností, které lze přiřazovat k daným aktivům. To pomáhá manažerům kybernetické bezpečnosti ve zjednodušení celého procesu hodnocení rizik, který je z velké části automatizovaný.

• Návrh bezpečnostních opatření, která aplikace poskytuje na základě zjištěných rizik, a to nejen adekvátní technická, ale i organizační opatření.

• Prohlášení o aplikovatelnosti, tzv. self-audit, v rámci kterého aplikace zaznamenává veškerou činnost, která může ovlivňovat bezpečnost organizace. Organizace tak má kdykoliv k dispozici přehledný výstup, který lze použít při kontrole ze strany regulačních orgánů nebo jako podklad pro interní reporting.

• Aktualizace v reálném čase, která zajišťuje, že aplikace CSA neposkytuje jednorázovou analýzu rizik, ale komplexní proces řízení aktiv a hodnocení rizik pro průběžnou a kontinuální práci. Mimo jiné nahrazuje i tradiční a zastaralou manuální práci s tabulkovými a textovými editory typu excelovské tabulky.

Aplikace CSA je dostupná jako služba. Jaké výhody to má pro podniky a uživatele?

VH: Používání softwarových produktů formou služby zaručuje jejich jednoduché nasazení, minimální požadavky na infrastrukturu a jasně předvídatelné náklady. Organizace nemusí investovat do licencí, serverů ani školení zaměstnanců, a samotní uživatelé dostanou intuitivní rozhraní pro komplexní náhled na kybernetickou bezpečnost firmy včetně metodické podpory našich expertů.

Nová legislativa klade důraz i na detekci a řízení incidentů. Jak s tímto firmám pomáháte?

VH: Pro detekci a řízení bezpečnostních incidentů máme nástroj v podobě otevřené platformy pro centrální správu bezpečnostních událostí. Ten umožňuje jednoduše spojit stávající bezpečnostní řešení, jako SIEM, XDR a SOAR, do jednoho funkčního celku a s využitím AI technologie nabídnout efektivní a spolehlivé vyhodnocení a korelaci bezpečnostních událostí napříč celou podnikovou infrastrukturou v jednom přehledném rozhraní.

Legislativa pamatuje i vzdělávání zaměstnanců. Jak k němu přistupujete?

VH: Lidský faktor je z pohledu zajištění bezpečnosti firmy dnes tím nejrizikovějším. A právě proto legislativa klade důraz na povinnost školit nejen zaměstnance, ale i obchodní partnery nebo dodavatele. To přirozeně vytváří tlak na efektivitu celého vzdělávacího procesu. V rámci našeho portfolia proto nabízíme službu GDPO pro komplexní vzdělávání nejen v oblasti kybernetické bezpečnosti. Aplikace GDPO je jednoduchý nástroj pro online školení, testování a certifikaci, který pokrývá vše potřebné v jednom intuitivním prostředí.

Co byste doporučil organizacím, které teprve stojí před výzvami nové legislativy v oblasti kyberbezpečnosti?

VH: Jak říká zakladatel společnosti Gordic Jaromír Řezáč, kybernetická bezpečnost není jen legislativní povinnost, ale existenční nutnost. Začněte tedy včas a nebojte se požádat o pomoc. Nepodceňujte analýzu rizik, ta je základem pro úspěšné zajištění kybernetické bezpečnosti vaší organizace. Pokud hledáte nákladově efektivní řešení, které vás spolehlivě provede celým procesem a pomůže vám nejen splnit legislativní požadavky, ale i zvýšit a zefektivnit reálnou bezpečnost vaší organizace, obraťte se na nás. Produkt Gordic CSA je určen právě pro vás.

www.gordiccybersec.cz

Obr. 1: Aplikace Cyber Security Audit pro analýzu rizik a řízení kybernetické bezpečnosti od českého tvůrce a dodavatele informačních systémů Gordic.