Kybernetické bezpečnostní incidenty podle NIS2. Na co se připravit?

Podobně jako GDPR i NIS2 ukládá pokuty za neoznámení bezpečnostní hrozby nebo incidentu uživatelům služby i úřadům. Sankce ale budou ještě přísnější. Pokuty se můžou vyšplhat až na 250 milionů korun. Jak incident nahlásit, abyste se vyhnuli penalizaci? Přinášíme další díl našeho seriálu o NIS2.

Přestože česká legislativa už dříve myslela na kybernetickou bezpečnost, nejasně definovaná pravidla a jejich nedostatečné vymáhání vedlo k tomu, že mnohé firmy v minulosti bagatelizovaly a tajily rozsah kybernetických incidentů. V celosvětovém měřítku se například odhaduje, že v databázích veřejně hlášených událostí jsou zaznamenané pouze přibližně 3 % všech kybernetických incidentů.

Tomu se snaží zabránit nová evropská směrnice NIS2, resp. z ní vycházející nový zákon o kybernetické bezpečnosti. Připravovaná legislativa v první řadě rozšiřuje počet povinných subjektů. Dále na ně klade i vyšší požadavky a zároveň stanovuje možnost ukládání pokut v případě nesplnění těchto požadavků.

Co je vůbec kybernetický bezpečnostní incident? Obecně jde o situaci, kdy dojde k narušení důvěrnosti, integrity nebo dostupnosti systému či informací. V kontextu NIS2 se jedná o narušení bezpečnosti informací v rámci aktiv, která souvisí s poskytovanou regulovanou službou.

Nová evropská směrnice o kybernetické bezpečnosti NIS2 rozlišuje mezi potenciální událostí, kybernetickou bezpečnostní událostí, incidentem a rozsáhlým kybernetickým bezpečnostním incidentem. Pro všechny je společné, že jde o událost, která ohrožuje dostupnost, pravost, integritu nebo důvěrnost uložených, přenášených anebo zpracovávaných informací, popřípadě dat. Nebo případně služeb, které se nabízejí nebo jsou přístupné prostřednictvím sítí a informačních systémů.

Rozdíl mezi významnou událostí a incidentem je jednoduchý – v případě významné události ještě nedošlo k jejímu úplnému rozvinutí a podařilo se hrozbu zastavit, zatímco u incidentu už k nějakému narušení bezpečnosti došlo.

Rozsáhlý kybernetický bezpečnostní incident je pak zjednodušeně událost s největšími následky, kdy míra narušení bezpečnosti už přesahuje schopnost jednoho členského státu Evropské unie na takový incident reagovat nebo zasáhne alespoň dvě země.

A aby toho nebylo málo, NIS2 rozlišuje ještě mezi incidenty a incidenty s významným dopadem. Mezi ty významné počítá takové kyberútoky, které poškozenému subjektu můžou způsobit závažné narušení provozní služby, finanční ztráty nebo v jeho důsledku třetí osoby utrpěly značnou hmotnou či nehmotnou újmu. To se týká například ransomware útoku na nemocnici, který může znemožnit poskytování lékařské péče, nebo útoků na banky, kvůli kterým jejich klienti nemohou použít své finance, nebo o ně dokonce přijdou.

NIS2 přináší evoluci v kyberbezpečnosti, dotkne se nově tisíce firem

NIS2 přináší evoluci v kyberbezpečnosti, dotkne se nově tisíce firem

Zobrazit podcast

Základní vs. důležité subjekty v rámci NIS2 a dva režimy povinností

Přístup vůči ohlašování kybernetických incidentů se bude odlišovat podle toho, do jaké kategorie subjektů organizace spadá. Nový zákon o kybernetické bezpečnosti, který je transpozicí NIS2 do českého práva, rozlišuje regulované subjekty (základní) s vyššími povinnostmi a subjekty s nižšími povinnostmi (důležité).

Pokud patříte mezi poskytovatele regulované služby ve vyšším režimu povinností, budete muset hlásit všechny kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a nelze u nich vyloučit úmyslné zavinění. Dále budete muset provádět pravidelné bezpečnostní audity a celkově ke kyberbezpečnosti přistupovat proaktivně. Na druhé straně důležité subjekty budou ohlašovat pouze ty incidenty, které mají dopad na poskytování regulované služby, a dodržování předpisů se u nich bude kontrolovat až po incidentu.

Hlášení kybernetických bezpečnostních incidentů krok za krokem

Pokud se nejedná o významný kybernetický bezpečnostní incident, prvotním hlášením a zpětnou vazbou k němu od NÚKIBu nebo CERTu to pro regulovaný subjekt končí.

Jiné je to s kybernetickým bezpečnostním incidentem s významným dopadem: směrnice NIS2 vyžaduje jeho oznámení hned dvakrát. To první má proběhnout bezprostředně poté, kdy ho odhalíte, aby se co nejdříve mohlo zamezit jeho šíření. Druhé by pak již mělo obsahovat důkladnější popis události.

Krok č. 1: Narazili jste na bezpečnostní incident? Ohlaste ho do 24 hodin

Pokud zaregistrujete kyberbezpečnostní incident, máte čas 24 hodin od jeho odhalení oznámit to (NÚKIBu) skrz webový Portál NÚKIB nebo týmu CERT (uskupení, které má za úkol řešit incidenty v počítačových sítích provozovaných na celém území Česka). Prvotní oznámení by mělo obsahovat včasné varování, informaci o tom, zda za incidentem stojí nezákonné či zlomyslné jednání nebo by mohl mít přeshraniční dopad.

Krok č. 2: Aktualizujte informace v hlášení do 72 hodin

Do 72 hodin poté, co se organizace o incidentu dozvěděla, má pak povinnost aktualizovat informace uvedené v předchozím varování. Druhá zpráva už by tak měla obsahovat i posouzení incidentu, jeho závažnost a dopad. Pokud incident do té doby ještě není podchycený a probíhá i nadále, může NÚKIB nebo CERT organizaci požádat o vypracování průběžné zprávy. Pokud však nejde o významný incident, vaše povinnosti končí krokem 1.

Krok č. 3: Analyzujte situaci, odstraňte bezpečnostní problém a připravte závěrečnou zprávu

Nejpozději jeden měsíc po předložení oznámení o incidentu pak musí dotčená organizace sepsat závěrečnou zprávu, která podobně popíše incident, jeho rozsah, závažnost a dopad. Určí typ hrozby nebo hlavní příčinu, která incidentu předcházela, a popíše, jaké opatření organizace přijala a uplatnila, aby zmírnila negativní důsledky incidentu. Závěrečnou zprávu pak organizace musí podat do 30 dnů od oznámení. V případě trvání incidentu i po 30 dnech organizace sepíše průběžnou zprávu a závěrečnou zprávu dodá až po vyřešení incidentu.

Jakou roli hraje NÚKIB při řešení incidentů?

Směrnice NIS2 ukládá všem členským státům EU povinnost ohlašování incidentů co nejvíce zjednodušit a ulehčit. V České republice je NÚKIB kontrolním orgánem, který by měl poskytnout jednotný systém pro ohlašování incidentů a komunikaci s úřadem. Zároveň ale může provádět bezpečnostní audity a kontroly, po kterých úřad může firmě uložit konkrétní nápravná opatření, ale i sankce za jejich nedodržování.

Jak NÚKIB pomůže firmám řešit kybernetický incident? Nejpozději během 24 hodin (a to i o víkendech a svátcích) zareaguje na přijaté hlášení s vyjádřením k danému incidentu. Kromě toho je povinen poskytnout metodickou pomoc. V případě, že incident má zásadní dopad buď na regulovanou službu, nebo na kybernetický prostor státu, je možné získat i další technickou asistenci pro zvládnutí situace.

Neohlášení incidentu může bolet

Co se stane, když neohlásíte incident včas? To zatím není zcela jasné a až praxe ukáže, jak to bude probíhat. Evropská směrnice ale definuje, že nejzazší možností bude pokuta. Její výše se stanoví podle závažnosti porušení povinností. U důležitých subjektů se u některých společností může vyšplhat až na 7 milionů eur (175 milionů korun) nebo na 1,4 % z celkového ročního obratu. U základních subjektů můžou být uvaleny sankce až ve výši 10 milionů eur (250 milionů korun) nebo u některých společností až ve výši 2 % z celkového celosvětového ročního obratu. A rozhodovat se bude podle toho, která z částek je vyšší, aby organizace cítily nutnost procesy pro řešení incidentů přepracovat.

Proč se vyplatí využívat log management a SIEM?

Vzhledem k pokutám za pozdní nahlašování incidentů by měly firmy už teď zvažovat, jak zajistí, že reporting a včasná detekce kyberútoků budou dobře fungovat. Klíčovými nástroji pro splnění těchto požadavků jsou právě log management a Security Information and Event Management (SIEM).

Log management je proces shromažďování a ukládání logů z různých serverů a služeb. SIEM zase umožňuje jejich pokročilou analýzu a nastavení pravidel pro zpracování. Prostřednictvím těchto nástrojů lze včas odhalit chyby, výpadky a útoky na informační systém. Umožňují také zlepšit bezpečnost díky informacím o akcích provedených v IT systému. V neposlední řadě doporučují způsoby optimalizace a jeho výkonu a pokročilá SIEM řešení reagují na incidenty v reálném čase a snižují dobu nedostupnosti služeb, které nabízíte.

Řešení těchto problémů je ale často velmi nákladné a časově náročné. Věnovat dlouhodobou, a hlavně systematickou pozornost log managementu se přesto rozhodně vyplatí. Jednou z možností je pak tuto agendu outsourcovat.

Jak vám může IT outsourcing pomoci v kontextu nahlašování incidentů?

Můžete čerpat z odborné expertízy a zkušeností. Předáte tak správu log managementu a SIEMu specialistům, kteří je budou spravovat efektivněji a dokážou neustále vyhodnocovat nové hrozby a sledovat technologické trendy.

Snížíte náklady za nákup a údržbu specializované infrastruktury a technologií. Externí poskytovatelé služeb už totiž využívají škálovatelné řešení, takže platíte jen za to, co skutečně využijete.

Monitoring 24/7 a rychlejší reakce na nečekané události. Specializovaní poskytovatelé mohou zajistit nepřetržitý monitoring bezpečnostních událostí a rychlou reakci na incidenty.

Přenecháte aktualizaci a dodržování předpisů odborníkům. Díky tomu snáz udržíte své systémy v souladu s nejnovějšími předpisy a standardy v oblasti kyberbezpečnosti, včetně těch, které jsou definovány NIS2.

Budete mít centralizovanou správu a reporting. Centrální řízení log managementu a SIEM může zjednodušit sledování a hlášení bezpečnostních incidentů. To může být klíčové pro splnění požadavků NIS2 na dokumentaci a reporting.

O2 nabízí službu O2 SEC (O2 Security Expert Center, která představuje komplexní řešení pro bezpečnostní dohled. Externí bezpečnostní dohled je přizpůsobený pro splnění požadavků směrnice NIS2 a dalších regulatorních předpisů v oblasti kybernetické bezpečnosti. Díky schopnosti monitorovat, detekovat, vyhodnocovat a řešit bezpečnostní události a incidenty v ICT služba O2 SEC poskytuje nejen prevenci, ale i rychlou reakci na potenciální hrozby. Navíc služba integruje zmiňovaný log management a SIEM, díky kterým umožňuje hloubkovou analýzu a vyhodnocení aktivit napříč širokým spektrem technologií, od serverů po síťová zařízení a aplikace.

Směrnice NIS2 zdůrazňuje nutnost okamžitého a přesného hlášení kybernetických bezpečnostních incidentů a zavádí přísnější tresty pro subjekty, které své povinnosti nesplní. Rozdělení subjektů na základní a důležité s různými povinnostmi vyžaduje, aby organizace byly dobře informované o svých odpovědnostech. Outsourcing správy kybernetické bezpečnosti se nabízí jako efektivní řešení, které poskytuje přístup k expertním znalostem a technologiím a umožňuje firmám lépe reagovat na incidenty a dodržovat bezpečnostní předpisy. V závěru je ale důležité zmínit, že až praxe ukáže, jak bude celý proces vypadat a jak efektivně bude fungovat.

Co si z článku odnést?

• Evropská směrnice NIS2 ukládá povinnost oznámit kyberbezpečnostní incident do 24 hodin a u incidentů s významným dopadem do 30 dnů vypracovat závěrečnou zprávu o incidentu.
• Povinnosti jednotlivých organizací se dělí do dvou kategorií podle toho, zda jde o základní, nebo důležitý subjekt.
• Pokuty za nenahlášení incidentu se můžou pohybovat až do výše 250 milionů korun.
• Zajistit včasnou detekci bezpečnostních událostí či incidentů ve vašem informačnímu systém lze zajistit s využitím log managementu a SIEM.
• Outsourcing log managementu a SIEM přináší organizacím větší jistotu, že monitoring bude probíhat nepřetržitě a v souladu s regulačními požadavky.

Petra Javornická
Marketingový specialista pro B2B