Agentúra Európskej únie pre kybernetickú bezpečnosť (ENISA) vydala komplexné usmernenie k implementácii bezpečnostných požiadaviek smernice NIS2, čo predstavuje významný krok vpred pri štandardizácii postupov kybernetickej bezpečnosti v celej EÚ. Spoločnosť Decent Cybersecurity, ako certifikovaný poskytovateľ auditu kybernetickej bezpečnosti Národným bezpečnostným úradom a držiteľ oprávnenia NATO, EÚ a národnej bezpečnosti (Secret), zohráva kľúčovú úlohu pri pomoci organizáciám pri implementácii týchto požiadaviek.

"Smernica NIS2 predstavuje zásadnú zmenu v prístupe organizácií ku kybernetickej bezpečnosti. Našou úlohou je zabezpečiť, aby subjekty nielen spĺňali tieto požiadavky, ale aby ich implementovali spôsobom, ktorý vytvára skutočnú bezpečnostnú odolnosť," uvádza Matej Michalko, zakladateľ a predseda spoločnosti Decent Cybersecurity.

Základné bezpečnostné požiadavky

V usmernení sa uvádza niekoľko kľúčových oblastí, ktoré musia organizácie riešiť:

Informovanosť o kybernetickej bezpečnosti a odborná príprava

Organizácie musia zaviesť štruktúrované programy zvyšovania povedomia vrátane pravidelných školení, zdokumentovanej účasti, ročných preskúmaní programu, testovania účinnosti a pokrytia nových hrozieb. Programy by sa mali pravidelne aktualizovať, aby odrážali zmeny v postupoch kybernetickej hygieny a aktuálne hrozby.

Kryptografické kontroly

Požiadavky na implementáciu zahŕňajú:

• Šifrovanie údajov v pokoji a pri prenose
• Kľúčové postupy riadenia
• Automatizované systémy správy kryptografických kľúčov
• Komplexné zaznamenávanie kľúčových činností riadenia
• Úvaha o kvantovo odolných algoritmoch
• Každoročné revízie kryptografickej politiky

Zabezpečenie siete

Organizácie musia implementovať:

• Segmentácia siete pomocou demilitarizovaných zón (DMZ)
• Prísne riadenie dopravy medzi úsekmi
• Pravidelné testovanie účinnosti segmentácie
• Monitorovanie komunikácie medzi segmentmi
• Dokumentácia pravidiel segmentácie
• Pravidelná revízia politík segmentácie

Správa aktív

Požadované kontroly zahŕňajú:

• Údržba úplných inventárov majetku
• Klasifikácia aktív na základe kritickosti
• Dokumentácia postupov nakladania s aktívami
• Protokoly o bezpečnej likvidácii
• Pravidelná revízia politík správy aktív

Hodnotenie a riadenie rizík

Organizácie musia:

• Pravidelné hodnotenie rizík
• Každoročné preskúmanie výsledkov hodnotenia rizík
• Zohľadnenie zmien v informačných systémoch a prevádzkovom prostredí
• Riešenie zistení z preskúmania po incidente
• Sledovanie trendov týkajúcich sa hrozieb a zraniteľností

Požiadavky na implementáciu

Usmernenie zdôrazňuje niekoľko kľúčových aspektov implementácie:

1. Dokumentácia všetkých bezpečnostných politík a postupov
2. Udržiavanie dôkazov o vykonávaní kontroly
3. Pravidelná revízia a aktualizácia kontrol
4. Testovanie účinnosti bezpečnostných opatrení
5. Rozvoj kapacít reakcie na incidenty

Monitorovanie dodržiavania predpisov

Organizácie musia udržiavať:

• Pravidelné hodnotenia bezpečnosti
• Komplexná dokumentácia bezpečnostných opatrení
• Postupy reakcie na incidenty
• Plánovanie kontinuity činností
• Kontroly bezpečnosti dodávateľského reťazca

Tieto vykonávacie usmernenia sa vzťahujú na základné a dôležité subjekty, ako sú vymedzené v smernici NIS2. Organizácie musia tieto požiadavky implementovať na základe výsledkov hodnotenia rizík a viesť dôkladnú dokumentáciu o všetkých bezpečnostných opatreniach.

Prostredníctvom svojich komplexných služieb v oblasti kybernetickej bezpečnosti a rozsiahlych odborných znalostí v oblasti dodržiavania právnych predpisov pomáha spoločnosť Decent Cybersecurity organizáciám orientovať sa v týchto zložitých požiadavkách a zároveň zabezpečuje, aby ich bezpečnostná pozícia bola v súlade s požiadavkami NIS2 aj so širšími osvedčenými bezpečnostnými postupmi.