Podobně jako GDPR i NIS2 ukládá pokuty za neoznámení bezpečnostní hrozby

Podobně jako GDPR i NIS2 ukládá pokuty za neoznámení bezpečnostní hrozby nebo incidentu uživatelům služby i úřadům. Sankce jsou však ještě přísnější a pokuty se mohou vyšplhat až na 250 milionů korun. Jak incident nahlásit, abyste se vyhnuli penalizaci? Přečtěte si náš další díl seriálu o NIS2.

Přestože česká legislativa už dříve myslela na kybernetickou bezpečnost, nejasně definovaná pravidla a jejich nedostatečné vymáhání vedly k tomu, že mnohé firmy bagatelizovaly a tajily rozsah kybernetických incidentů. Celosvětově jsou například hlášeny jen asi 3 % všech kybernetických incidentů.

Nová evropská směrnice NIS2 a z ní vycházející zákon o kybernetické bezpečnosti rozšiřují počet povinných subjektů, zvyšují požadavky a stanovují přísnější pokuty za nesplnění těchto požadavků.

Co je vůbec kybernetický bezpečnostní incident?

Kybernetický bezpečnostní incident je situace, kdy dochází k narušení důvěrnosti, integrity nebo dostupnosti systémů či informací. V kontextu NIS2 jde o narušení bezpečnosti aktiv, která souvisejí s poskytovanou regulovanou službou.

Rozlišení mezi událostmi a incidenty

Směrnice NIS2 rozlišuje mezi potenciální událostí, kybernetickou bezpečnostní událostí, incidentem a rozsáhlým kybernetickým incidentem. Incident je situace, kdy už došlo k narušení bezpečnosti, zatímco významná událost je zastavená hrozba před tím, než se plně rozvinula.

Rozsáhlý kybernetický incident zasáhne alespoň dva členské státy EU nebo přesahuje schopnosti jednoho státu efektivně reagovat.

Incidenty s významným dopadem

Směrnice NIS2 rozlišuje mezi běžnými incidenty a incidenty s významným dopadem, které mohou způsobit závažné narušení služeb, finanční ztráty nebo újmu třetím osobám, například útoky na nemocnice nebo banky.

Základní vs. důležité subjekty v rámci NIS2

NIS2 rozlišuje mezi základními a důležitými subjekty. Základní subjekty musí hlásit všechny kybernetické incidenty a provádět pravidelné audity, zatímco důležité subjekty ohlašují jen incidenty, které ovlivňují poskytované služby.

Hlášení kybernetických incidentů krok za krokem

Krok č. 1: Ohlaste incident do 24 hodin

Incident musíte nahlásit NÚKIBu nebo týmu CERT do 24 hodin od jeho odhalení. Oznámení by mělo obsahovat základní informace a varování o možných důsledcích.

Krok č. 2: Aktualizujte informace do 72 hodin

Do 72 hodin musíte doplnit informace o závažnosti a dopadu incidentu. Pokud incident pokračuje, NÚKIB může požadovat průběžnou zprávu.

Krok č. 3: Analyzujte a podávejte závěrečnou zprávu

Do 30 dnů po ohlášení incidentu musíte podat závěrečnou zprávu s podrobnou analýzou, typem hrozby a přijatými opatřeními.

Jakou roli hraje NÚKIB při řešení incidentů?

NÚKIB zjednodušuje systém ohlašování incidentů, poskytuje metodickou pomoc a může provádět bezpečnostní audity, které mohou vést ke konkrétním opatřením nebo sankcím.

Neohlášení incidentu může bolet

Nepodání hlášení může vést k pokutám až ve výši 10 milionů eur (250 milionů korun) u základních subjektů nebo až 2 % z ročního obratu.

Proč se vyplatí využívat log management a SIEM?

Log management a SIEM pomáhají firmám včas detekovat incidenty a zajistit splnění regulačních požadavků. Log management shromažďuje data, zatímco SIEM je analyzuje a reaguje v reálném čase, což umožňuje efektivnější ochranu.

Řešení těchto problémů může být nákladné, ale outsourcing log managementu a SIEM může být výhodnou a efektivní cestou.

Jak vám může IT outsourcing pomoci v kontextu nahlašování incidentů?

  • Odborná expertíza a zkušenosti s kyberbezpečností
  • Snížení nákladů na infrastrukturu a technologie
  • Nepřetržitý monitoring a rychlejší reakce na incidenty
  • Aktualizace systémů podle nejnovějších předpisů
  • Centralizovaná správa a reporting incidentů

Závěr

Westercom Services s.r.o. nabízí komplexní bezpečnostní dohled přizpůsobený pro splnění požadavků NIS2 a dalších předpisů. Zajišťuje monitorování, detekci a řešení bezpečnostních incidentů v reálném čase pomocí integrace log managementu a SIEM.

NIS2 zdůrazňuje potřebu včasného hlášení incidentů, přísných trestů za nesplnění povinností a nabízí outsourcing kyberbezpečnosti jako efektivní řešení. V závěru až praxe ukáže, jak bude tento proces fungovat.

Co si z článku odnést?

  • NIS2 ukládá povinnost oznámit kyberbezpečnostní incident do 24 hodin.
  • Pokuty za neohlášení incidentu mohou dosáhnout až 250 milionů korun.
  • Log management a SIEM jsou klíčové nástroje pro včasnou detekci a reporting.
  • Outsourcing log managementu a SIEM může zajistit nepřetržitý monitoring a splnění regulačních požadavků.