Marek Vraný 
Loni 25. května znamenalo sedmé výročí zavedení GDPR. Iniciativa, kterou GDPR zahájila v roce 2018, nyní pokračuje NIS2, s cílem povzbudit společnosti, aby své digitální procesy a infrastruktury robustnější, aby mohly lépe odolat kybernetickým útokům. Ti, kteří odvedli dobrou práci v souladu s GDPR, budou těžit z výhod, pokud jde o dodržování předpisů NIS2, i když některé mezery zůstanou.
Je důležité, aby společnosti dělaly více, aby efektivně a úspěšně obsahovaly důsledky útoků. Až příliš často, jako tomu bylo v poslední době u M&S ve Velké Británii, dochází k úplnému narušení, ztrátě dat a značné poškození postižených podniků, jejich dodavatelů a zákazníků.
GDPR zajistil, že společnosti zpracovávají osobní údaje pečlivěji. Úřady již uložily pokuty v celkové výši téměř 6,2 miliardy EUR na společnosti, které porušují tato pravidla. V květnu 2024 bylo toto číslo 4,6 miliardy EUR. Směrnice NIS2 si klade za cíl regulovat aplikaci pomocí podobného konceptu jemného jemného konceptu, s rozdílem, že ředitelé samotných společností budou zodpovědní se svými aktivy.
Z tohoto důvodu se některé společnosti uchýlily k pomoci poradenských firem, jako je KPMG, aby zajistily dodržování předpisů. Jejich zkušenosti ukazují, že společnosti čelí několika problémům, protože směrnice ponechává hodně prostoru pro manévru a závisí převážně na individuální interpretaci. Ďábel je často v detailech, například o odpovědnosti manažerského orgánu, vykazování povinností v případě incidentů nebo zabezpečení technologií nezbytných pro provoz.
Jádro povinnosti informovat
Jedním z nejnáročnějších požadavků GDPR i NIS2 je povinnost hlásit v případě kybernetických incidentů. GDPR vyžaduje, aby porušení dat byla vyhlášena do 72 hodin. NIS2 vyžaduje, aby postižené společnosti nahlásily vážné incidenty v oblasti kybernetické bezpečnosti do 24 hodin v případě nouze.
Proto by potřebné pracovní postupy a procesy pro NIS2 již měly být zavedeny z práce GDPR dodržování předpisů. Musí však být zrychleny. V důsledku toho musí společnosti používat automatické procesy k porozumění jejich datům a kategorizovat důležitá data.
Ještě důležitější je to, že společnost zůstává v případě nouze funkční, a to i během probíhajícího útoku. K tomu musí dodržovat koncept „minimální životaschopnosti“. Tento koncept předem přesně definuje, jakou infrastrukturu, systémy, aplikace, procesy a prostředí jsou nezbytné k udržení nouzových operací. Tento minimální balíček je poté bezpečně uložen v izolovaném prostředí, takže není ovlivněn útoky.
V případě útoku je nouzová apartmá aktivována v izolované čisté místnosti, z níž infrastruktura a bezpečnostní týmy přeinstalují tvrzené výrobní prostředí a současně zkoumá útok, ohrožené údaje a zadní vzadu. Pouze ti, kteří mohou jednat okamžitě a zahájit analýzu, budou moci splnit přísné požadavky na podávání zpráv. Mimochodem, společnosti, které nejsou tak připravené, trvá v průměru 24 dní, než se po kybernetickém útoku opět provozují, 24 dní ve srovnání s 24hodinovým obdobím vyžadovaným předpisy.
Preventivně spravovat rizika
GDPR vyžaduje posouzení dopadu na ochrana dat (EIPD) Pro vysoce rizikové zpracování, zatímco NIS2 zase vyžaduje opatření na řízení rizik souvisejících s IT infrastrukturou. Patří sem například analýza hrozeb a plánování kontinuity podnikání. Procesy analýzy rizik GDPR lze odpovídajícím způsobem přijmout a rozšířit tak, aby pokryly rizika ochrany údajů i kybernetické bezpečnosti.
Aby bylo možné co nejdříve identifikovat rizika, měly by společnosti odpovídajícím způsobem prozkoumat své soubory dat. A pro minimalizaci dopadu na vaše produkční prostředí stojí za to sledovat vaše zálohy. To umožňuje bezpečnostním týmům přesně detekovat jakékoli anomálie, které mohou podrobněji prozkoumat a v ideálním případě zastavit bezprostřední útok.
Aby se společnosti dále snižovaly riziko, měly společnosti pravidelně testovat data a regenerace systému a praktikovat interakci všech týmů ve skutečném prostředí čistého pokoje se skutečnými daty a nejen na papíře. Teprve potom mohou týmy detekovat mezery v pokrytí a odhalit problémy s koordinací a pracovním postupem. Během útoku jsou týmy mentálně napjaté a úroveň stresu je velmi vysoká, takže tato zkušenost musí být získána dříve, než dojde k útoku.
Více synergií
- GDPR vyžaduje, aby byly funkce ochrany údajů správně stanoveny a spravoványnapříklad úředníka pro ochranu údajů (DPO)
- Musí být zavedeny příslušné struktury správy. NIS2 zase vyžaduje jasné odpovědnosti za kybernetickou bezpečnost, včetně jmenování hlavního důstojníka pro informační bezpečnost (CISO) nebo podobných funkcí. Existující funkce procesu GDPR a odpovídající struktury správy lze upravit nebo rozšířit tak, aby zahrnovaly odpovědnosti za kybernetickou bezpečnost
- GDPR vyžaduje, aby společnosti prováděly několik opatření. Patří sem témata, jako je šifrování, řízení přístupu, ověřování a pseudonymizace, což jsou standardní bezpečnostní opatření. NIS2 vyžaduje podobné kontroly kybernetické bezpečnosti, ale více se zaměřuje na provoz. Mnoho z Bezpečnostní kontroly GDPR plně nebo částečně splňuje požadavky NIS2: často jsou vyžadována pouze zvýšená bezpečnostní opatření IT
- GDPR vyžaduje, aby společnosti podrobně dokumentovaly, jak zpracovávají osobní údaje. Tyto zprávy by měly zahrnovat činnosti zpracování a posouzení dopadů na ochranu údajů. NIS2 také vyžaduje dokumentaci bezpečnostních zásad, odpovědí na incidenty a výsledky auditu. Systémy centralizovaných dokumentace GDPR lze znovu použít a rozšířeny tak
Závěr
Zavedení NIS2 bude na firmy poskytnout mnoho požadavků, ale ty, které provedly domácí úkoly při implementaci GDPR, budou z této přípravné práce moci těžit. NIS2 s největší pravděpodobností povede k celkovému zvýšení úrovně bezpečnosti, což bude pro hackery a kybernetické herce obtížnější ohrozit kritickou infrastrukturu. A tato větší kybernetická odolnost bude nakonec konkurenční výhodou. Zvykli jsme si, že kybernetické útoky jsou součástí každodenního života. A díky NIS2 doufejme, že si zvykneme na to, že podniky budou schopny lépe odolat útokům a vrátit se online za pár dní nebo hodin, ne týdnů nebo měsíců.
