Evropská směrnice NIS2 si klade za cíl sjednotit a nastavit vyšší standard kybernetické bezpečnosti pro všechny země Evropské unie. Co přesně přinese nový zákon za změny a jak by se měly firmy a organizace na novinky připravit?
MICHAL ČÍŽEK
CEO společnosti GoodAccess
Příští rok nás čeká evropské vydání směrnice NIS2, resp. nového zákona o kybernetické bezpečnosti. Jak by se měly firmy začít připravovat?
Direktiva se dotkne mnohem více subjektů než původní ZOKB. Každá firma či organizace by si již teď měla alespoň rámcově zjistit, jaké požadavky bude nutné splňovat. Obecně platí, že čím složitější a komplexnější infrastrukturu máme, tím složitější a dražší bude její ochrana. Pokud někdo do teď uvažoval tak, že si aplikace raději vyvíjí sám, sám si spravuje hardwarovou síť a VPNku, vyhýbá se cloudovým a SaaS řešením, pak to bude mít s NIS2 významně složitější. Rozhodně bych tedy s přípravou neotálel.
Bezpečný přístup odkudkoli ZDE
Jaké změny s sebou nový zákon přinese?
Kolem NIS2 se kumuluje hodně informací, nejasností a obav. Osobně se na to ale dívám pozitivně, protože výsledkem bude významně vyšší ochrana důležitých dat a systémů. Přispějí k tomu nová organizační a technická opatření jako zavedení zero trust principů, vícefaktorové autentizace nebo centrální detekce hrozeb. Na druhou stranu to ale bude od firem mnohdy vyžadovat vytáhnout kostlivce ze skříně a posunout vlastní IT směrem k jednodušší, moderní síťové infrastruktuře. S novými povinnostmi bude spojen velký tlak právě na zjednodušení fungování celé kyberbezpečnosti, aby se to celé dalo vůbec uřídit.
Zmínil jste princip nulové důvěry (zero trust), což je poměrně nový pojem. O co se přesně jedná?
V podstatě jde o přístup k bezpečnosti založený na systematickém ověřování všech komunikací a uživatelů předtím, než je jim povolen přístup k jakémukoliv zdroji, například systému jako je CRM. Cílem je minimalizovat pravděpodobnost nelegitimního proniknutí do firemního IT a zneužití dat. Může to znít nově a složitě, ale existují ověřená řešení, například náš GoodAccess, která firmám zavedení architektury na principu nulové důvěry významně zjednodušují.
Lze tedy platformu GoodAccess použít i pro naplnění požadavků NIS2?
Ano a nepotřebujete k tomu žádný hardware ani tým specialistů, aby se o ni staral. Naše platforma řeší nejen bezpečný přístup zaměstnanců k firemním sítím, systémům a datům, ale dokáže také řídit přístup ke kritickým systémům podle identity uživatele. Vše funguje jako cloudová virtuální síť (SASE) a vše je možné nasadit během hodin až jednotek dnů i pro firmu se stovkami až tisíci zaměstnanci. Tím, že GoodAccess funguje na úrovni sítě, dokáže v souvislosti s NIS2 účinně chránit i starší aplikace, které nelze snadno vybavit vícefaktorovou autentizací a SSO přístupem. Podle naší analýzy jsme schopni pokrýt přes 50 % všech technických opatření, které NIS2 vyžaduje.