Dotaz: Ve směrnici je uveden pojem veřejná správa (Ústřední orgány státní správy, veřejná správa na regionální úrovni, soudy a státní zastupitelství a další instituce významné pro chod státu). Otázka zní: Je směrnice NIS 2 povinná i pro města, např. Magistrát města Olomouc? | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „trojkové“ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. |
Dále mám dotaz, zda se bude vztahovat i na menší obce, městská části apod. | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „trojkové“ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. |
Vztahuje se NIS2 na města ORP3 (48.000 obyvatel) ? | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „trojkové“ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. |
Dotaz na paní přednášející: Jak se firma dozví, že pod NIS spadla a musí všechny ty povinnosti plnit? Bude to na základě správního řízení od NUKIB (obdobně procesem jako současné firmy regulované infrastruktury dle ZKB) nebo si to musí firma pohlídat sama a prostě začít vše sledovat a řešit pouze na základě toho, že NIS2 vsoupí v platnost? | Identifikace povinných osob se nově bude provádět tzv. samo-identifikací. Tzn. společnost/osoba si sama musí analyzovat, zda naplňuje kritéria pro určení (působení v regulovaném odvětví a velikost podniku), a pokud ano, pak se NÚKIBu nahlásit (formou registrace v nově zřízeném informačním systému). Subjekty, které budou zákonem regulovány nad rámec těchto „jednoduchých“ kritérií, budou vždy osloveny a budou určeny rozhodnutím/jiným aktem NÚKIB. |
Kdyz dcerinka spada pod koncern, plati na ni stejna kategorie entity, napr. rovnou essential? Nebo bude mala dcerinka important? | Pokud je dceřiná společnost součástí koncernu, přičítá se k její velikosti i velikost zbylých koncernových entit. Tzn. pokud má celý koncern více jak 250 zaměstnanců nebo obrat vyšší než 50 mil. EUR/aktiva vyšší než 43 mil. EUR, bude se na všechny společnosti spadající do koncernu hledět jako na velké. Režim regulace pak závisí, v jakém odvětví bude společnost působit. U některých odvětví (z přílohy I NIS2 + těch, u kterých tak bude stanoveno na základě národních priorit) spadnou velké společnosti automaticky do kategorie essetials, u jiných odvětví (příloha II NIS2) budou velké i střední společnosti spadat pouze do režimu important. Na základě národní analýzy pak mohou do kategorie essentials spadnout i subjekty, které jsou střední nebo malé. Konkrétní rozdělení ještě není známo. V rámci několika vybraných odvětví (zejm. týkajcích se digitální infrastruktury a služeb) jsou pak do režimu essentials zařazeny všechny společnosti nezávisle na velikosti. |
Proč nevycházíte z NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2019/881,ze dne 17. dubna 2019,o agentuře ENISA („Agentuře Evropské unie pro kybernetickou bezpečnost“), o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií a o zrušení nařízení (EU) č. 526/2013 („akt o kybernetické bezpečnosti“) | Není mi zřejmé, na co konkrétně svým dotazem míříte, nicméně Akt o kybernetické bezpečnosti upravuje principiálně zcela jiné otázky než směrnice NIS2. Akt je pro nás závazný ve vztahu k certifikacím a dalším povinnostem dozorového orgánu a v tomto rozsahu se jím samozřejmě řídíme. |
Dobrý den, jak se bude k organizacím přistupovat ze strany NÚKIB, když neseženou Manažera kybernetické bezpečnosti? Přeci jen 6000 MKB v ĆR nemáme, ono je dnes velký problém vůvec sehnat na CSOC L1. | Na NÚKIB moc dobře víme, že kvalifikovaných pracovníků není neomezeně. Pro kategorii important proto v zásadě nebude třeba roli manažera kybernetické bezpečnosti zřizovat, neboť primární odpovědností těchto společností bude zavést minimální bezpečnostní standard. Kategorie essentials bude čítat podle aktuálních odhadů cca 600 společností, z nichž podstatná část již roli manažera klybernetické bezpečnosti má zřízenu a obsazenu. Pokud by regulovaný subjekt měl problém roli obsadit, je možné ji za určitých podmínek outsourcovat nebo sdílet (typicky v koncernu), případně rozdělit její odpovědnosti mezi více osob (za předpokladu, že dojde k zachování funkcí role). Dočasně lze také akceptovat stav, kdy roli vykonává osoba, která zcela nesplňuje kvalifikační požadavky na MKB (za předpokladu, že se např. pracuje na tom, aby byla kvalifikace doplněna). Každou situaci je potřeba posuzovat individuálně. |
Praktický dopad „posouzení zákonosti incidentru“ v termínu 24 hodin. Součástí týmu by museli být i právníci a je otázka kdo bude platit jejich pohotovosti. | Posouzení toho, zda byl incident způsoben nezákonným jednáním, míří zejm. na posouzení toho, zda šlo o neočekávanou negativní situaci (tzn. nejde o plánovanou odstávku nebo plánovaný zásah do fungování), resp. zda se může jednat o útok třetí osoby, aby mohl národní CERT s touto informací dále pracovat. Rozhodně po subjektech nikdo nebude chtít, aby během prvních 24 hodin kompletně zanalyzovali situaci a odhalili identitu útočníka. Ačkoli NIS2 rozepisuje jednotlivé fáze hlášení incidentu, není potřeba jej brát zcela doslova. Principiálně bude zachován proces obsažený v současném ZKB – neprodleně po identifikaci incidentu je potřeba jej nahlášit NÚKIB a poté postupem času, jak přicházíte na další a další informace o charakteru incidentu, způsobených škodách a vektoru útoku je komunikovat NÚKIB. |
Bude k předmětnému zaveden také systém vzdělávání odpovědných osob v rámci předmětných subjektů? | NÚKIB již dnes nabízí několik bezplatných vzdělávacích kurzů jak pro běžné uživatele, tak pro manažery kybernetické bezpečnosti. Do budoucna počítáme s tím, že tyto aktivity rozšíříme, a to i směrem k vrcholovému managementu. Nedoporučuji však spoléhat pouze na kurzy NÚKIB, naopak je potřeba vytvořit vzdělávací plány na míru konkrétním osobám. |
Jaké plynou povinnosti pro státní správu, jak velkých obcí a měst se bude směrnice týkat. Děkuji | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „trojkové“ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. Veřejná správa bude pravděpodobně (z podstatné části) zařazena do kategorie essentials (tj. režimu vyšších povinností). Konkrétní rozdělení však v současné době není známo. |
Dotaz k tématu: „přeshraniční dopad“ je, že útok veden z (pravděpodobně) jiného státu, nebo pouze to, že jsou cílem dva a více různých států? | Obě situace můžou naplnit pojem přeshraniční dopad, nicméně primárně tento pojem míří na situace, kdy se incident projeví ve více státech současně, a proto je potřeba reakci na něj koordinovat. Lze předpokládat, že tento pojem bude v budoucnu blíže upřesněn. |
Dobrý den, chtěl bych se zeptat – Jedním sektorem, který pod NIS 2 bude spadat, je infrastrukrura finančních trhů, jaké společnosti jsou tím myšleno? | Do sektoru infrastruktury finančních trhů spadají především obchodní systémy podle zákona o podnikání na kapitálovém trhu (především burzy) a ústřední protistrany podle nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů. Zde však upozorňuji, že finanční sektor bude regulován nařízením DORA, sektorovou legislativou, k jejímuž dozoru bude příslušná ČNB. |
Jedna věc jsou odpovědní pracovníci a manažeři kyb bezpečnosti, druhá věc jsou investice v této době do IT a když už projdou, tak následně vlastní termíny dodávek IT prvků. Bude nějaká přechodná doba pro aplikaci pravidel ve firmách dle NIS2??? | Ano, počítáme s tím, že obdobně jako v současném zákoně bude nově regulovaným subjektům (a „starým“ subjektům pro nově regulované služby) dána přechodná lhůta pro zahájení plnění povinností. V současném zákoně je tato lhůta 1 rok, lze předpokládat, že i do budoucna se budeme pohybovat okolo 1 roku. |
Bude se NIS2 závazný i pro firmu, která vyrábí očkovací látky pro veterinární oblast (velikost ca. 90 z., vlastník větší zahraniční firma) | Pokud činnost společnosti naplňuje kritéria pro odvětví Zdravotnictví a typ subjektu „subjekty vyrábějící základní farmaceutické výrobky a farmaceutické přípravky ve smyslu sekce C oddílu 21 klasifikace NACE Rev. 2“ (nace klasifikace dostupná zde: http://www.nace.cz/) a zároveň má společnost alespoň 50 zaměstnanců, pak do regulace NIS2 spadá. |
Bude se NIS2 týkat i optik? | Regulace NIS2 se týká všech činností uvedených v přílohách I a II ke směrnici. Podrobná analýzy všech odvětví bohužel dosud neproběhla. |
Dobrý den, prosím o specifikaci NIS 2 – činnost vesmír. děkuji | Do odvětví vesmír spadají podle přílohy I ke směrnici provozovatelé pozemních infrastruktur vlastněných, spravovaných a provozovaných členskými státy nebo soukromými subjekty a podporujících poskytování služeb využívajících kosmického prostoru, s výjimkou poskytovatelů veřejných sítí elektronických komunikací. Podle našich aktuálních informací by do této množiny na území ČR neměl spadat žádný subjekt. |
A bude se NIS 2 vztahovat i na školy, když úřady budou částečně vyjmuty? | Předpokládáme, že do regulace budou spadat vysoké školy. Zbylé úrovně školství by prozatím do regulace být zahrnuty neměly. |
Dobrý den, jak to bude s dodavateli významného IS ve zdravotnictví? Budou v kategorii Essential nebo Important. Covid jasně ukázal, že bez dodavatelů těchto IS by se situace zvládala mnohem hůře a problémy, které v začátcích byly, tak šly jasně za dodavateli, jelikož nezvládali termíny a neměli dostatečné vývojové a testovací prostředí. | Dodavatelé zdravotnických zařízení jsou regulování v rámci odvětví výroba (příloha II) – druh služby „subjekty vyrábějící zdravotnické prostředky ve smyslu čl. 2 bodu 1 nařízení Evropského parlamentu a Rady (EU) 2017/745 a subjekty vyrábějící diagnostické zdravotnické prostředky in vitro ve smyslu čl. 2 bodu 2 nařízení Evropského parlamentu a Rady (EU) 2017/746 , s výjimkou subjektů vyrábějících zdravotnické prostředky uvedených v příloze I bodu 5 páté odrážce“. Co se týče samostatných informačních systémů, NIS2 reguluje poskytovatele řízených služeb (managed service providers a managed security service providers). Lze tedy očekávat, že dodavatelé IS do zdravotnictví spadnou do některé z těchto kategorií. Konkrétní úroveň regulace bude odvislá od velikosti subjektu a toho, jak bude nastavena národní legislativa (pokud bude zájem regulaci těchto subjektů povýšit do nejvyšší kategorie). Pro jistotu však upozorňuji, že regulace pod NIS2 nenahrazuje certifikaci a nemíří primárně na bezpečnost výrobků. Tu by však měl pokrývat připravovaný Cyber Resilience Act (nedávno zveřejněný draft Komise je dostupný zde: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act) |
Dobrý den, bude na nezbytná opatření vypsána nějaká dotace a případně kdy? | NÚKIB není dotačním orgánem a žádnými prostředky pro posvinné subjekty nedisponuje, tyto dotazy je proto potřeba směřovat na jiné instituce (zejm. MMR a MPO). |
kde tyto informace najdu, zda spadáme do regulace? nis2.nukib.cz? | Ano, na těchto webových stránkách budeme postupně uveřejňovat veškeré relevantní informace týkající se budoucí regulace kybernetické bezpečnosti v ČR. Do budoucna plánujeme i vydání rozhodovacích schémat, aby byla samoidentifikace společností co nejjednodušší. |
Budou tedy statutární města (velká města) spadat pod zákon o kybernetické bezpečnosti? | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „trojkové“ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. Veřejná správa bude pravděpodobně (z podstatné části) zařazena do kategorie essentials (tj. režimu vyšších povinností). Konkrétní rozdělení však v současné době není známo. |
Postačuje kurz „Šéfuj kyber“ NUKIBu + certifikát z tohoto kurzu pro splnění požadavků na kvalifikaci Manažera KB dle VoKB? | Povinné a doporučené požadavky na kvalifikaci MKB jsou uvedeny v § 7 VoKB, resp. v příloze 6 k této vyhlášce. Kurz Šéfuj kyber rozhodně nenahrazuje všechny vyhláškou stanovené požadavky, poskytuje však solidní základ. |
Také by mě zajímalo zda se NIS 2 bude vztahovat i na školy… | Předpokládáme, že do regulace budou spadat vysoké školy. Zbylé úrovně školství by prozatím do regulace být zahrnuty neměly. |
Pokud má dceřinka 40 zaměstnanců a jejich matka je Essential – bude dceřinka Essential nebo Important? | Záleží, v jakém odvětví vykonává dceřiná společnost svou činnost, velké společnosti budou automaticky „essentials“ jen v některých odvětvích (primárně v těch uvedených v příloze I k NIS2). |
Ve většině firem „hodí“ povinnosti NIS2 na IT oddělení. Pro IT odborníky bývá problém „právní jazyk“ EU směrnic a zákonů. Za IT prosím, aby se NÚKIB snažil o SROZUMITELNÉ podání NIS2 lidem. Většina z nás nejsme právníci. | Jsme si vědomi toho, že regulace dopadne na velké množství subjektů, pro které je orientace v EU i ČR legislativě obtížná. Budeme se proto snažit být co nejsrozumitelnější. Vždy pak bude možnost se na NÚKIB obrátit s konkrétním dotazem, pokud veřejně dostupné materiály nebudou dostačující. |
Jak to vypadá s výrobními závody? Jaká budou kritéria pro členství v NIS_2? | Pro regulaci výrobních závodů jsou relevantní kritéria stanovení v příloze II k NIS2, konkrétně pro odvětví 3. Výroba, produkce a distribuce chemických látek, 4. Výroba, zpracování a distribuce potravin a 5. Výroba. V podrobnostech je odkázáno na klasifikaci CZ-NACE (dostupná zde: www.nace.cz), ze které bude při formulaci vnitrostátní úpravy vycházet i NÚKIB. |
Budou tedy statutární města (velká města) spadat pod zákon o kybernetické bezpečnosti? | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „“trojkové““ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. Veřejná správa bude pravděpodobně (z podstatné části) zařazena do kategorie essentials (tj. režimu vyšších povinností). Konkrétní rozdělení však v současné době není známo. |
Bude se NIS_2 vztahovat na dopravní podniky? | NIS2 odvětví hromadné dopravy neupravuje a na vnitrostátní úrovni teprve vedeme diskuze o regulaci tohoto odvětví, nicméně podle našich informací bude toto odvětví zahrnuto do působnosti směrnice upravující regulaci kritické infrastruktury, tzv. směrnice CER (přičemž platí, že subjekt identifikovaný podle směrnice CER je automaticky povinným subjektem podle NIS2), lze tedy očekávat, že některé dopravní podniky do regulace spadnou. |
Pokud se NIS2 se bude vztahovat na samosprávu, budou do rozsahu spadat i jimi zřizované organizace? | Pouze pokud budou splňovat požadavky NIS2 na činnost v odvětví a velikost subjektu. |
Bude se NIS 2 vztahovat i na magistráty? Konkrétně Magistrát města Kladno a jiná velká krajská města? | Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy (public administration entities of central governments). Regionální a lokální autority (tzn. obce a kraje) mohou být regulovány, pokud to státy považují za vhodné. Na NÚKIB počítáme s tím, že zachováme regulaci krajů (které jsou dnes regulovány jako významné informační systémy) a stále analyzujeme, zda do regulace zařadit i „“trojkové““ obce. Regulace jedničkových a dvojkových obcí v tuto chvíli plánována není. Veřejná správa bude pravděpodobně (z podstatné části) zařazena do kategorie essentials (tj. režimu vyšších povinností). Konkrétní rozdělení však v současné době není známo. |
Zařadíte do NIS2 poskytovatele datových služeb – providery bez ohledu na velikost firmy? | Pokud máte na mysli poskytovatele veřejných sítí a služeb elektronických komunikací, ano ti jsou podle NIS2 regulováni bez ohledu na svou velikost. Konkrétní rozdělení do režimů povinností a způsob dohledu je však ještě v řešení. |
Je někde možné najít seznam subjektů, které poskytují uznatelnou certifikaci pro manažery kybernetické bezpečnosti? | Bohužel NÚKIB žádným takovým seznamem nedisponuje. |
Přidává NIS2 nějaké další povinnosti pro stávájící povinné osoby dle ZoKB? | Pro aktuální povinné osoby se principiálně nic měnit nebude, nicméně dojde k dílčím změnám v rámci jednotlivých institutů. Tzn. typicky budou subjekty čelit vyšším pokutám za nesplnění povinností, resp. novým druhům sankcí, možná dojde k rozšíření bezpečnostních opatření (v návaznosti na aktuální dobrou praxi), v rámci hlášení incidentů a informací dojde ke změně v technickém způsobu hlášení (skrze speciální informační systém), rozšíří se okruh hlášených informací apod. |
co když máme certifikaci ISO 27001 a TISAX, musíme ještě zavádět NIS2? | Ano, žádná certifikace v současné době nenahrazuje povinnost plnit požadavky ZKB/VKB/NIS2. |
Předpokládá NUKIB vytvoření rozhraní pro příjem automaticky generovaných hlášení KBI a pokud ano, počítá pro veřejnou správu s využitím CMS/KIVS? | V plánu je vytvoření a zavedení kompletně nového způsobu hlášení informací NÚKIB, včetně automatického generování a zprácování informací. Konkrétní technické podrobnosti však v současné době nejsou známy. Jakmile budou nějaké informace k dispozici, budeme je komunikovat s příslušnými autoritami a širokovou veřejností. Pokud se nepletu, s MV už v této věci komunikujeme. |
Pokud má naše matka v zahraničí ISO 27001 a veškerá data, servery atd. jsou v zahraničí (my pouze vzdálený přístup), řeší tedy NIS pouze matka? | Pokud nejde o subjekt spadající do tzv. výlučné jurisdikce (typicky poskytovatelé digitálních služeb) nebo o ISPs s trochu odlišným režimem, vztahují se povinnosti z oblasti kybernetické bezpečnosti na společnosti, které mají vlastní IČO, resp. jsou odštěpným závodem (případně mají jinou obdobnou formu usídlení na území ČR). Tento subjekt je odpovědný za plnění NIS2, nicméně konkrétní způsob plnění povinností se může subjekt od subjektu lišit. Pokud je infrastruktura umístěna v zahraničí a český subjekt reálně nemá možnost zavádět do ní bezpečnostní opatření, bude potřeba mít dostatečným způsobem ošetřeny vztahy mezi povinným subjektem a reálným správcem systému (obdobně jako je tomu u regulovaných subjektů dnes). |
Myslel jsem střední školy – spadnou nějak do NIS2? | Regulaci středních škol v tuto chvíli neplánujeme. |
Jsme SW firma. Existuje seznam požadavku na dodavatel SW podle NIS_2? | Obecný seznam požadavků na povinné osoby je obsažen přímo v NIS2, konkrétní seznam bude obsažen ve vnitrostátním předpisu (ZKB/VKB), který dosud neexistuje. Lze však očekávat, že z podstatné části se bude krýt se současnou vyhláškou č. 82/2018 Sb. Regulovaní dodavatelé SW budou plnit tyto požadavky. Zbylí dodavatelé, kteří nebudou povinnými osobami, budou vázáni především požadavky svého zákazníka (regulovaného subjektu). |
Existuje někde „cross reference“ mezi ISO 27001, ISO 27002 a NIS2?? | NÚKIB porovnáním nedisponuje, velmi pěkný souhrn byl prezentován v rámci webináře kolegou Trávníčkem (prezentace je dostupná na webu webináře). |
Kraj má kolem 500 zaměstnanců. Větší město i 400 zaměstnanců. Oba drží velké množství osobních údajů. Oba provozují VIS. Oba subjekty mají své příspěvkové organizace, které též drží velké množství osobních údajů. Vyšší počet útoků na obce a MČ ukazuje na nutnost i zde vyžadovat vyšší kybernetickou bezpečnost. Na zvážení NÚKIB | Děkujeme za podnět. |
Poslední aktualizace ISO byla v roce 2013, to už je dávno. Nepřipravuje se aktualizace? | Ano, máte pravdu. ISO normy by měly být standardně aktualizovány co 5 let a v ISMS čekáme už velmi dlouho. Nicméně ještě letos by měla vyjít aktualizovaná verze ISO 27001:2022. V únoru letošního roku vyšla ISO 27002:2022. |
Pokud poskytuji služby subjektu, na kterého dopadne NIS2, bude tento subjekt po mě muset NIS2 vyžadovat také? | Záleží na konkrétním uspořádání vztahů, ale pokud jsou některé služby outsourcovány, lze očekávat, že spolu s tím bude outsourcováno i plnění některých povinností, minimálně plnění relevantních bezpečnostních opatření. |
Jak se dotkne NIS2 státní správy, konkrétně resortu Justice? | V plánu je regulace podstatné části resortu (ministerstvo, soudy, SZ) |
Ohledne NIST 800-53 framework, jaky je vztah vuci ISO27K1. Jak vnimate NIST framwork, ktery je take dobrovolny? | NIST 800-53 je pro většinu organizací dobrovolný, nicméně je závazný pro všechny informační systémy a agentury vlády spojených států a také pro jejich dodavatele a subjekty spolupracující s vládními orgány.
Největší rozdíl vnímám u pohlednu na bezepčnlstní opatření (security controls). NIST je více orientovaný tímto směrem a detailněji definuje, co má být splněno, co musí firma nasadit. Oproti tomu je ISO 27001 méně těchnicky orientovaný standard s větším zaměřením na risk management. Obecně se pak dá řici, že NIST výrazně zpřesňuje a rozšiřuje ISO 27001. Co se týče pokrytých oblastí, tak rozsahem jsou velmi podobné (NIST více specifikuje ochranu osobních údajů). |
Jak se ISO27001 dívá na sdílení rolí a přístupů do systémů pro týmy v rámci jedné organizace? | Sdílení rolí není v ISO 27001 nijak uchopeno nebo zakázáno. Norma vyžaduje, aby byly pro výkon role/rolí v rámci ISMS definovány odpovídající role a kompetence. Na druhou stranu zkušenější auditor by mohl napoadnout stav nebo situaci, kdy manažer IT je zároveň manažerem ISMS (pokud dobře rozumím Vašemu dotazu). Pokud se Vás týka kybernetický zákon, tak ve Vyhlášce 82/2018Sb. je u jednotlivých rolí uvedeno, s jakými dalšími rolemi nesmí být kombinovány. Menší společnosti se bohužel sdílení rolí nevyhnout, a proto je pro ně důležité, aby v případně nutnosti kombinovali tak, aby to pro zajištění bezpečnosti informací dávalo smysl.
Co se týče sdílení přístupů, tak zde bych rozhodně provedl analýzu rizik, abych zjistil, jaká rizika mi z této aktivity mohou vzniknout. ISO 27001 vyžaduje zajištění CIA (Důvěrnosti, Dostupnosti a Integrity) pro každou informaci a pokud bych sdílením přístupů např. způsobil, že se mi kolegové z týmu dostanou k informacím, ke kterým by neměli, tak je sdílení přístupů problém. Dalším důvodem, proč je sdílení přístupů špatnou praxí, je neauditovatelnost. Pokud mi jeden účet používá více lidí a nemám další faktor, kterým určím, kdo ho zrovna v konkrétní okamžit používá, tak nejsem schopný jasně a prokazatelně říct, kdo způsobil konkrétní akci nebo situaci (tou může být i bezpečnostní incident). Obecně nedoporučuji kombinovat manažera IT s manažer bezpečnosti informací (Ani tak, že manažer bezpečnosti informací reportuje manažerovi IT) a nedoporučuji používat sdílené účty. |
Pokud budu mít ISO 27001 musím mít i NIS 2 pokud splňuji podmínky pro NIS 2 | Pokud splníte požadavky ISO 27001, tak naplníte velkou část požadavků na organizační a technická opatření ze směrnice NIS 2. Ta ovšem obsahuje i několik rozšíření, jako například používání dvou faktorového ověření, což ISO 27001 v aktuální verzi nevyžaduje (aktualizace bychom se měli dočkat ještě letos).
Je potřeba také pamatovat na to, že NIS2 bude definovat i jiné požadavky i nastatovat definici jednotlivých povinností v rámci EU a to ISO nikdy definovat nebude. ISO 27001 tedy bude výborným nástrojem pro zvládnutí většiny požadavků na kybernetickou bezpečnost definovaných v NIS 2, ale bude potřeba věnovat pozornost i tomu, co v ISO 27001 zmíněno není a v NIS 2 naopak je. |