Nový zákon o kybernetické bezpečnosti již brzy transponuje do české legislativy požadavky evropské směrnice NIS2. Od regulovaných subjektů bude vyžadovat zavedení řady technických a organizačních opatření. Řešení pro správu logů (log management) a SIEM přitom může s naplněním některých z nich významně pomoci.
Co to je NIS2?
Směrnice NIS2 (The Network and Information Security Directive) je evropská legislativa, která stanovuje požadavky pro zajištění kybernetické bezpečnosti informačních systémů a sítí v členských státech Evropské unie. Jedná se o aktualizaci původní směrnice NIS, která byla přijata v roce 2016.
NIS2 rozšiřuje a zdokonaluje původní směrnici s cílem ještě více posílit odolnost služeb kritických pro společnost.
Jedná se o poměrně rozsáhlou a složitou úpravu, která aktuálně prochází transpozicí do legislativy jednotlivých států EU. Obecně NIS2 sleduje několik hlavních cílů:
Zpřísnění požadavků – Směrnice NIS2 zavádí řadu technických a organizačních požadavků, které budou muset povinné subjekty zavést. Patří mezi ně zabezpečení dodavatelského řetězce, zajištění kontinuity podnikání, krizový management, školení v oblasti kybernetické bezpečnosti, nasazení politik řízení přístupu, a další.
Rozšířená působnost – Směrnice NIS2 výrazně zvyšuje počet povinných subjektů a regulovaných sektorů. V České úpravě pokrývá celkem 18 odvětví, resp. 21 druhů regulovaných služeb. Uvedeny jsou v návrhu vyhlášky o regulovaných službách.
Komplexnější systém sankcí – NIS2 zvyšuje horní hranice finančních pokut a zavádí také nefinanční sankce při nedodržování povinností. Jedná se například o pozastavení výkonu řídící funkce statutárnímu orgánu nebo odebrání kyberbezpečnostních certifikací.
Posílení dohledu – Povinné subjekty budou podléhat rozšířené povinnosti hlášení incidentů a povinnosti provádět pravidelné audity kybernetické bezpečnosti.
Lepší spolupráce napříč EU – Směrnice NIS2 je základem pro vznik Evropské organizace pro řešení kybernetických krizí (EU-CyCLONe). Ta má sloužit jako centrální bod pro koordinaci proti velkoplošným kybernetickým útokům a pro sdílení zkušeností.
Nový zákon o kybernetické bezpečnosti 2024
Nový zákon o kybernetické bezpečnosti (ZoKB) by měl dle aktuálních informací a stádia přípravy vejít v platnost v roce 2024, nejpozději začátkem roku 2025. Připravuje jej Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB) a momentálně je ve fázi zpracování připomínek
Návrh zákona vychází z již schválené a závazné směrnice NIS2. Ta dává jasné pokyny ohledně technických a organizačních požadavků, které tak budou muset být do značné míry jednotné v rámci národních předpisů.
I když konečné znění národních zákonů ještě nebylo stanoveno, v českém prostředí již existuje návrh zákona, včetně jeho prováděcích předpisů, vyhlášek. Ty například definují oba režimy povinností pro regulované subjekty - nižší a vyšší - a jejich povinnosti, a také technická a organizační opatření, která regulované subjekty budou muset implementovat.
Detailnější rozbor obou režimů není podstatou tohoto článku, zopakujme tedy alespoň stručně jejich definice:
Základní subjekty dle ZoKB (vyšší režim povinností)
Sem spadají organizace uvedené v příloze I směrnice NIS2, které jsou zároveň identifikovány jako “velké”. Jedná se například o subjekty z energetického průmyslu, dopravy, bankovnictví, veřejné správy, poskytovatelé ICT služeb a další. Tyto budou regulovány v režimu vyšších povinností.
Důležité subjekty dle ZoKB (nižší režim povinností)
Sem spadají středně velké organizace uvedené v příloze I a II. směrnice. Sem spadají zpravidla střední a velké firmy z oborů jako poštovní služby, potravinářství, chemický průmysl a další. Tyto budou regulovány v režimu nižších povinností.
Implementace technických opatření podle nového zákona o kybernetické bezpečnosti (ZoKB) a směrnice NIS2 je klíčová pro zajištění ochrany kritických informačních systémů a sítí. Zákon stanoví, že povinné subjekty musí přijmout opatření, která zahrnují jak technické, tak organizační aspekty.
Pro technická opatření je zásadní, aby organizace zavedly systémy detekce a reakce na incidenty, šifrování citlivých dat, pravidelné aktualizace a zálohování systémů, a využívaly pokročilé bezpečnostní technologie. Nový zákon také klade důraz na provádění pravidelných bezpečnostních auditů, školení a testování odolnosti proti kybernetickým útokům.
Jak už jsme zmínili, k novému kyberzákonu náleží dvě samostatné vyhlášky, které konkrétně představují požadavky pro režimy vyšších a nižších povinností. Jinými slovy, poskytují jasné pokyny pro implementaci těchto opatření v praxi. Návrh prováděcích předpisů k novému zákonu o kybernetické bezpečnosti je k dispozici zde. Podívejme se nyní na přehled technických opatření dle nového ZoKB.
Přehled technických opatření dle ZoKB
Fyzická bezpečnost
Bezpečnost komunikačních sítí
Správa a ověřování identit
Řízení přístupových oprávnění
Detekce kybernetických bezpečnostních událostí
Zaznamenávání bezpečnostních a relevantních provozních událostí
Vyhodnocování kybernetických bezpečnostních událostí
Aplikační bezpečnost
Kryptografické algoritmy
Zajišťování dostupnosti regulované služby
Zabezpečení průmyslových, řídicích a obd. spec. technických aktiv
Role log managementu a SIEM v novém ZoKB
Log management, neboli správa logů, hraje klíčovou roli v rámci požadavků směrnice NIS2 a tedy i ZoKB 2024. Záznamy o bezpečnostních nebo relevantních provozních událostech jsou základním nástrojem pro sledování a analýzu aktivity v informačních systémech, které mohou poskytnout cenné informace o bezpečnostních incidentech, jejich původu a možných dopadech.
Pojďme se podívat na několik technických opatření, u kterých log management a SIEM pomáhá splňovat požadavky nového zákona o kybernetické bezpečnosti.
Detekce kybernetických bezpečnostních událostí
Prováděcí předpisy k novému ZoKB definují povinnost detekovat kybernetické události a poskytovat informace o nich relevantním osobám. A to v obou režimech povinností s tím, že subjekty ve vyšším režimu mají striktněji definovaná pravidla a povinnosti.
Pro pokrytí § 22 tak budou tak muset mít centrálně spravovaný nástroj pro detekci kybernetických bezpečnostních událostí.
Logmanager kombinuje funkce log managementu se SIEM a umožňuje rychlou a efektivní detekci anomálií a podezřelé aktivity v infrastruktuře, automatické vyhodnocování událostí a upozornění bezpečnostních týmů na potenciální riziko. Umí tak požadavky zákona naplnit například v bodech:
ověření a kontrola přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
ověření a kontrola přenášených dat na síťovém perimetru komunikační sítě
nepřetržitá a automatickou ochrana před škodlivým kódem,
řízení a sledování komunikace aplikací, jejich služeb a procesů,
detekci kybernetických bezpečnostních událostí nad technickými aktivy a
detekci na základě chování technického aktiva, administrátorů a uživatelů.
Zaznamenávání bezpečnostních a relevantních provozních událostí
Řešení Logmanager sbírá a uchovává logy z celé sítě a infrastruktury a zajišťuje, že všechny relevantní informace jsou snadno dostupné pro reporting a auditní účely. Na tyto aktivity se nový ZokB přímo odkazuje ve svých prováděcích předpisech, vyhláškách.
Konkrétně, obě vyhlášky o bezpečnostních opatřeních (pro poskytovatele regulované služby v režimu vyšších a v režimu nižších povinností) stanovují pro regulované subjekty povinnost zaznamenávat bezpečnostní a relevantní provozní události, a to do detailu jako jsou:
datum a čas včetně specifikace časového pásma, typ činnosti,
identifikaci technického aktiva, které činnost zaznamenalo,
identifikaci účtu, pod kterým byla činnost provedena,
úspěšnost nebo neúspěšnost činnosti.
Vyhlášky také specifikují povinnost povinného subjektu používat centralizovaný nástroj pro uchování takových záznamů.
Regulované subjekty v režimu vyšších povinností pak budou navíc v rámci zaznamenávání událostí muset zaznamenávat informace jako
přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,
provedení a neúspěšný pokus o provedení privilegované činnosti,
manipulace a neúspěšný pokus o manipulaci s účty, oprávněními a právy,
neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění,
zahájení a ukončení činností technických aktiv,
kritických a chybových hlášení technických aktiv,
další.
Pro tyto subjekty navíc bude existovat povinnost významné incidenty hlásit do 24 hodin (dle NIS2).
S ohledem na znění navrhovaného zákona tak bude log management pro naplnění compliance hrát zásadní roli.
Vyhodnocování kybernetických bezpečnostních událostí
Nový kybernetický zákon bude po subjektech ve vyšším režimu vyžadovat používání “nástroje pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí detekovaných”. To mimo jiné znamená sběr, vyhledávání a seskupování informací za účelem detekování a vyhodnocování incidentů.
Jedná se o opatření, které jednak směřuje k proaktivní reakci na na nově se objevující hrozby, druhak k neustálé optimalizaci odolnosti organizace prostřednictvím odhalování a odstraňování jejích bezpečnostních slabin.
Logmanager umožňuje potřebné informace nejen sbírat, ale díky SIEM funkcím také korelovat a vyhodnocovat, a tudíž tuto povinnost pokrýt.
Evropská směrnice NIS2 nabyla účinnosti dnem 16. Ledna 2023. Dle jejího znění mají členové Evropské unie nyní necelé dva roky na to, aby její požadavky transponovaly do národních legislativ. V České republice se jedná o nový zákon o kybernetické bezpečnosti. Přestože je deadline daný směrnicí stanoven na 17. října, je možné, že se v České republice příprava a schválení nového zákona lehce protáhne. Aktuálně je očekávaný termín pro přijetí nového zákona o kybernetické bezpečnosti stanoven na konec roku 2024 / začátek roku 2025. Jakmile vstoupí v platnost, regulované subjekty budou mít 30-90 dní na registraci u regulatorní instituce (NÚKIB) a následně rok na zavedení opatření k naplnění souladu se zákonem.
Detekce, analýza a vyhodnocování kybernetických událostí jsou stěžejní součástí jakékoliv úspěšné obrany proti útokům a hrozbám. Proto jsou i jedním ze základů nového zákona o kybernetické bezpečnosti.
Nástroje pro správu logů a SIEM umožňují tuto oblast pokrýt, stejně tak jako povinnost uchovávání informací o událostech, jejich reportování a uchování pro potřeby nejrůznějších auditů, kterým budou povinné subjekty podrobovány.
Pokud s přípravou na příchod nového zákona nechcete otálet a již teď si začít zjišťovat potřebné informace a prozkoumávat technologie, které k naplnění požadavků zákona přispívají, neváhejte nás kontaktovat na sales@logmanager.com.