Jak ISO/IEC 27001:2022 urychluje soulad s NIS2 u malých a středních podniků

Směrnice NIS2 je účinnou regulační realitou a pro mnoho malých a středních podniků představuje významný regulatorní tlak. Pokud jste malý nebo střední podnik v kritickém odvětví nebo jste součástí širšího dodavatelského řetězce, vztahuje se na vás vyšší úroveň požadavků na kybernetickou bezpečnost. Tento průvodce ukazuje, jak globálně uznávaný rámec ISO/IEC 27001:2022 využít efektivně a strategicky ke splnění požadavků NIS2.

O co jde

Směrnice o bezpečnosti sítí a informací (NIS2) představuje ambiciózní krok EU ke zvýšení kybernetické odolnosti v kritických odvětvích. Na rozdíl od své předchůdkyně má NIS2 výrazně širší působnost, zahrnuje více odvětví a zavádí přímou odpovědnost vrcholového vedení. Pro malé a střední podniky nepřipravenost nepřichází v úvahu. Směrnice vyžaduje základní úroveň bezpečnostních opatření, přísné lhůty pro hlášení incidentů a robustní řízení rizik v dodavatelském řetězci. Nesplnění požadavků může vést k významným pokutám, provozním výpadkům a závažnému poškození reputace, které může ohrozit klíčové obchodní vztahy.

Ve své podstatě NIS2 vyžaduje, aby organizace zavedly proaktivní přístup ke kybernetické bezpečnosti založený na rizicích. Article 21 směrnice stanoví minimální soubor opatření, včetně politik pro analýzu rizik, zvládání incidentů, kontinuitu činností a zabezpečení dodavatelského řetězce. Nejde o formální odškrtávání požadavků. Regulační orgány budou očekávat důkazy o živém a funkčním bezpečnostním programu, který reflektuje specifické hrozby organizace a má zavedena odpovídající opatření k jejich zmírnění. Pro malé a střední podniky s omezenými zdroji může být budování takového systému od nuly náročné a často vede k roztříštěným aktivitám, které nenaplňují komplexní očekávání směrnice.

Představte si středně velkou logistickou společnost poskytující přepravní služby pro potravinářský sektor. Podle NIS2 je nyní považována za „důležitý subjekt“. Ransomwarový útok, který zašifruje její plánovací a směrovací systémy, může na několik dní zastavit provoz, způsobit znehodnocení zboží a porušení závazků v dodavatelském řetězci. Podle NIS2 by takový incident vyžadoval oznámení příslušným orgánům do 24 hodin. Společnost by zároveň čelila prověření svých postupů řízení rizik. Měla řádné zálohy? Byl řízen přístup ke kritickým systémům? Byli její dodavatelé softwaru prověřeni z hlediska bezpečnosti? Bez strukturovaného rámce se prokazování náležité péče mění v chaotické a často neúspěšné dohledávání podkladů.

Jak vypadá správný stav

Dosažení souladu s NIS2 nemusí znamenat vynalézání nového řešení. Systém řízení bezpečnosti informací (ISMS) vybudovaný podle ISO/IEC 27001:2022 poskytuje ideální základ. Norma je navržena tak, aby organizacím pomohla systematicky řídit rizika bezpečnosti informací. Díky této přirozené návaznosti zaváděním ISO 27001 současně budujete přesně ty schopnosti a dokumentaci, které NIS2 vyžaduje. Náročnou regulační povinnost tak převádíte na strukturovaný a řiditelný projekt, který přináší měřitelnou obchodní hodnotu nad rámec samotného souladu.

Synergie je zřejmá napříč více oblastmi. Požadavek NIS2 na posouzení rizik a bezpečnostní politiky odpovídá samotné podstatě kapitol 4 až 8 ISO 27001. Důraz směrnice na zabezpečení dodavatelského řetězce přímo pokrývají opatření přílohy A, například 5.19, 5.20 a 5.21, která se týkají bezpečnosti ve vztazích s dodavateli. Obdobně jsou požadavky NIS2 na zvládání incidentů a kontinuitu činností naplněny zavedením opatření 5.24 až 5.30. Použitím ISO 27001 vytvoříte jednotný a konzistentní systém, který plní více požadavků současně, šetří čas, snižuje duplicitu práce a poskytuje auditorům i regulačním orgánům srozumitelné odůvodnění. Naše komplexní knihovna opatření vám pomůže tyto požadavky přesně namapovat. Zenith Controls¹

Představte si malého poskytovatele řízených služeb (MSP), který hostuje infrastrukturu pro místní nemocnici. Nemocnice je podle NIS2 „základní subjekt“ a musí zajistit bezpečnost svých dodavatelů. MSP může získáním certifikace ISO 27001 okamžitě poskytnout mezinárodně uznávané ujištění, že má robustní ISMS. Jako konkrétní důkazy souladu může předložit své posouzení rizik, Prohlášení o použitelnosti a zprávy z interních auditů. Tím nejen splní požadavky nemocnice na náležitou péči podle NIS2, ale zároveň získá silnou konkurenční výhodu a otevře si cestu k dalším zakázkám v regulovaných odvětvích.

Praktický postup

Vybudování ISMS sladěného s ISO 27001 i NIS2 je strategický projekt, nikoli pouze úkol pro IT. Vyžaduje metodický přístup, který začíná pochopením organizace a jejích rizik a pokračuje systematickým zaváděním opatření k jejich řízení. Rozdělením celé cesty do logických fází může i malý tým dosahovat stabilního a doložitelného pokroku. Tento postup zajistí, že vybudujete systém, který je nejen v souladu s požadavky, ale také skutečně účinně chrání vaše podnikání. Cílem je vytvořit udržitelný bezpečnostní program, nikoli jen projít auditem.

Fáze 1: Vytvoření základů (1.–4. týden)

První fáze nastavuje výchozí podmínky. Než začnete řídit rizika, musíte porozumět svému kontextu. To zahrnuje vymezení toho, co chráníte (rozsah), zajištění závazku vedení a identifikaci všech právních a regulačních povinností, přičemž NIS2 je jedním z hlavních hybatelů. Tato základní práce, vedená kapitolami 4 a 5 ISO 27001, je kritická pro zajištění toho, aby byl ISMS sladěn s obchodními cíli a měl potřebnou autoritu. Bez jasného rozsahu a podpory vedení selžou i dobře navržená technická opatření.

• Definujte rozsah ISMS: Jasně zdokumentujte, které části organizace, systémy a lokality budou zahrnuty.
• Zajistěte závazek vedení: Získejte formální schválení a zdroje od vrcholového vedení. Jde o nevyjednatelný požadavek ISO 27001 i NIS2.
• Identifikujte zainteresované strany a požadavky: Uveďte všechny zainteresované strany (zákazníky, regulační orgány, partnery) a jejich bezpečnostní očekávání, včetně konkrétních článků NIS2.
• Sestavte implementační tým: Přiřaďte role a odpovědnosti za vybudování a udržování ISMS.

Fáze 2: Posouzení a plánování ošetření rizik (5.–8. týden)

Toto je jádro vašeho ISMS. V této fázi systematicky identifikujete, analyzujete a hodnotíte rizika bezpečnosti informací. Proces musí být formální a opakovatelný. Identifikujete kritická aktiva, hrozby, které je mohou poškodit, a zranitelnosti, které je těmto hrozbám vystavují. Výstupem je prioritizovaný seznam rizik, který umožňuje kvalifikovaně rozhodovat, kam zaměřit zdroje. Toto posouzení rizik přímo naplňuje klíčový požadavek NIS2 Article 21 a poskytuje obhajitelný základ pro vaši bezpečnostní strategii. Náš implementační plán poskytuje potřebné nástroje, včetně předpřipraveného registru rizik, které tento proces zjednodušují. Zenith Blueprint²

• Vytvořte evidenci aktiv: Zdokumentujte všechna významná informační aktiva, včetně dat, softwaru, hardwaru a služeb.
• Proveďte posouzení rizik: Použijte definovanou metodiku k identifikaci hrozeb a zranitelností u každého aktiva a následně stanovte úrovně rizik.
• Vyberte možnosti ošetření rizik: U každého významného rizika rozhodněte, zda jej zmírníte, akceptujete, vyhnete se mu, nebo jej přenesete.
• Vypracujte Plán ošetření rizik: U rizik, která se rozhodnete zmírnit, vyberte vhodná opatření z přílohy A ISO 27001 a zdokumentujte plán jejich zavedení.
• Vytvořte Prohlášení o použitelnosti (SoA): Zdokumentujte, která z 93 opatření přílohy A jsou pro vaši organizaci použitelná a proč, a odůvodněte případná vyloučení.

Fáze 3: Zavedení opatření a tvorba důkazů (9.–16. týden)

Jakmile máte plán, je čas jej provést. Tato fáze zahrnuje zavedení politik, postupů a technických opatření identifikovaných v Plánu ošetření rizik. Zde se teorie mění v praxi. Můžete zavádět vícefaktorové ověřování, připravovat novou politiku zálohování nebo školit zaměstnance v rozpoznávání phishingu. Je zásadní dokumentovat vše, co děláte. Ke každému zavedenému opatření musíte vytvořit důkazy, že funguje účinně. Tyto důkazy budou nezbytné pro interní i externí audity a pro doložení souladu s NIS2 vůči regulačním orgánům.

• Nasaďte technická opatření: Zaveďte bezpečnostní opatření, jako jsou firewally, šifrování, řízení přístupu a protokolování.
• Sepište a komunikujte politiky: Vytvořte a publikujte klíčové politiky pokrývající oblasti, jako je přijatelné užívání, řízení přístupu a reakce na incidenty.
• Proveďte školení bezpečnostního povědomí: Proškolte všechny zaměstnance o jejich odpovědnostech v oblasti bezpečnosti informací.
• Zaveďte monitorování a měření: Nastavte procesy pro monitorování účinnosti opatření a měření výkonnosti ISMS.

Fáze 4: Monitorování, audit a neustálé zlepšování (průběžně)

ISMS není jednorázový projekt; jde o průběžný cyklus zlepšování. Tato závěrečná fáze, řízená kapitolami 9 a 10 ISO 27001, zajišťuje, že ISMS zůstává dlouhodobě účinný. Budete provádět pravidelné interní audity ke kontrole souladu a identifikaci slabin. Vedení bude přezkoumávat výkonnost ISMS, aby ověřilo, že nadále podporuje obchodní cíle. Veškeré zjištěné problémy nebo neshody se formálně sledují a napravují. Právě tento průběžný proces monitorování a zlepšování chtějí regulační orgány NIS2 vidět, protože dokládá váš závazek udržovat silnou úroveň kybernetické bezpečnosti.

• Provádějte interní audity: Pravidelně přezkoumávejte ISMS vůči požadavkům ISO 27001 a vlastním politikám.
• Pořádejte přezkoumání vedením: Předkládejte výkonnost ISMS vrcholovému vedení a přijímejte strategická rozhodnutí.
• Řiďte neshody: Zaveďte formální proces pro identifikaci, dokumentování a řešení problémů nebo mezer v souladu.
• Připravte se na certifikační audit: Zapojte externí certifikační orgán, který ISMS formálně audituje a certifikuje.

Politiky, které zajistí trvalé uplatňování

Politiky jsou páteří ISMS. Převádějí bezpečnostní strategii do jasných a vymahatelných pravidel pro celou organizaci. Pro soulad s NIS2 nejsou dobře definované a konzistentně uplatňované politiky pouze dobrou praxí; jsou požadavkem. Tyto dokumenty poskytují zaměstnancům jasné pokyny, nastavují očekávání pro dodavatele a slouží jako klíčové důkazy pro auditory a regulační orgány. Dokládají, že váš přístup k bezpečnosti je záměrný a systematický, nikoli reaktivní a ad hoc. Dvě ze základních politik, které podporují ISO 27001 i NIS2, jsou Politika správy aktiv a Politika zálohování a obnovy.

Politika správy aktiv³ je výchozím bodem všech bezpečnostních aktivit. Nelze chránit to, o čem nevíte, že existuje. Tato politika zavádí formální proces pro identifikaci, klasifikaci a správu všech informačních aktiv po celý jejich životní cyklus. Pro NIS2 je komplexní evidence aktiv nezbytná pro vymezení rozsahu posouzení rizik. Zajišťuje přehled o všech systémech, aplikacích a datech, které podporují vaše kritické služby. Bez ní postupujete naslepo a pravděpodobně ponecháváte významné mezery v bezpečnostním pokrytí. Tato politika zajišťuje jasnou odpovědnost a zahrnutí všech kritických komponent do bezpečnostního programu.

Stejně důležitá je Politika zálohování a obnovy⁴. NIS2 Article 21 výslovně vyžaduje opatření pro kontinuitu činností, například správu záloh a obnovu po havárii. Tato politika definuje pravidla pro to, jaká data se zálohují, jak často, kde se zálohy ukládají a jak se testují. V případě narušujícího incidentu, například ransomwarového útoku, je dobře provedená strategie zálohování často rozdílem mezi rychlou obnovou a katastrofálním selháním podnikání. Politika poskytuje vedení, zákazníkům i regulačním orgánům ujištění, že máte věrohodný plán pro zachování provozní odolnosti a včasnou obnovu kritických služeb, čímž přímo naplňujete jeden ze základních požadavků směrnice.

Malá inženýrská firma navrhující komponenty pro energetický sektor zavedla formální Politiku správy aktiv. Katalogizací návrhových serverů, licencí CAD softwaru a citlivých zákaznických dat identifikovala svá nejkritičtější aktiva. To jí umožnilo zaměřit omezený bezpečnostní rozpočet na ochranu těchto vysoce hodnotných cílů pomocí silnějšího řízení přístupu a šifrování a při dodavatelském auditu významného energetického zákazníka doložit vyspělý přístup založený na rizicích.

Kontrolní seznamy

Pro snazší orientaci na této cestě uvádíme tři praktické kontrolní seznamy. Jsou navrženy tak, aby vás provedly klíčovými fázemi budování, provozu a ověřování ISMS a pomohly pokrýt zásadní požadavky ISO/IEC 27001:2022 i směrnice NIS2.

Vybudování: zavedení rámce ISO 27001 pro soulad s NIS2

Než můžete provozovat ISMS v souladu s požadavky, musíte jej postavit na pevném základě. Tato úvodní fáze se zaměřuje na plánování, vymezení rozsahu a získání potřebné podpory a zdrojů. Chyba v této fázi může ohrozit celý projekt. Tento kontrolní seznam pokrývá nezbytné strategické kroky pro definování ISMS a jeho sladění s principy řízení rizik, které tvoří jádro NIS2.

• Zajistit formální schválení vedením a rozpočet pro projekt ISMS.
• Definovat a zdokumentovat rozsah ISMS s výslovným odkazem na služby spadající pod NIS2.
• Identifikovat všechny použitelné právní, regulační (NIS2) a smluvní požadavky.
• Zřídit evidenci aktiv pro všechny informace, hardware, software a služby v rozsahu.
• Provést formální posouzení rizik za účelem identifikace hrozeb a zranitelností klíčových aktiv.
• Vytvořit Plán ošetření rizik s uvedením opatření vybraných ke zmírnění identifikovaných rizik.
• Vypracovat Prohlášení o použitelnosti (SoA), které odůvodňuje zahrnutí a vyloučení všech 93 opatření přílohy A.
• Navrhnout a schválit základní politiky, včetně politiky bezpečnosti informací, správy aktiv a přijatelného užívání.

Provoz: udržování každodenní bezpečnostní hygieny

Soulad není jednorázová událost. Je výsledkem konzistentní každodenní provozní disciplíny. Tento kontrolní seznam se zaměřuje na průběžné činnosti, které udržují ISMS účinný a organizaci bezpečnou. Jde o praktická opatření, která auditorům a regulačním orgánům dokládají, že váš bezpečnostní program skutečně funguje, nikoli že je pouze sadou dokumentů uložených v repozitáři.

• Pravidelně provádět školení bezpečnostního povědomí pro všechny zaměstnance, včetně phishingových simulací.
• Prosazovat postupy řízení přístupu, včetně pravidelných přezkumů uživatelských oprávnění a privilegovaného přístupu.
• Řídit technické zranitelnosti prostřednictvím systematického procesu řízení záplat.
• Monitorovat systémy a sítě z hlediska bezpečnostních událostí a neobvyklé aktivity.
• Provádět a testovat postupy zálohování a obnovy dat podle politiky.
• Řídit změny systémů a aplikací prostřednictvím formálního procesu řízení změn.
• Dohlížet na bezpečnost dodavatelů prostřednictvím pravidelných přezkumů a hodnocení klíčových dodavatelů.
• Udržovat fyzickou bezpečnost pracovišť, včetně řízení přístupu do citlivých prostor.

Ověření: audit a zlepšování ISMS

Poslední částí celku je ověření. Je nutné pravidelně kontrolovat, že opatření fungují zamýšleným způsobem a že ISMS dosahuje svých cílů. Tento cyklus neustálého zlepšování je základním principem ISO 27001 a klíčovým očekáváním NIS2. Kontrolní seznam pokrývá činnosti zajištění, které vedení a zainteresovaným stranám poskytují důvěru ve vaši úroveň kybernetické bezpečnosti.

• Naplánovat a provést úplný interní audit ISMS vůči požadavkům ISO 27001.
• Pravidelně provádět penetrační testy nebo skeny zranitelností kritických systémů.
• Otestovat Plán reakce na incidenty pomocí cvičení u stolu nebo plných simulací.
• Otestovat plány obnovy po havárii a kontinuity činností.
• Pořádat formální schůzky přezkoumání vedením za účelem posouzení výkonnosti ISMS a přidělení zdrojů.
• Sledovat všechna zjištění auditu a neshody v registru nápravných opatření až do jejich vyřešení.
• Shromažďovat a analyzovat metriky účinnosti bezpečnostních opatření.
• Aktualizovat posouzení rizik alespoň jednou ročně nebo při významných změnách.

Časté chyby

Cesta k souběžnému souladu s ISO 27001 a NIS2 je náročná a několik častých chyb může zmařit i dobře míněné úsilí. Znalost těchto rizik vám pomůže se jim vyhnout.

• Podcenění požadavků na dodavatelský řetězec: NIS2 klade bezprecedentní důraz na zabezpečení dodavatelského řetězce. Mnoho malých a středních podniků se zaměřuje pouze na interní opatření a zapomíná provádět náležitou péči u kritických dodavatelů. Pokud váš poskytovatel cloudových služeb nebo dodavatel softwaru selže v oblasti bezpečnosti a dopad se projeví u vás, podle NIS2 stále nesete odpovědnost. Musíte mít proces pro hodnocení a řízení dodavatelských rizik.
• Vnímání projektu jako čistě IT záležitosti: IT je sice významně zapojeno, ale bezpečnost informací je otázkou řízení organizace. Bez skutečné podpory a vedení shora nebude mít ISMS potřebnou autoritu ani zdroje. NIS2 výslovně ukládá odpovědnost vedení, a proto se vedení musí aktivně účastnit rozhodování v oblasti správy a řízení rizik.
• Vytvoření dokumentů bez praktického používání: Největší chybou je vytvořit kvalitně vypadající sadu dokumentů, kterou nikdo nedodržuje. ISMS je živý systém. Pokud politiky nejsou komunikovány, postupy nejsou dodržovány a opatření nejsou monitorována, nezískali jste nic než falešný pocit bezpečí. Auditoři a regulační orgány budou hledat důkazy o fungování, nikoli pouze dokumentaci.
• Nevhodné nebo nejasné vymezení rozsahu: Příliš široký rozsah může projekt pro malý nebo střední podnik učinit neřiditelným. Příliš úzký rozsah může ponechat mimo ISMS kritické systémy spadající pod NIS2 a vytvořit závažnou mezeru v souladu. Rozsah musí být pečlivě zvážen a jasně sladěn s kritickými službami a obchodními cíli.
• Opomenutí testování reakce na incidenty: Mít Plán reakce na incidenty je základní požadavek. Pokud však nebyl nikdy testován, při skutečné krizi pravděpodobně selže. NIS2 stanovuje velmi přísné lhůty pro hlášení (počáteční hlášení do 24 hodin). Cvičení u stolu rychle odhalí mezery v plánu, například nejasnost, komu volat nebo jak rychle shromáždit správné informace.

Malá společnost poskytující finanční služby získala certifikaci ISO 27001, ale svůj Plán reakce na incidenty pouze probírala na poradách. Když utrpěla menší porušení zabezpečení dat, tým nebyl připraven. Ztratil hodiny debatou o tom, kdo má pravomoc kontaktovat poskytovatele kybernetického pojištění, a měl potíže se shromážděním potřebných forenzních dat, čímž téměř zmeškal lhůtu pro regulační oznámení.

Další kroky

Jste připraveni vybudovat odolnou bezpečnostní úroveň, která splní požadavky ISO 27001 i NIS2? Naše sady nástrojů poskytují politiky, šablony a pokyny, které potřebujete k urychlení své cesty k souladu.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Reference