Jak se zorientovat v bouři: jak NIS2 a DORA mění evropské požadavky na compliance

Směrnice NIS2 a nařízení DORA zásadně mění požadavky na compliance v oblasti kybernetické bezpečnosti a vyžadují přísnější řízení rizik, hlášení incidentů a digitální provozní odolnost. Tento průvodce vysvětluje jejich dopad, ukazuje jejich těsnou návaznost na ISO 27001 a nabízí praktickou cestu k připravenosti pro CISO i vedoucí pracovníky organizací.

Úvod

Evropské prostředí compliance prochází nejvýznamnější proměnou za poslední generaci. Se lhůtou pro transpozici směrnice o bezpečnosti sítí a informací (NIS2) v říjnu 2024 a s plnou použitelností nařízení o digitální provozní odolnosti (DORA) od ledna 2025 definitivně končí éra, kdy byla kybernetická bezpečnost vnímána jako podpůrná IT funkce. Tyto dva právní předpisy představují změnu paradigmatu: staví kybernetickou bezpečnost a provozní odolnost do centra správy a řízení organizace a činí vedoucí orgány přímo odpovědnými za selhání.

Pro CISO, compliance manažery a vlastníky organizací nejde jen o další rámec, vůči kterému se mapují bezpečnostní opatření. Jde o závazný požadavek na bezpečnostní stav řízený shora, založený na rizicích a prokazatelně odolný. NIS2 rozšiřuje působnost původní úpravy na širokou škálu „základních“ a „důležitých“ subjektů, zatímco DORA ukládá přísná a harmonizovaná pravidla celému finančnímu sektoru EU a jeho kritickým poskytovatelům technologií. Sázky jsou vyšší, požadavky jsou preskriptivnější a sankce za neplnění požadavků jsou závažné. Tento článek slouží jako průvodce novým prostředím a využívá rámec ISO 27001 jako praktický základ pro dosažení souladu s NIS2 i DORA.

O co jde

Důsledky nesplnění povinností podle NIS2 a DORA zdaleka nekončí u formálního napomenutí. Tyto předpisy zavádějí významné finanční sankce, osobní odpovědnost vedení a riziko závažného provozního narušení. Pochopení závažnosti těchto rizik je prvním krokem k vytvoření přesvědčivého obchodního odůvodnění pro investice a organizační změnu.

Zejména NIS2 výrazně zvyšuje finanční riziko. Jak objasňuje náš komplexní průvodce Zenith Controls, sankce jsou nastaveny tak, aby jim věnovala pozornost i úroveň vedoucích orgánů.

U základních subjektů mohou pokuty dosáhnout až 10 milionů EUR nebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která částka je vyšší. U důležitých subjektů činí maximální pokuta 7 milionů EUR nebo 1,4 % celkového celosvětového ročního obratu.

Tyto částky jsou srovnatelné se sankcemi na úrovni GDPR a ukazují záměr EU důsledně vymáhat standardy kybernetické bezpečnosti. Přestože jsou požadavky harmonizovány na úrovni EU, přesná struktura sankcí se může mírně lišit podle toho, jak jednotlivé členské státy transponují NIS2 do vnitrostátního práva. Riziko však není pouze finanční. NIS2 zavádí možnost dočasného zákazu výkonu řídicích funkcí pro osoby shledané odpovědnými za porušení povinností, čímž se kybernetická bezpečnost stává otázkou osobní odpovědnosti generálních ředitelů i členů vedoucích orgánů.

DORA se sice zaměřuje na finanční sektor, ale přináší vlastní sadu tlaků. Jejím hlavním cílem je zajistit kontinuitu kritických finančních služeb i při významném narušení ICT. Riziko je zde systémové. Selhání jednoho finančního subjektu nebo některého z jeho kritických poskytovatelů ICT služeb z řad třetích stran může mít kaskádový dopad na evropskou ekonomiku. Účelem DORA je tomuto scénáři předcházet prosazováním vysoké úrovně digitální provozní odolnosti. Dopady neplnění požadavků mohou zahrnovat nejen pokuty, ale také ztrátu provozních licencí a katastrofální poškození dobré pověsti v odvětví založeném na důvěře.

Stejně náročný je i provozní dopad. Oba předpisy stanoví přísné lhůty pro hlášení incidentů. NIS2 vyžaduje prvotní oznámení příslušným orgánům do 24 hodin od zjištění významného incidentu a následnou podrobnější zprávu do 72 hodin. Takto zkrácený harmonogram vytváří mimořádný tlak na týmy reakce na incidenty a vyžaduje vyspělé, pravidelně procvičované procesy, které v mnoha organizacích dosud chybí. Těžiště už nespočívá pouze v omezení dopadů a obnově, ale také v rychlé a transparentní komunikaci s regulačními orgány.

Jak vypadá dobrý stav

V nové éře zvýšeného dohledu už „dobrý stav“ neznamená mít politiky uložené v úložišti dokumentace nebo dosáhnout jednorázové certifikace. Znamená to průběžně prokazovat provozní odolnost. Vyžaduje posun od reaktivního přístupu řízeného compliance požadavky k proaktivní kultuře založené na rizicích, v níž je kybernetická bezpečnost začleněna do fungování organizace. Organizace, která se úspěšně orientuje v prostředí NIS2 a DORA, vykazuje několik klíčových znaků, z nichž mnohé vycházejí z principů dobře implementovaného systému řízení bezpečnosti informací (ISMS) podle ISO 27001.

Konečným cílem je stav, kdy organizace dokáže s jistotou odolat narušením ICT, reagovat na ně a obnovit se po nich, přičemž chrání svá kritická aktiva a služby. To vyžaduje hluboké porozumění obchodním procesům a technologiím, které je podporují. Jak uvádí Zenith Controls, cílem těchto předpisů je vytvořit v celé EU robustní digitální infrastrukturu.

Primárním cílem směrnice NIS2 je dosáhnout vysoké společné úrovně kybernetické bezpečnosti v celé Unii. Jejím záměrem je posílit odolnost a kapacity reakce na incidenty ve veřejném i soukromém sektoru.

Dosažení této „vysoké společné úrovně“ znamená zavést komplexní bezpečnostní program pokrývající správu a řízení, řízení rizik, ochranu aktiv, reakci na incidenty a bezpečnost dodavatelů. Vyspělá organizace má jasnou návaznost od ochoty podstupovat riziko na úrovni vedení až po konkrétní technická opatření. Vedení pouze neschvaluje rozpočet; aktivně se účastní rozhodování o řízení rizik, jak vyžaduje NIS2 (Article 20) i DORA (Article 5).

Tento ideální stav je definován proaktivní bezpečností řízenou informacemi o hrozbách. Organizace pouze nereaguje na upozornění, ale aktivně shromažďuje a analyzuje informace o hrozbách, aby dokázala předvídat a zmírňovat potenciální útoky. To přímo odpovídá ISO/IEC 27002:2022 opatření 5.7 (informace o hrozbách), což je postup, který je nyní výslovným očekáváním podle obou nových předpisů.

Odolnost se navíc testuje, nikoli předpokládá. „Dobrý stav“ znamená, že organizace pravidelně provádí realistické testy svých plánů reakce na incidenty a plánů kontinuity činností. U vybraných finančních subjektů podle DORA se to může rozšířit na pokročilé penetrační testování řízené hrozbami (Threat-Led Penetration Testing, TLPT), tedy přísnou simulaci reálných scénářů útoku. Ne každá organizace bude do působnosti zahrnuta, ale pro ty, kterých se TLPT týká, jde o závazný požadavek. Tato kultura testování zajišťuje, že plány nejsou pouze teoretické dokumenty, ale použitelné postupy pro reakci, které fungují pod tlakem.

Návaznost na témata opatření ISO 27001:2022

Opatření přílohy A normy ISO 27001:2022, podrobně rozpracovaná v ISO/IEC 27002:2022, tvoří páteř moderního ISMS. Jak zdůrazňuje Zenith Controls: The Cross-Compliance Guide,

Opatření jako A.5.7 (informace o hrozbách), A.5.23 (bezpečnost informací při používání cloudových služeb) a A.5.29 (vztahy s dodavateli) jsou přímo odkazována v implementačních pokynech k NIS2 i DORA, což potvrzuje jejich klíčový význam pro soulad napříč regulačními požadavky. Organizace, které tato opatření plně implementují a dokládají, mají dobrou výchozí pozici, ale stále musí řešit specifické požadavky na oznamování, správu a řízení a odolnost zavedené novými předpisy.

Praktická cesta: postup krok za krokem

Dosažení souladu s NIS2 a DORA může působit jako rozsáhlý úkol, ale stává se zvládnutelným, pokud je rozdělen do klíčových bezpečnostních domén. Využitím strukturovaného přístupu ISMS sladěného s ISO 27001 mohou organizace systematicky budovat potřebné schopnosti. Následuje praktický postup vycházející ze zavedených politik a osvědčených postupů.

1. Zaveďte silnou správu, řízení a odpovědnost

Oba předpisy ukládají konečnou odpovědnost „vedoucímu orgánu“. Kybernetickou bezpečnost proto již nelze delegovat výhradně na IT oddělení. Vedoucí orgán musí rozumět rámci řízení rizik kybernetické bezpečnosti, dohlížet na něj a schvalovat jej.

Prvním krokem je tuto strukturu formalizovat. Politiky organizace musí tento přístup shora dolů odrážet. Podle P01S Politika bezpečnosti informací - SME, základního dokumentu každého ISMS, vyžaduje samotný rámec politik výslovné schválení vrcholovým vedením.

Politiky bezpečnosti informací musí být schváleny vedením, zveřejněny a sděleny zaměstnancům a relevantním externím stranám.

To znamená, že vedení se aktivně podílí na určování směru. Dále je to posíleno vymezením jasných rolí. P02S Politika rolí a odpovědností v oblasti správy a řízení - SME uvádí, že „odpovědnosti za bezpečnost informací musí být definovány a přiděleny“, aby nevznikala nejasnost, kdo vlastní kterou část bezpečnostního programu. Pro NIS2 a DORA to musí zahrnovat určenou osobu nebo výbor odpovědný za předkládání informací o stavu compliance přímo vedoucímu orgánu.

Klíčová opatření:

• Určete sponzora kybernetické bezpečnosti a odolnosti na úrovni vedoucího orgánu.
• Naplánujte pravidelné přezkumy výkonnosti ISMS a souladu s právními předpisy na úrovni vedoucího orgánu.
• Dokumentujte rozhodnutí, přijatá opatření a důkazy o dohledu.

2. Implementujte komplexní rámec řízení rizik

Znovu posuďte a aktualizujte svůj proces posuzování rizik Jak uvádí Implementační příručka k metodice posuzování rizik: „NIS2 a DORA vyžadují dynamická posouzení rizik vedená hrozbami, která přesahují statické každoroční přezkumy. Organizace musí integrovat informace o hrozbách (A.5.7) a zajistit, aby posouzení rizik byla aktualizována v reakci na změny v prostředí hrozeb nebo v obchodním prostředí.“ Zenith Controls. NIS2 jde nad rámec obecného posouzení rizik tím, že v Article 21 stanoví konkrétní opatření pro řízení rizik, včetně zabezpečení dodavatelského řetězce, zvládání incidentů, kontinuity činností a používání kryptografie. Tyto požadavky musí být prokazatelně implementovány a pravidelně přezkoumávány, což jasně ukazuje, že compliance nespočívá pouze v dokumentaci, ale v prokazatelných provozních postupech.

Klíčová opatření:

• Začleňte do posouzení rizik informace o hrozbách v reálném čase.
• Zajistěte, aby posouzení rizik výslovně pokrývala dodavatelský řetězec a rizika třetích stran v oblasti ICT (A.5.29).
• Dokumentujte a dokládejte proces přezkumu a aktualizace.

Tento proces má být průběžný a iterativní, nikoli každoroční formální odškrtnutí. Zahrnuje vše od zabezpečení dodavatelského řetězce až po bezpečnostní povědomí zaměstnanců.

3. Posilte reakci na incidenty a jejich hlášení

Přísné lhůty pro hlášení podle NIS2 (prvotní oznámení do 24 hodin) a detailní klasifikační a oznamovací režim podle DORA vyžadují vysoce vyspělou funkci řízení incidentů. Nestačí pouze SOC; organizace potřebuje jasně definovaný a procvičený plán.

P30S Politika reakce na incidenty - SME poskytuje návrh této schopnosti. Zdůrazňuje, že „organizace musí plánovat a připravovat se na řízení incidentů informační bezpečnosti tím, že definuje, zavádí a komunikuje procesy, role a odpovědnosti pro řízení incidentů informační bezpečnosti.“ Reakce na incidenty je ústředním bodem NIS2 i DORA. Politika řízení incidentů informační bezpečnosti (část 4.2) stanoví:

Organizace musí zavést postupy pro detekci, hlášení a reakci na incidenty ve lhůtách požadovaných příslušnými právními předpisy a vést podrobné záznamy pro účely auditu.

Mezi klíčové prvky implementace patří:

• Jasná definice „významného incidentu“, která spouští lhůtu pro hlášení podle NIS2 a DORA.
• Předem definované komunikační kanály a šablony pro hlášení regulačním orgánům, CSIRT a dalším zainteresovaným stranám.
• Pravidelná cvičení a cvičení typu tabletop, která ověří, že tým reakce dokáže plán účinně provést pod tlakem.
• Procesy přezkoumání po incidentu, aby se organizace poučila z každé události a průběžně zlepšovala svou schopnost reakce.

4. Posilte řízení rizik dodavatelského řetězce a třetích stran

Zejména DORA povyšuje řízení rizik třetích stran v oblasti ICT z činnosti náležité péče na klíčovou disciplínu provozní odolnosti. Finanční subjekty jsou nyní výslovně odpovědné za odolnost svých kritických poskytovatelů ICT služeb. NIS2 rovněž vyžaduje, aby subjekty řešily rizika vyplývající z jejich dodavatelů.

Bezpečnostní politika pro dodavatele a poskytovatele služeb třetích stran, část 5.2 - SME vyžaduje, aby:

Každý dodavatel byl před zahájením spolupráce posouzen z hlediska potenciálních rizik.

Dále vymezuje nezbytná opatření a uvádí, že „požadavky organizace na bezpečnost informací musí být s dodavateli dohodnuty a dokumentovány.“ Pro DORA a NIS2 to jde ještě dál:

• Udržujte registr všech poskytovatelů ICT služeb třetích stran, s jasným rozlišením těch, kteří jsou považováni za „kritické“.
• Zajistěte, aby smlouvy obsahovaly konkrétní ustanovení týkající se bezpečnostních opatření, práv na audit a strategií ukončení. DORA je v této oblasti velmi preskriptivní.
• Provádějte pravidelná posouzení rizik kritických dodavatelů, a to nejen při jejich zařazení, ale po celý životní cyklus vztahu.
• Vypracujte nouzové plány pro selhání nebo ukončení vztahu s kritickým dodavatelem, aby byla zajištěna kontinuita služby.

5. Budujte a testujte odolnost

Oba předpisy jsou ve své podstatě zaměřeny na odolnost. Organizace musí být schopna udržet kritické činnosti během kybernetického incidentu i po něm. To vyžaduje komplexní program řízení kontinuity činností (BCM).

Politika kontinuity činností a obnovy po havárii - SME zdůrazňuje potřebu začlenit bezpečnost do plánování BCM. Uvádí, že „organizace musí určit své požadavky na bezpečnost informací a kontinuitu řízení bezpečnosti informací v nepříznivých situacích.“ To znamená, že plány BCM a obnovy po havárii (DR) musí být navrženy s ohledem na kybernetické útoky. Mezi klíčová opatření patří:

• Provádění analýz dopadů na činnosti organizace (BIA) za účelem identifikace kritických procesů a jejich cílových dob obnovy (RTO).
• Vypracování a dokumentování plánů BCM a DR, které jsou jasné, použitelné a dostupné.
• Pravidelné testování těchto plánů prostřednictvím realistických scénářů, včetně simulací kybernetických útoků. Požadavek DORA na penetrační testování řízené hrozbami u určených subjektů představuje vrchol této praxe.

Dodržením těchto kroků a jejich začleněním do ISMS sladěného s ISO 27001 mohou organizace vybudovat obhajitelný a účinný program compliance, který splňuje vysokou laťku nastavenou NIS2 i DORA.

Propojení souvislostí: poznatky k compliance napříč předpisy

Jedním z nejefektivnějších způsobů, jak uchopit NIS2 a DORA, je rozpoznat jejich významný překryv se stávajícími globálně uznávanými normami, zejména s rámcem ISO/IEC 27001 a 27002. Nahlížení na tyto nové předpisy optikou opatření ISO umožňuje organizacím využít stávající investice do ISMS a vyhnout se budování všeho od nuly.

Zenith Controls poskytuje klíčové křížové odkazy, které tyto vazby objasňují a ukazují, jak jedno opatření z ISO/IEC 27002:2022 může pomoci splnit požadavky více právních předpisů.

Správa a řízení a politiky (ISO/IEC 27002:2022 opatření 5.1): Požadavek na dohled vedoucího orgánu je základním kamenem NIS2 i DORA. Plně odpovídá opatření 5.1, které se zaměřuje na vytvoření jasných politik bezpečnosti informací. Jak vysvětluje Zenith Controls, toto opatření je základní pro doložení závazku vedení.

Toto opatření přímo podporuje NIS2 Article 20, který činí vedoucí orgány odpovědnými za dohled nad implementací opatření pro řízení rizik kybernetické bezpečnosti. Zároveň je sladěno s DORA Article 5, který vyžaduje, aby vedoucí orgán definoval, schválil a dohlížel na rámec digitální provozní odolnosti.

Zavedením robustního rámce politik schváleného a pravidelně přezkoumávaného vedením vytváříte primární důkazy potřebné ke splnění těchto zásadních článků v oblasti správy a řízení.

Řízení incidentů (ISO/IEC 27002:2022 opatření 5.24): Náročné požadavky obou předpisů na hlášení incidentů jsou přímo řešeny vyspělým plánem řízení incidentů. Opatření 5.24 (plánování a příprava řízení incidentů informační bezpečnosti) poskytuje potřebnou strukturu. Návaznost je výslovná:

Toto opatření je nezbytné pro soulad s NIS2 Article 21(2), který vyžaduje opatření pro zvládání bezpečnostních incidentů, a s Article 23, který stanoví přísné lhůty pro hlášení incidentů. Rovněž se mapuje na detailní proces řízení incidentů podle DORA popsaný v Article 17, který zahrnuje klasifikaci a hlášení významných incidentů souvisejících s ICT.

Dobře zdokumentovaný a otestovaný plán reakce na incidenty založený na tomto opatření není pouze osvědčenou praxí; je přímým předpokladem souladu s NIS2 a DORA.

Riziko třetích stran v oblasti ICT (ISO/IEC 27002:2022 opatření 5.19): Intenzivní zaměření DORA na dodavatelský řetězec je jedním z jejích určujících prvků. Opatření 5.19 (bezpečnost informací ve vztazích s dodavateli) poskytuje rámec pro řízení těchto rizik. Zenith Controls zdůrazňuje tuto kritickou vazbu:

Toto opatření je zásadní pro řešení rozsáhlých požadavků v DORA Chapter V na řízení rizik třetích stran v oblasti ICT. Podporuje také NIS2 Article 21(2)(d), který vyžaduje, aby subjekty zajistily bezpečnost svých dodavatelských řetězců, včetně vztahů mezi každým subjektem a jeho přímými dodavateli.

Implementace procesů popsaných v opatření 5.19, jako je prověřování dodavatelů, smluvní ujednání a průběžné monitorování, buduje přesně ty schopnosti, které DORA a NIS2 vyžadují.

Kontinuita činností (ISO/IEC 27002:2022 opatření 5.30): DORA je ve své podstatě o odolnosti. Opatření 5.30 (připravenost ICT pro kontinuitu činností) je v ISO ekvivalentem tohoto principu. Vazba je přímá a silná.

Toto opatření je základním kamenem pro splnění hlavního cíle DORA, kterým je zajistit kontinuitu činností a odolnost ICT systémů. Přímo podporuje požadavky uvedené v DORA Chapter III (testování digitální provozní odolnosti) a Chapter IV (řízení rizik třetích stran v oblasti ICT). Je také sladěno s NIS2 Article 21(2)(e), který vyžaduje politiky kontinuity činností, například správu záloh a obnovu po havárii.

Budováním programu BCM kolem tohoto opatření současně vytváříte základ pro soulad s DORA. To ukazuje, že ISO 27001 není paralelní dráhou, ale přímým prostředkem pro splnění nových evropských regulačních požadavků.

Rychlý přehled: příloha A ISO 27001 vs. NIS2 vs. DORA

Toto sladění ukazuje, jak jedno opatření ISO může pomoci splnit více regulačních požadavků, a činí z ISO 27001 přímý prostředek k dosažení souladu s NIS2 a DORA.

Příprava na kontrolu: na co se budou auditoři ptát

Až přijdou regulační orgány nebo auditoři, budou hledat hmatatelné důkazy o živém programu bezpečnosti a odolnosti, nikoli pouze sadu dokumentů. Budou prověřovat, zda jsou politiky implementovány, opatření účinná a plány otestované. Pochopení jejich zaměření vám umožní připravit správné důkazy a zajistit, aby týmy byly připraveny odpovědět na náročné otázky.

Vodítka z Zenith Blueprint, plánu postupu pro auditory, poskytují cenný pohled na to, co očekávat. Auditoři budou systematicky procházet klíčové domény a vy musíte být připraveni na každou z nich.

Níže je kontrolní seznam toho, co budou auditoři požadovat a co budou dělat, vycházející z jejich metodiky:

1. Správa a řízení a závazek vedení:

• Co budou požadovat: zápisy z jednání vedoucího orgánu, statuty rizikových výborů a schválené kopie hlavních politik bezpečnosti informací.
• Co budou dělat: Jak je popsáno v Zenith Blueprint v části „Fáze 1, krok 3: Porozumění rámci správy a řízení“, auditoři budou „ověřovat, že vedoucí orgán formálně schválil politiku ISMS a je pravidelně informován o postoji organizace k riziku.“ Budou hledat důkazy aktivního zapojení, nikoli pouze podpis na rok starém dokumentu.

2. Řízení rizik třetích stran:

• Co budou požadovat: úplnou evidenci dodavatelů ICT, smlouvy s kritickými poskytovateli, zprávy z posouzení rizik dodavatelů a důkazy o průběžném monitorování.
• Co budou dělat: V části „Fáze 4, krok 22: Posouzení řízení rizik třetích stran“ se auditor zaměřuje na náležitou péči a smluvní důslednost. Zenith Blueprint uvádí klíčové požadované důkazy: „smlouvy, dohody o úrovni služeb (SLA) a auditní zprávy od dodavatelů.“ Auditoři tyto dokumenty podrobně prověří, aby se ujistili, že obsahují konkrétní ustanovení požadovaná DORA, například práva na audit a jasné bezpečnostní povinnosti.

3. Plány reakce na incidenty a kontinuity činností:

• Co budou požadovat: váš plán reakce na incidenty, plán kontinuity činností, plán obnovy po havárii a především výsledky posledních testů, cvičení a simulací.
• Co budou dělat: Auditoři nebudou vaše plány pouze číst. Jak je uvedeno v části „Fáze 3, krok 15: Přezkum plánů reakce na incidenty a kontinuity činností“, jejich zaměření je na „testování a validaci plánů.“ Budou požadovat zprávy po cvičeních typu tabletop, výsledky penetračních testů (zejména zprávy TLPT pro DORA) a důkazy, že zjištění z těchto testů byla sledována až do nápravy. Plán, který nikdy nebyl otestován, auditor považuje za plán, který neexistuje.

4. Bezpečnostní povědomí a školení:

• Co budou požadovat: školicí materiály, záznamy o absolvování školení pro různé skupiny zaměstnanců (včetně vedoucího orgánu) a výsledky phishingových simulací.
• Co budou dělat: V části „Fáze 2, krok 10: Vyhodnocení bezpečnostního povědomí a školení“ budou auditoři „posuzovat účinnost školicího programu přezkumem jeho obsahu, frekvence a míry dokončení.“ Budou chtít vidět, že školení je přizpůsobeno konkrétním rolím a že se měří jeho účinnost.

Připravenost s těmito důkazy předem promění audit ze stresového reaktivního shánění podkladů v hladké doložení vyspělosti organizace a jejího závazku k odolnosti.

Časté chyby

Přestože je cesta k souladu s NIS2 a DORA jasná, existuje několik častých chyb, které mohou zmařit i dobře míněné úsilí. Uvědomění si těchto rizik je prvním krokem k tomu, jak se jim vyhnout.

1. Mentalita „pouze IT“: Považovat NIS2 a DORA za problém výhradně IT nebo oddělení kybernetické bezpečnosti je nejčastější chyba. Jde o předpisy na úrovni celé organizace zaměřené na provozní odolnost. Bez podpory a aktivní účasti vedoucího orgánu a vedoucích obchodních útvarů nebude žádné úsilí o compliance schopno naplnit základní požadavky na správu a řízení a vlastnictví rizik.

2. Podcenění dodavatelského řetězce: Mnoho organizací má slepé místo, pokud jde o skutečný rozsah závislosti na poskytovatelích ICT služeb třetích stran. Zejména DORA vyžaduje hluboké a vyčerpávající porozumění tomuto ekosystému. Pouhé rozeslání bezpečnostního dotazníku již nestačí. Neschopnost správně identifikovat všechny kritické dodavatele a začlenit robustní požadavky na bezpečnost a odolnost do smluv představuje zásadní mezeru v compliance.

3. „Papírová“ odolnost: Vytváření podrobných plánů reakce na incidenty a kontinuity činností, které vypadají dobře na papíře, ale nikdy nebyly otestovány v realistickém scénáři. Auditoři i regulační orgány to rychle rozpoznají. Odolnost se prokazuje činností, nikoli dokumentací. Nedostatek pravidelného a důkladného testování je varovným signálem, že organizace není připravena na skutečnou krizi.

4. Ignorování informací o hrozbách: Pouhá reakce na hrozby je předem prohraný přístup. NIS2 i DORA implicitně i explicitně požadují proaktivnější přístup k bezpečnosti založený na informacích o hrozbách. Organizace, které nezavedou proces sběru, analýzy a využívání informací o hrozbách, budou obtížně dokládat, že účinně řídí rizika, a budou stále o krok za útočníky.

5. Vnímání compliance jako jednorázového projektu: NIS2 a DORA nejsou projekty s datem ukončení. Zavádějí průběžný požadavek na monitorování, oznamování a neustálé zlepšování. Organizace, které tuto oblast vnímají jako závod k termínu a následně omezí zdroje, rychle se dostanou mimo soulad a nebudou připraveny na další audit nebo, v horším případě, na další incident.

Další kroky

Cesta k souladu s NIS2 a DORA je maraton, nikoli sprint. Vyžaduje strategický a strukturovaný přístup založený na ověřených rámcích. Nejúčinnější cestou je využít komplexní opatření ISO 27001 jako základ.

1. Proveďte analýzu mezer: Začněte posouzením aktuálního stavu vůči požadavkům NIS2, DORA a ISO 27001. Náš hlavní průvodce Zenith Controls poskytuje detailní mapování, které potřebujete k pochopení, kde vaše opatření požadavky splňují a kde existují mezery.

2. Vybudujte ISMS: Pokud jej dosud nemáte, zaveďte formální systém řízení bezpečnosti informací. Využijte naši sadu šablon politik, například Full SME Pack - SME nebo Full Enterprise Pack, a urychlete vytvoření svého rámce správy a řízení.

3. Připravte se na audity: Od prvního dne uvažujte jako auditor. Využijte Zenith Blueprint, abyste porozuměli tomu, jak bude váš program prověřován, a vybudovali důkazní základnu potřebnou k sebejistému doložení souladu.

Závěr

Příchod směrnice NIS2 a nařízení DORA představuje zásadní okamžik pro kybernetickou bezpečnost a provozní odolnost v Evropě. Nejde pouze o dílčí aktualizaci stávajících pravidel, ale o zásadní přetvoření regulačních očekávání, které vyžaduje větší odpovědnost vedení, hlubší prověřování dodavatelského řetězce a hmatatelný závazek k odolnosti.

Přestože je tato výzva významná, představuje zároveň příležitost. Příležitost překročit formální odškrtávání požadavků a vybudovat skutečně robustní bezpečnostní stav, který nejen uspokojí regulační orgány, ale také ochrání organizaci před stále rostoucí hrozbou narušení. Využitím strukturovaného přístupu ISO 27001 založeného na rizicích mohou organizace vybudovat jednotný program, který efektivně a účinně pokrývá klíčové požadavky obou předpisů. Další postup vyžaduje závazek, investice a kulturní změnu vedenou shora, ale výsledkem je organizace, která není pouze v souladu, nýbrž skutečně odolná vůči moderním digitálním hrozbám.