Mikuláš je tu! Získaj 90 % extra kreditov ZADARMO s promo kódom CERTIK90 pri nákupe od 1 199 kreditov. Len do nedele 7. 12. 2025! Zisti viac:
NOVINKA: Najžiadanejšie rekvalifikačné kurzy teraz s 50% zľavou + kurz AI ZADARMO. Nečakaj, táto ponuka dlho nevydrží! Zisti viac:

29. diel - Technické a organizačné opatrenia NIS2 Nové

Predchádzajúci
Ďalší

V minulej lekcii, Analýza stavu a riadenia rizík podľa NIS2 , sme si ukázali, ako vykonať analýzu stavu organizácie a ako postupovať pri riadení rizík podľa NIS2.

V tomto tutoriále kyberbezpečnosti sa pozrieme podrobnejšie na technické a organizačné opatrenia, ktoré vyžaduje smernica NIS2. Zameriame sa na to, ako majú byť nastavené, ako zapadajú do celkového systému bezpečnosti a ako pomáhajú chrániť kľúčové časti prevádzky.

Technické opatrenia podľa NIS2

Technické opatrenia tvoria nevyhnutný základ, ktorý chráni infraštruktúru, dáta i užívateľov. Mnohé z nich sú dlhodobo overenými postupmi kybernetickej bezpečnosti a ich zavedenie je dôležité pre organizácie všetkých veľkostí. Smernica NIS2 ich nezaraďuje ako izolované technológie, ale ako súčasť uceleného systému riadenia bezpečnosti.

Ilustračné foto s motivom počítača a EU - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Pozrime sa na stručný prehľad jednotlivých tém, zoradený od najzákladnejších krokov, ktoré zvládne aj malá firma, až po opatrenia typické pre väčšie alebo kritickejšie systémy:

  • Bezpečné nakladanie s prístupovými údajmi – Základom ochrany je riadenie prístupov, teda kvalitná správa hesiel, viacfaktorové overovanie a jasne stanovené užívateľské roly. Tým sa minimalizuje riziko, že sa do systémov dostane niekto neoprávnený.
  • Ochrana staníc, serverov a správa aktualizácií – Koncové aj serverové zariadenia musia byť bezpečne nakonfigurované, pravidelne aktualizované a chránené pred škodlivým kódom. Súčasťou je aj sledovanie zraniteľností a ich včasné odstraňovanie. Ide o najdostupnejšiu a najdôležitejšiu vrstvu technickej ochrany.
  • Šifrovanie dát a bezpečná komunikácia – Citlivé informácie majú byť chránené pri prenose aj ukladaní. Šifrovanie zabraňuje tomu, aby útočník využil dáta aj v prípade, že sa k nim dostane.
  • Zálohovanie a obnova prevádzky – Pravidelné a overené zálohy sú kľúčové pre zvládnutie incidentov spôsobených útokmi, zlyhaním systémov alebo ľudskou chybou. Patrí medzi zásadné prvky odolnosti.
  • Sieťová segmentácia a oddelenie prostredia – Rozdelenie infraštruktúry na menšie časti obmedzuje šírenie útokov a výrazne znižuje dopady incidentov. Je dôležité najmä pre organizácie s komplexnejšou sieťou alebo väčším počtom služieb.
  • Monitoring a logovanie – Pre včasné odhalenie incidentov je nutné sledovať prevádzku, zbierať logy a mať nastavené alerty. Monitoring pomáha rozpoznať problém skôr, ako spôsobí väčšie škody, a umožňuje spätnú analýzu udalostí.
  • Pokročilé detekčné a ochranné mechanizmy – Nástroje, ako je EDR, IDS/IPS alebo WAF, pomáhajú hrozby aktívne detekovať a blokovať. Sú typické pre prostredia, ktoré vyžadujú vyššiu úroveň kontroly a odolnosti.
Téme segmentácie siete sa podrobne venujeme v lekcii Sieťová segmentácia ako základ bezpečnej infraštruktúry. Ako efektívne sledovať prevádzku a pracovať s logami, popisujeme v lekcii Monitoring a log management v kyberbezpečnosti.

Technické opatrenia tvoria prvú vrstvu obrany a majú zásadný vplyv na odolnosť organizácie. Aby bola bezpečnosť skutočne funkčná, musí na túto technickú základňu nadväzovať aj jasne nastavené organizačné procesy, zodpovednosti a pravidlá. Práve tým sa budeme venovať v nasledujúcej časti.

Organizačné opatrenia podľa NIS2

Technické opatrenia dokážu zabrániť mnohým útokom, ale sama o sebe nestačí. Aby bola bezpečnosť dlhodobo účinná, musí mať organizácia jasne nastavené procesy, zodpovednosti, pravidlá a kontrolu. Práve tento rámec tvoria organizačné opatrenia, ktoré NIS2 považuje za rovnako dôležité ako technológie.

Smernica zdôrazňuje, že bezpečnosť nie je výhradne úloha IT oddelenia, ale súčasť riadenia celej organizácie. Cieľom organizačných opatrení je zabezpečiť, aby technológie fungovali podľa dohodnutých pravidiel, zamestnanci vedeli, ako sa správať v bežnom aj rizikovom prostredí, a vedenie malo prehľad o tom, ako sú bezpečnostné povinnosti plnené.

Pozrime sa preto podrobnejšie na oblasti, ktoré tvoria základ stabilnej a riadenej kybernetickej bezpečnosti v prostredí NIS2.

Úloha, zodpovednosti a školenia zamestnancov

Aby bola bezpečnosť v organizácii dlhodobo udržateľná, musí byť jasne určené, kto za čo zodpovedá a aké má mať kompetencie a znalosti. NIS2 zdôrazňuje, že kybernetická bezpečnosť nie je len technická disciplína — je to riadený proces, ktorý si vyžaduje prehľadné rozdelenie rolí a priebežné vzdelávanie všetkých, ktorí sa na ňom podieľajú. Každá organizácia by teda mala mať popísané, kto sa stará o kľúčové oblasti bezpečnosti.

V menších firmách môže niekoľko týchto úloh plniť jedna osoba, vo väčších organizáciách je vhodné role rozdeliť. Dôležité je, aby všetci vedeli, na koho sa obrátiť, a aby vedenie malo prehľad o tom, ako sú povinnosti plnené.

Samotné určenie rolí nestačí – ľudia musia tiež rozumieť tomu, ako svoju úlohu vykonávať bezpečne. NIS2 požaduje pravidelné školenie všetkých zamestnancov, a to v rozsahu zodpovedajúcom ich práci.

Školenie zamestnancov – ilustračné foto - Kybernetická bezpečnosť - Kybernetická bezpečnosť

Školenie by malo zahŕňať napríklad:

  • bezpečnú prácu s dátami a zariadeniami,
  • rozpoznanie podozrivých e-mailov a útokov sociálneho inžinierstva,
  • správne postupy pri nakladaní s prístupovými údajmi,
  • povinnosti, ktoré vyplývajú z interných pravidiel,
  • a predovšetkým to, ako a komu incidenty hlásiť.
Vedúci zamestnanci a osoby s rozšírenými právomocami navyše potrebujú hlbšie znalosti, pretože rozhodujú o zmenách v prostredí alebo riešia dopady incidentov.

Bezpečnosť dodávateľov a externých služieb

Smernica NIS2 kladie dôraz na to, aby bola chránená nielen vlastná infraštruktúra organizácie, ale aj služby zabezpečované dodávateľmi. Praktická príprava preto zahŕňa základný prehľad o tom, ktorí dodávatelia sú pre prevádzku kľúčoví a aký vplyv môže mať ich zlyhanie na bezpečnosť.

Súčasťou tohto prístupu je posúdenie, či externé služby – napríklad cloud, hosting alebo IT podpora – spĺňajú potrebnú úroveň zabezpečenia. Pokiaľ majú vplyv na prevádzku významných systémov, je vhodné stanoviť jasné požiadavky v zmluvách a počítať s ich pravidelným preverovaním.

Dokumentácia

Dokumentácia tvorí dôležitú súčasť riadenia bezpečnosti. Nejde len o formálnu povinnosť, ale o nástroj, ktorý pomáha udržiavať prehľad o tom, ako sú systémy chránené a ako sa jednotlivé postupy vyvíjajú.

Do tejto oblasti patrí predovšetkým bezpečnostná politika, ktorá popisuje celkový prístup organizácie k ochrane informácií, ďalej už spomínaný plán riadenia rizík a jeho priebežné aktualizácie a tiež plán reakcie na incidenty.

Súčasťou dokumentácie sú aj záznamy o školeniach a prehľad testov, auditov a kontrol, ktoré ukazujú, či opatrenia fungujú v praxi.

Dokumenty nemajú byť zbytočne obsiahle – dôležité je, aby boli zrozumiteľné, aktuálne a zodpovedali veľkosti a potrebám organizácie.

Pravidelné kontroly a testovanie

Bezpečnostné opatrenia majú zmysel len vtedy, ak sa pravidelne overuje, že skutočne fungujú. Infraštruktúra, technológie aj hrozby sa neustále menia, a preto je priebežné preverovanie jedným z kľúčových prvkov celého systému riadenia kybernetickej bezpečnosti. Vďaka kontrolám je možné odhaliť slabiny, ktoré by sa inak prejavili až pri incidente.

Do tejto priebežnej starostlivosti patria predovšetkým testy zraniteľností a penetračné testy, ktoré ukazujú, ako ľahko by mohol útočník prekonať ochranné opatrenia. Na overenie pripravenosti slúži aj simulácia incidentov, napríklad modelové výpadky služieb alebo strata zariadení, ktoré pomáhajú preveriť reakciu technických tímov.

Systém musí byť pravidelne vyhodnocovaný, a preto sa v určitých intervaloch aktualizujú plány riadenia rizík i plány reakcie na incidenty. Akonáhle sa objavia nové hrozby alebo dôjde k významnej zmene v infraštruktúre, je nutné tomu prispôsobiť aj prijaté opatrenia.

Celý proces ukazuje, že bezpečnosť nie je jednorazová úloha, ale súčasť dlhodobej a priebežnej starostlivosti o stabilnú a bezpečnú prevádzku organizácie.

Hlásenie incidentov

Súčasťou požiadaviek NIS2 je tiež povinnosť oznamovať závažné bezpečnostné incidenty príslušným orgánom. Aby organizácia dokázala túto povinnosť splniť, musí vedieť, ako incident rozpoznať, kto ho vyhodnocuje a kto rozhoduje o tom, či má byť hlásený.

V tejto fáze NIS2 kladie dôraz predovšetkým na pripravenosť: organizácia má mať určené zodpovedné osoby, základný postup pre zhromaždenie potrebných informácií a vnútorný mechanizmus, ktorým môžu zamestnanci podozrivé udalosti nahlásiť.

Podrobné postupy hlásenia, lehoty a komunikácie s úradmi sa riešia v samostatnej lekcii, kde sa tejto oblasti budeme venovať viac do hĺbky.

Zhrnutie

Smernica NIS2 prináša nový štandard kybernetickej bezpečnosti, ktorý bude mať zásadný dopad na firmy a inštitúcie v celej Európskej únii. Zásadnou zmenou je nielen rozšírenie okruhu povinných subjektov, ale aj vyššie požiadavky na zabezpečenie, dokumentáciu a zodpovednosť. Ak chceme byť pripravení, musíme sa na NIS2 pozerať ako na príležitosť zlepšiť bezpečnostnú kultúru organizácie a chrániť sa pred reálnymi hrozbami.

Požiadavky smernice NIS2 nie sú len o dodržiavaní zákona, ale predovšetkým o budovaní odolného a bezpečného digitálneho prostredia. Každý IT špecialista aj každý zamestnanec v organizácii k tomu môže prispieť. A čím skôr začneme, tým lepšie budeme pripravení.

V ďalšej lekcii, Plán reakcie na bezpečnostné incidenty , sa pozrieme na plán reakcie na bezpečnostné incidenty. Povieme si, čo taký plán obsahuje, kto ho tvorí a kto je za neho zodpovedný.


 

Predchádzajúci článok
Analýza stavu a riadenia rizík podľa NIS2
Všetky články v sekcii
Kybernetická bezpečnosť
Preskočiť článok
(neodporúčame)
Plán reakcie na bezpečnostné incidenty
Článok pre vás napísal Max Snítil
Avatar
Užívateľské hodnotenie:
Ešte nikto nehodnotil, buď prvý!
.
Aktivity