NIS2 krok za krokem: Jak zavést nové požadavky ve vaší firmě

Nové požadavky na kybernetickou bezpečnost jsou detailní a jejich zavedení vyžaduje značné investice. Nejde jen o nákup nového softwaru. Jde o komplexní změnu v přemýšlení, procesech a technologiích.

Pokud jste o NIS2 zatím jen slyšeli, ale nevíte, kde přesně začít, jste na správném místě. V tomto článku se podíváme, jak probíhá implementace NIS2 krok za krokem v menší firmě.

Nejste si jistí, jestli se NIS2 týká i vaší firmy? Zjistěte to dřív, než bude pozdě. Kontaktujte nás a domluvte si nezávaznou konzultaci, kde zmapujeme vaši situaci. Chci nezávaznou konzultaci

Koho se směrnice NIS2 týká a proč se nevyplatí ji podceňovat

Spousta firem doufá, že se jich nové povinnosti týkat nebudou. Realita je ale taková, že směrnice dopadá na mnohem širší okruh podniků než její předchůdkyně. Nezáleží přitom jen na oboru podnikání, ale i na dalších kritériích, například velikosti firmy, typu poskytovaných služeb, napojení na kritickou infrastrukturu nebo roli v dodavatelském řetězci. NIS2 se tak může týkat i běžných firem z oblastí, jako je výroba, e-commerce, právní služby, logistika nebo IT.

Největším rizikem přitom nemusí být pokuta od úřadu. Většina společností, které musí NIS2 plnit, budou to samé vyžadovat i od svých dodavatelů. Pokud nebudete „NIS2 compliant“, tak hrozí, že přijdete o klíčové zákazníky, protože pro ně přestanete být důvěryhodným partnerem. Z naší zkušenosti platí, že čím dřív firma zmapuje svůj stav, tím snazší a méně stresující je následná implementace.

Kolik stojí příprava na NIS2?

Implementace NIS2 vyžaduje značné investice. „Každá firma si musí zodpovědně vyhodnotit, jestli do NIS2 spadá, protože jde o velký zásah do jejího fungování i rozpočtu,“ říká náš vedoucí technického oddělení Radim Krušandl.

Jako příklad můžeme vzít firmu o 50 zaměstnancích, kde se počáteční investice do analýz a nových opatření pohybuje kolem 350 000 Kč. Jedná se o investici do prevence, jelikož odstranění následků kyberútoku bývá mnohonásobně dražší. Výsledná částka je ale individuální, protože záleží na současném stavu IT a rozsahu povinností, které je potřeba splnit.

„Často se setkáváme s klasickým českým přístupem: Jak to obejít, abych nemusel tolik platit? Jak to udělat, abych do NIS2 nespadl? Takové strategie jsou ale dost krátkozraké, protože firmy, které čekají, až na ně někdo přijde nebo je někdo udá, podstupují obrovské riziko.“ Radim Krušandl, vedoucí technického oddělení HelloIT

Náš přístup: Srozumitelně a na míru

Příprava na NIS2 se může zdát jako nepřekonatelná legislativní propast. My však stavíme na srozumitelnosti a přiměřenosti.

Naši klienti oceňují, že tato složitá témata umíme vysvětlit lidsky tak, aby je každý pochopil. A namísto rychlého odhadu „bude to stát milion“ hledáme řešení, které odpovídá vaší velikosti a potřebám. Je totiž velký rozdíl v zabezpečení podniku o 50 lidech a korporace o tisíci zaměstnancích.

Díky zkušenostem z finančního sektoru, kde platí ještě přísnější pravidla DORA, umíme hledat přiměřená řešení a rovnováhu mezi legislativními požadavky a realitou menší firmy.

NIS2 není jen pro velké hráče. I firma do 200 lidí může mít nové povinnosti. Zjistěte, jak na ně, a vyhněte se problémům v dodavatelském řetězci. Chci vědět víc

Implementace NIS2 krok za krokem

Celý proces, od analýzy po nasazení, trvá u menší firmy přibližně šest měsíců a skládá se ze čtyř hlavních kroků.

Krok 1: Audit a analýza současného stavu

Než začnete cokoliv kupovat, musíte vědět, jak na tom jste.

‍

1. Vyhodnocení dopadu: Nejprve zjistěte, zda do NIS2 spadáte. Můžete využít online kalkulačky (např. od NÚKIB) nebo se poradit s námi. V HelloIT spolupracujeme s právními partnery, kteří dopad na vaši firmu přesně vyhodnotí.
2. Hloubková analýza: Pokud se vás NIS2 týká, provedeme komplexní analýzu vaší současné IT infrastruktury.
3. Report: Výstupem není žádný obecný checklist. Dostanete od nás přehledné shrnutí stavu: co máte vs. co byste podle NIS2 měli mít. Tento dokument se stává základním kamenem pro celý další postup.

‍

Krok 2: Technická opatření (hardware a software)

Na základě analýzy navrhneme konkrétní technická opatření s cílem najít rozumný poměr cena/výkon. Existuje však technické minimum, které dnes potřebuje každá firma.

‍

• Dvoufaktorové ověření (2FA/MFA): Heslo už dávno nestačí. 2FA je dnes absolutní nutností pro ochranu přístupů.
• Sofistikovaný antivir a firewall: Základní antivir je už léta překonaný. Proto nasazujeme spolehlivá bezpečnostní řešení jako Eset nebo Sophos.
• Omezení práv a přístupů: Zajistíme, aby zaměstnanci měli přístup opravdu jen k tomu, co nezbytně potřebují pro svou práci.

‍

Krok 3: Nastavení procesů a dokumentace

Technologie je jen polovina úspěchu. NIS2 klade obrovský důraz na procesy a pravidla.

‍

• Interní směrnice a postupy: Pomůžeme vám vytvořit nebo aktualizovat klíčové dokumenty, jako jsou IT směrnice, bezpečnostní politika nebo pravidla pro práci s daty a přístupy. U komplexní NIS2 legislativy se opíráme o naše právní partnery.
• Role a odpovědnosti: Součástí přípravy je i jasné určení toho, kdo je ve firmě za jednotlivé oblasti zodpovědný – například za IT, bezpečnost, komunikaci při incidentu nebo spolupráci s externími partnery.

‍

Krok 4: Školení zaměstnanců

Nejslabším článkem zabezpečení je často sám člověk. Proto se neobejdete bez prevence a vzdělávání. Pro vaše zaměstnance připravíme praktické školení kybernetické bezpečnosti, kde je naučíme, jak rozpoznat falešný e-mail, jak bezpečně pracovat s daty a jak se chovat v online prostředí.

Chcete mít jistotu, že na nic nezapomenete? Stáhněte si náš praktický NIS2 checklist a projděte si klíčové oblasti, na které se musíte zaměřit. Zadejte svůj e-mail a my vám ho obratem pošleme.

Nejčastější chyby firem při přípravě na NIS2

Z naší zkušenosti je největší chybou zaujmout postoj „mrtvého brouka“. Ten se obvykle skládá z jednoho nebo několika přístupů.

‍

1. Nás se to netýká: mylný předpoklad, že se do NIS2 nedostanete ani jako dodavatel.
2. Nějak to obejdeme: česká specialita, která se většinou prodraží.
3. Na to máme software: technologie bez procesů a školení nefunguje.
4. Nám se to stát nemůže: falešný pocit bezpečí, který končí po prvním útoku.

Zvládněte NIS2 s partnerem, kterému rozumíte

Implementace NIS2 sice stojí čas i peníze, ale zároveň chrání vaše podnikání. Klíčem je přiměřenost – firma o 50 lidech k zabezpečení přistoupí jinak, než korporát s tisíci zaměstnanci.

V HelloIT si zakládáme na srozumitelnosti. Víme, jak tato složitá témata vysvětlit lidsky, abyste chápali, proč je dané opatření potřeba a jaký má pro vás reálný přínos. Jsme vaším průvodcem ve světě IT bezpečnosti a legislativy.

Začněte s NIS2 ještě dnes. Během nezávazné úvodní konzultace zmapujeme vaši aktuální situaci, provedeme základní analýzu a navrhneme, co potřebujete ke splnění NIS2. Následně vám připravíme cenovou nabídku, abyste splnili vše potřebné a měli klid. Chci nezávaznou konzultaci