V říjnu 2024 vstoupila v platnost nová evropská směrnice NIS2, která významně upravuje pravidla kybernetické bezpečnosti. V průběhu příštího roku vstoupí v platnost nový český zákon o kybernetické bezpečnosti. Obojí se dotkne velkého počtu nejen výrobních firem u nás. Jsme na to připraveni? Co můžeme udělat, aby implementace NIS2 proběhla úspěšně a „bezbolestně“? Cenné rady přináší Miroslav Kuric, konzultant pro digitalizaci průmyslu a odborník na kybernetickou bezpečnost ve výrobě ze společnosti Siemens.
Evropská směrnice NIS2 přichází v době, kdy se svět potýká s extrémním nárůstem kybernetické kriminality. K útokům na kritickou infrastrukturu, státní instituce i průmyslové podniky dochází denně a z nejrůznějších stran i s využitím umělé inteligence. Zatímco firmy z IT sektoru se již poměrně dobře naučily s touto situací vyrovnat, výrobní sektor je často zaskočen a mnohdy neví, jak se účinně bránit.
„Musíme si uvědomit, že v dnešní době se dá ‚hacknout‘ prakticky cokoliv. V relativním bezpečí už zůstává jen to, co dosud není připojeno do datové sítě. Zbytek v ohrožení je, tedy v dnešní době prakticky téměř vše,“ zdůrazňuje Miroslav Kuric. „Na tuto situaci reaguje evropská směrnice NIS2, která vstupuje v platnost na podzim letošního roku. Vychází z principu zabezpečení výroby jako služby a definuje výrobu jako regulovanou službu pro veřejnost, kterou je třeba chránit. Výroba dosud takto chráněna nebyla, nebyl na to kladen důraz ani plánované investice do kybernetické bezpečnosti. To se ale dnes musí zásadně změnit. I pro výrobní společnost budou platit jednoznačné standardy kybernetické bezpečnosti a firmy se jí musí začít vážně zabývat,“ dodává.
Zabezpečení IT a OT jsou dvě různé disciplíny
Výrobní podniky mají často dobře zabezpečené vlastní informační technologie (IT), ale velký problém nastává v okamžiku, kdy přijde požadavek na zabezpečení řízení výroby OT (operational technology). Na první pohled by se mohlo zdát, že zabezpečit výrobní technologie lze stejnými postupy jako v případě informačních technologií. Bohužel, zdání klame. Rozdíly mezi IT a OT jsou někdy obrovské. „Ve výrobních podnicích se obvykle setkáváme se třemi podstatnými aspekty z hlediska bezpečnosti v OT, je to kontinuální provoz výroby (často v režimu 24/7, 365 dní v roce), jsou to specifické jednoúčelové stroje a také velmi dlouhý životní cyklus výrobních strojů a technologií. Kontinuální provoz výroby pochopitelně vyžaduje nepřetržitý dohled a stejně tak řízení bez jakéhokoliv výpadku. Příkladem mohou být sklárny, ve kterých se tavba skla nedá zastavit a případné zastavení představuje prakticky destrukci zařízení. Dopad na způsob práce s kybernetickou bezpečností je v tomto případě enormní. To, co je v IT světě naprostým standardem, tzn. prakticky neustálé úpravy systémů a pravidelná aktualizace prostředků, u kontinuální výroby vůbec použít nelze. Odstávky ve výrobě se musejí plánovat velmi pečlivě a dlouho dopředu. Existuje řada typů nepřetržitých výrob, ve kterých dokonce lze udělat odstávku a zásah do systému v horizontu až několika let,“ vysvětluje Miroslav Kuric.
„Dalším úskalím pro kybernetickou bezpečnost představují specifické jednoúčelové stroje, například obráběcí stroje. Jsou řízeny specifickými prvky, které obvykle mají proprietární softwarové vybavení, častou nejsou k dispozici od výrobce bezpečnostní aktualizace a není neobvyklé, že původní výrobce stroje již ani neexistuje. Takovýto prvek je standardními postupy prakticky nemožné zabezpečit a je nutné použít odlišné postupy,“ pokračuje Kuric. A dodává: „Komplikace mohou nastat i v případě standardních řídicích prvků výroby – PLC, která řídí procesy s přesným taktem po sobě jdoucích procesních kroků, například u skupiny dopravníků. Výpočetní výkon PLC je plně dedikovaný pro udržení taktu řízení a zásah do softwarového vybavení může mít za následek nedodržení taktu řízení. Zde nepřipadá v úvahu, aby se některý procesní krok odchýlil od přesně daného časového úseku, například kvůli tak triviální aktivitě, jako je instalace antiviru. A k tomu si ještě přidejme fakt, že výrobní zařízení mají obecně mnohonásobně delší životní cyklus než běžná IT zařízení.
Není žádnou výjimkou vidět ve výrobě stroje staré 20 i více let, které stále dobře plní svoji funkci, nicméně z hlediska kybernetické bezpečnosti představují výrazné riziko. Pro inspiraci, dokázali byste si představit požádat svého IT manažera o zabezpečení IT serveru, který je 20 let starý?“ Samostatnou kapitolu pak tvoří zabezpečení kritické infrastruktury, pro kterou je kybernetická bezpečnost jedním z klíčových témat naštěstí již delší dobu. Zástupci veřejného sektoru se tak podílejí na definici požadavků a specifikaci praktické aplikace NIS2 i pro průmyslové podniky. Na co oba sektory, veřejný i soukromý, v praxi narážejí, je nedostatek odborníků v této oblasti. Je proto velmi praktické využít pro implementaci požadavků NIS2 partnery, kteří již mají v této oblasti praktické zkušenosti.
Evropská Směrnice NIS2 (Network and Information Security 2)
NIS2 představuje novou, výrazně rozšířenou verzi stávající směrnice NIS, která členským státům EU ukládá povinnost přijmout a důrazně dodržovat předpisy v oblasti kybernetické bezpečnosti. Hlavním cílem nové směrnice NIS2 je zvýšit odolnost veřejného i soukromého sektoru vůči kybernetickému zločinu. Řízení kybernetické bezpečnosti řeší na evropské i vnitrostátní úrovni. Směrnice NIS2 se vztahuje na všechny subjekty (podniky i jejich dodavatele), které poskytují služby v odvětvích specifikovaných vyhláškou a splňují kritérium více než 50 zaměstnanců a obratu převyšujícího 10 milionů eur.
Jak tedy můžeme výrobní technologie chránit?
„Bohužel zde nemůžeme používat standardní postupy, které známe z IT světa,“ upozorňuje Miroslav Kuric. „Vždy musíme zohlednit specifika dané výroby a tomu přizpůsobit koncept kybernetické bezpečnosti. Když nejsme schopni zajistit ochranu technologického celku, hledáme způsob, jak ochránit technologický celek zvnějšku. Hlídáme, co se děje v okolí tohoto systému, co do něho vstupuje a co z něj vystupuje. A na to pak příslušným způsobem reagujeme. Siemens prosazuje tzv. vícevrstvou obranu, které také říkáme hloubková obrana. Cílem není udělat několik jednoduchých opatření, ale mít celou řadu opatření v liniích, kterými se musí útočník postupně prolamovat, než se dostane k místu, kde má možnost zaútočit a udělat nějakou škodu.“
NIS2 se bude vztahovat na mou firmu. Co teď?
Postup je jednoduchý. Prvním krokem je začít se celé této věci aktivně věnovat a ideálně ustanovit odpovědné osoby či týmy pro bezpečnost v OT. V druhém kroku by si firma měla udělat rozdílovou analýzu, tzn. zjistit, co bude potřebovat, aby vyhověla požadavkům směrnice, a kde se v tuto chvíli nachází. Ve třetím kroku by už měla začít pracovat na odstranění všech nesouladů, ideálně vytvořením konceptu kybernetické bezpečnosti a jeho postupným doplňováním, dodržováním stanovených pravidel a implementací do praxe. „Firmy by se neměly této směrnice bát ani k ní přistupovat negativně jako k něčemu, co je zbytečné a komplikuje to život. NIS2 má dobrou myšlenku a dobrý základ – zdůrazňuje kybernetickou bezpečnost v oblasti výroby, kde bývala často opomíjena. Sleduje trend propojování IT s OT, který vidíme denně například ve formě zřizování vzdálených přístupů k ovládání strojů nebo k diagnostice. Z tohoto pohledu přichází směrnice ve správný moment,“ zdůrazňuje Miroslav Kuric.
S partnerem to jde snadněji
Dotčené firmy se ale určitě nemusí s implementací NIS2 potýkat samy. Často se ukáže jako nejlepší řešení obrátit se na některého důvěryhodného partnera, který firmu provede celým procesem a pomůže jí jak v oblasti organizační, tak i technické a lidské, protože směrnice dává velký důraz na práci s lidmi a jejich vzdělávání. V případě výrobních firem by tento partner rozhodně měl mít zkušenosti s výrobou, tedy s OT. Poněvadž se bavíme o kybernetické bezpečnosti, tak by tento partner měl být automaticky zkušený a důvěryhodný i v této oblasti. „Firmám bych dále doporučil, aby nedaly na první dojem a potenciálního partnera si dobře prověřily. V současné době registrujeme vznik řady firem, které nabízejí konzultace v oblasti organizační, nicméně nemají žádné, anebo jen velmi omezené kompetence v oblasti technické. Směrnice NIS2 je ale na rozdíl od jiných, které vznikají v rámci EU, zaměřena ryze technicky, takže její implementace bude znamenat mnohem více práce právě v technické oblasti než v té organizační,“ upozorňuje Miroslav Kuric.
Akt o kybernetické odolnosti (CRA)
Kromě směrnice NIS2 se v Evropské unii projednává další nařízení, tzv. akt o kybernetické odolnosti (Cyber Resilience Act, CRA). Evropská komise je při vytváření nařízení v kontaktu s odbornými skupinami v celé EU, včetně odborné skupiny ze společnosti Siemens.
CRA dopadá na výrobce produktů, které obsahují nějaký digitální prvek (hardware a software). Nařízení určí bezpečnostní požadavky, které tyto produkty budou muset dodržovat, pokud budou prodávány na evropském trhu. CRA přichází ve chvíli, kdy jsou hardwarové a softwarové produkty stále více pod kybernetickými útoky, což vedlo k odhadovaným celosvětovým ročním nákladům ve výši 5,5 bilionu eur do roku 2021.
Nařízení by mělo vést ke zvýšení kybernetické bezpečnosti digitálních produktů, a tím omezit úspěšnost kybernetických útoků. Očekává se, že nařízení bude přijato na podzim 2024. V platnost by poté mělo vstoupit po tříletém přechodném období, tj. v druhé polovině roku 2027.
Směrnice NIS2 v českém právním řádu
Transponovat novou bezpečnostní směrnici NIS2 do českého právního řádu má za úkol Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Úřad vyhodnotil změny, které NIS2 přináší, jako natolik zásadní, že se rozhodl připravit zcela nový zákon o kybernetické bezpečnosti. Návrh zákona byl dne 17. července 2024 schválen vládou. Další fází legislativního procesu je projednání návrhu zákona v Poslanecké sněmovně. Transpoziční lhůta dle směrnice NIS2 požaduje schválení nového zákona k 18. říjnu 2024. Dle průběhu legislativního procesu se předpokládá účinnost zákona začátkem roku 2025.
Návrh nového zákona o kybernetické bezpečnosti sdružuje dosavadních několik typů povinných osob do jedné, kterou nazývá „poskytovatelem regulované služby“. Poskytovatel regulované služby musí naplňovat podmínky stanovené navrhovanou vyhláškou o regulovaných službách, kde si sám zjistí, pro jakou službu nebo služby je regulován. Následně se musí NÚKIBu sám ohlásit a zaregistrovat. Druhou možností je, že ho identifikuje sám NÚKIB v rámci správního řízení a následně ho zaregistruje. Poskytovateli regulované služby navrhovaný zákon následně přiděluje tzv. režim povinností, který vyplývá z typu poskytované regulované služby. Tyto režimy jsou dva: režim vyšších povinností a režim nižších povinností. Každý poskytovatel regulované služby bude ve výsledku spadat jen pod jeden z těchto režimů, který následně stanoví, jakým způsobem bude poskytovatel povinnosti plnit.
Obecné povinnosti všech poskytovatelů regulovaných služeb:
- vedle samotného ohlášení naplnění podmínek také povinnost hlásit kontaktní a další údaje;
- stanovit rozsah řízení kybernetické bezpečnosti;
- zavádět bezpečnostní opatření – souvisí s navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu vyšších povinností nebo navrhovanou vyhláškou o bezpečnostních opatřeních pro poskytovatele regulované služby v režimu nižších povinností;
- hlásit kybernetické bezpečnostní incidenty;
- informovat zákazníky o incidentech a hrozbách;
- provádět protiopatření a podřídit se výkonu kontroly;
- v případě specifické úzké množiny nejvýznamnějších poskytovatelů regulovaných služeb, tzn. poskytovatelů strategicky významných služeb, nad rámec obecných povinností dále také plnit povinnosti mechanismu řízení bezpečnosti dodavatelského řetězce a zajišťovat dostupnost strategicky významných služeb na území České republiky.
Zdroj: webové stránky NÚKIB osveta.nukib.gov.cz/course/view.php?id=145
Zjistěte, jak vám může pomoci Siemens
Jako zakládající člen Charty důvěry (Charter of Trust) a díky vlastnímu vysoce kompetentnímu týmu v oblasti kybernetické bezpečnosti Siemens umí proaktivně zajistit tu nejaktuálnější ochranu svých zákazníků i vlastních zařízení. Nejvyšší požadavky na zajištění kybernetické bezpečnosti jsou v případě řešení Siemens zakomponovány již do fáze návrhu produktů i jednotlivých řešení. Samozřejmostí je zajištění bezpečnosti a aktualizace produktů a řešení po celou dobu jejich životnosti. Kromě technické stránky řešení Siemens poskytuje rovněž konzultace a kvalifikovaná školení, která jsou cílená přesně na obsah nové směrnice NIS2. Naši odborníci již léta spolupracují nejen s celou řadou institucí, ale i se zákazníky z oblasti kritické infrastruktury, proto v nich najdete spolehlivého partnera s letitou praktickou zkušeností. Pokud spadáte do kategorie firem, kterých se bude týkat povinnost plnit požadavky NIS2, resp. nového českého zákona o kybernetické bezpečnosti, podívejte se, jak by vám mohla společnost Siemens pomoci.
Více informací: siemens.cz/nis2