Nástroj NIS2: nákupní průvodce softwarem pro shodu
Jaké nástroje NIS2 skutečně potřebujete, kolik stojí, na co si dát pozor a které funkce jsou podle směrnice povinné.
Nástroj NIS2 je software, který firmám pomáhá zavést směrnici EU NIS2 (2022/2555) a její vnitrostátní transpozici (v Německu: BSIG / NIS2UmsuCG). Musí pokrýt 10 opatření kybernetické bezpečnosti z článku 21 NIS2, ohlašování incidentů a registraci u příslušného orgánu.
- NIS2 vyžaduje trvalé auditní důkazy. Wordové dokumenty nestačí.
- BSI kontroluje reakční doby (24h / 72h / 1 měsíc), které lze ručně jen těžko doložit.
- Osobní odpovědnost vedení podle §38 BSIG: potřebujete doklad, že opatření byla zavedena.
- 10 opatření z článku 21 se týká více oddělení. Koordinované nástroje šetří čas.
| Tool | Purpose | NIS2 |
|---|---|---|
| Platforma GRC | Governance, riziko a shoda. Zachycuje všechna opatření, rizika a audity. | Povinná pro dokumentaci |
| Správa aktiv | Inventář IT aktiv jako základ pro analýzu rizik. | Povinná (RSK 2.2) |
| SIEM / protokolování | Detekce bezpečnostních událostí, forenzní analýza. | Důrazně doporučeno: rozpoznat incidenty podléhající ohlášení |
| Správa záplat | Sledování aktualizací operačních systémů a aplikací. | Povinná (článek 21(2)(e) NIS2) |
| MFA / IAM | Vícefaktorové ověřování, správa identit a přístupů. | Povinná (článek 21(2)(j) NIS2) |
| Zálohování / obnova po havárii | Zálohování dat a schopnost obnovy. | Povinná (článek 21(2)(c) NIS2) |
| Správa dodavatelů | Posouzení kybernetické bezpečnosti vašich dodavatelů a partnerů. | Povinná (článek 21(2)(d) NIS2) |
| Vzdělávací platforma | Osvětové školení pro všechny zaměstnance a vedení (§38 BSIG). | Povinná (článek 21(2)(g) NIS2) |
- Všech 10 opatření z článku 21 NIS2 / §30 BSIG
- Třístupňová kaskáda ohlašování incidentů (24h / 72h / 1 měsíc) podle §32 BSIG
- Registrační údaje BSI (§33 BSIG) s verzováním
- Auditní stopa: každá změna s časovým razítkem a odpovědnou osobou
- Schválení vedením podpisem v souladu s eIDAS
- Inventář dodavatelů s jejich vlastním stavem shody
- Podpora více zemí při přeshraniční činnosti v EU
- Závislost na dodavateli: úplný export dat musí být možný
- „Zdarma navždy“ jako marketingové tvrzení: často návnada, čtěte drobné písmo
- Všech 49 požadavků BSIG pokryto
- Integrovaná třístupňová kaskáda ohlašování incidentů
- Auditní stopa, kterou nelze smazat
- Ochrana odpovědnosti vedení: schválení, školení, důkazy
- Portál dodavatelů: samoobslužné dotazníky
- Bezplatná platforma, volitelný placený doprovod při zavádění
Kolik stojí nástroj NIS2?
Komerční nástroje GRC (Vanta, Drata, OneTrust) se u středně velké firmy obvykle pohybují mezi 10 000 a 60 000 EUR ročně. nisd2.eu je zdarma. Náš doprovod při zavádění začíná na 500 EUR měsíčně.
Potřebuji nástroj, nebo stačí Excel?
Excel nestačí. BSI vyžaduje auditní stopu odolnou proti manipulaci. Po incidentu musíte doložit, kdo co a kdy změnil. Soubory Excel se přepisují. Auditor BSI to bude rozporovat.
Stačí jeden nástroj, nebo jich potřebuji několik?
Nástroj GRC pokrývá dokumentaci a důkazy. Pro SIEM, správu záplat, MFA a zálohy stále potřebujete samostatné technické nástroje. Dobrý nástroj NIS2 integruje důkazy z těchto systémů.
Může být bezplatná platforma v souladu s NIS2?
Ano. NIS2 nepředepisuje konkrétního dodavatele. Rozhodující je, zda jsou požadavky splněny a zdokumentovány způsobem odolným vůči auditu. Open source a bezplatné nástroje to zvládnou stejně dobře jako drahá řešení SaaS.