Lhůta už uplynula. NIS2, aktualizovaná směrnice EU o kybernetické bezpečnosti, měla být napříč Unií promítnuta do národních zákonů do 17. října 2024. Pokud vaše organizace provozuje klíčové služby nebo je významným hráčem v některém z dotčených sektorů, otázka už nezní, zda se na vás pravidla vztahují; zní, zda dokážete regulátorovi prokázat, že jim vaše řízení přístupu vyhovuje. A poprvé tato otázka dopadá na vedení organizace, nikoli jen na IT oddělení.
Ověřování je teď pojmenováno v zákoně, ne jen v doporučeních
Dřívější rámce osvědčených postupů vícefaktorové ověřování doporučovaly. NIS2 jde dál. Jeho základní opatření pro řízení rizik (článek 21) požadují, aby organizace zavedly technická opatření zahrnující zásady řízení přístupu, kryptografii a (výslovně uvedené) používání vícefaktorového ověřování nebo řešení průběžného ověřování tam, kde je to vhodné.
V praxi už slabý nebo volitelný druhý faktor není obhajitelná pozice. Pokud se auditor zeptá, jak se privilegovaný administrátor přihlašuje k vašemu VPN, k serverům s Windows nebo k vaší správcovské konzoli, odpověď „heslem a občas kódem přes SMS“ je ta, která otevírá nález.
Na koho se to vztahuje
NIS2 dělí organizace na klíčové a důležité subjekty napříč širokou škálou sektorů: energetika, doprava, bankovnictví a infrastruktura finančních trhů, zdravotnictví, pitná a odpadní voda, digitální infrastruktura, veřejná správa a další, přičemž druhá úroveň zahrnuje poštovní služby, nakládání s odpady, zpracovatelský průmysl, potravinářství, chemický průmysl a poskytovatele digitálních služeb. Řada organizací, které stály mimo původní směrnici NIS, se nyní pevně ocitá uvnitř její nástupkyně.
Dvě změny posouvají věc za pouhé zaškrtnutí políčka o shodě:
- Odpovědnost vedení. Vedení musí opatření k řízení kybernetických rizik schvalovat a dohlížet na ně a může nést osobní odpovědnost za pochybení.
- Skutečné sankce. Dozorové orgány mohou uložit citelné pokuty: až 10 milionů eur nebo 2 % celosvětového ročního obratu, podle toho, co je vyšší, u klíčových subjektů.
Jak vlastně vypadá ověřování „na úrovni NIS2“
Mít nějaké MFA není totéž jako naplnit smysl směrnice. Opatření, které uspokojí auditora, od takového, které vypadá dobře jen na slidu, oddělují tři věci:
- Odolnost vůči phishingu. SMS kódy lze zachytit nebo obejít výměnou SIM karty a jak ony, tak i základní jednoklikové push notifikace podléhají přeposílacím útokům typu adversary-in-the-middle. Klíč navázaný na hardware uvnitř zařízení uživatele, takový, který nelze zkopírovat ani přehrát, tuto třídu rizik odstraňuje. Únava z push notifikací je samostatný problém a žádný klíč ani biometrie ji nezastaví ve chvíli, kdy výzva dorazí do telefonu: porazit ji lze jedině tím, co výzva zobrazuje: přesným, čitelným popisem toho, co přesně se schvaluje, takže se nikdy nic neschvaluje naslepo.
- Pokrytí privilegovaného a vzdáleného přístupu. Požadavek nezní „MFA na webmailu“. Je to každá cesta, kterou by útočník skutečně použil: VPN, vzdálená plocha, přihlášení k serverům, správcovské konzole.
- Důkazy. NIS2 je stejně tak o prokázání kontroly jako o jejím zavedení. Každé ověření by mělo zanechat auditovatelný záznam odolný vůči manipulaci o tom, kdo co schválil a kdy.
Kde do toho zapadá Notakey
Notakey je stavěn přesně pro tento profil organizace: regulované, bezpečnostně uvědomělé a zodpovědné vůči auditorům.
- Klíč uživatele se generuje uvnitř zabezpečeného hardwaru telefonu a nikdy jej neopustí. Neexistuje žádné sdílené tajemství, které by bylo možné ukrást, ani nic, co by šlo phishingem vylákat.
- Každé přihlášení a každá transakce jsou kryptograficky podepsaná událost s časovým razítkem: auditní stopa, kterou posouzení podle NIS2 vyžaduje, vytvořená automaticky, nikoli rekonstruovaná dodatečně.
- Pokrývá přístupové cesty, na kterých záleží, přes protokoly, kterými vaše systémy už hovoří. Podívejte se na praktické návody pro 2FA na VPN přes RADIUS, vzdálenou plochu ve Windows a Linux SSH.
- Běží ve vaší vlastní infrastruktuře nebo v cloudu, takže autentizační data mohou zůstat pod vaší kontrolou, se souladem s PSD2, eIDAS a GDPR zabudovaným od základu, nikoli dodatečně přišroubovaným.
Záměrně vám nebudeme tvrdit, že vás Notakey „uvede do souladu s NIS2“; to sám o sobě nedokáže žádný produkt. Co dokáže, je uzavřít tu část mezery, která má tvar ověřování, a předat vám důkazy, jimiž to prokážete.
Začněte pilotem, ne dokumentem s politikou
Nejrychlejší způsob, jak zjistit, zda vaše ověřování naplňuje NIS2, je otestovat ho ve vlastním prostředí: skutečný VPN, skutečné přihlášení administrátora, hrstka skutečných uživatelů. To vám o vaší mezeře (a o vašich důkazech) poví za týden víc než matice funkcí za celé čtvrtletí.
Vyzkoušejte živé demo a podepište transakci z vlastního telefonu zhruba za dvě minuty, nebo si vyžádejte demo a my vám namapujeme přístup přes VPN, SSO nebo Windows do funkčního pilotu.
Tento článek je obecná informace, nikoli právní poradenství. NIS2 je do národního práva promítána samostatně každým členským státem EU; konkrétní povinnosti, prahové hodnoty a lhůty, které se vztahují na vaši organizaci, si ověřte u kvalifikovaného právního poradce.