Řízení rizik podle NIS2
16.03.2025
V tomto článku si ukážeme, jak v Konfigurační databázi CMDB řídit rizika podle NIS2 (směrnice EU o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii č. 2022/2055), resp. připravované novely Zákona o kybernetické bezpečnosti, která směrnici NIS2 transponuje do české legislativy. Podle ní jsou poskytovatelé regulované služby mj. povinni řídit aktiva a řídit rizika.
Při nedodržení požadavků novely zákona hrozí celá řada sankcí. Směrnice NIS 2 stanovuje, že za porušení povinností vyplývajících z článků 21 až 23 této směrnice, mají být ukládány pokuty s maximální sankcí alespoň 10 mil. EUR nebo 2 % z celosvětového obratu pro tzv. „základní subjekty“, resp. 7 mil. EUR nebo 1,4 % z celosvětového obratu pro tzv. „důležité subjekty“. Tyto kategorie odpovídají poskytovatelům regulovaných služeb v režimu vyšších a nižších povinností podle novely zákona a výše uvedené sankce také zákon promítá do §59, odstavce 4. Řízení aktiv a rizik spadá to požadavků, jejichž nedodržování zákon takto sankcionuje.
Dalšími sankcemi může být např. dočasný zákaz výkonu funkce člena statutárního orgánu, pokud poskytovatel opakovaně nesplnil povinnost odstranit zjištěné nedostatky, a to až do doby odstranění nedostatků.
Hrozí samozřejmě také reputační riziko.
Co se týče řízení aktiv je poskytovatel dle § 9 , odst. 2 povinen:
a. určit svá primární aktiva
b. posoudit, zda tato primární aktiva souvisí s poskytováním regulované služby
c. u primárních aktiv podle písmene b) určit podpůrná aktiva
Jak uvádí důvodová zpráva k novele zákona, mapování primárních aktiv a vedení řádné evidence je klíčovým požadavkem pro správné provedení požadavků směrnice NIS 2.
Evidenci aktiv a zachycení vazby na poskytované regulované služby a podpůrná aktiva nám zajistí
Konfigurační databáze CMDB. Řízení rizik je pak třeba s CMDB propojit, abychom byli schopni zachytit propagaci rizik přes nejrůznější podpůrná aktiva, kterých se mohou týkat, k regulovaným službám.
K libovolné Konfigurační položce (CI, Configuration item) můžeme evidovat rizika, která se jí týkají, podobně jako evidujeme rizika např. u projektu.
Obrázek 1 – Karta projektu se dvěma riziky na záložce Evidence rizik (na obrázku dole)
S evidencí rizik na projektu se pravděpodobně většina z nás již potkala. Obdobně můžeme rizika evidovat u Konfigurační položky nebo třeba u dodavatele, jak to NIS2 požaduje.
Ukážeme si to opět na příkladu. Pokud máte ve své infrastruktuře „no name“ komponentu, je s ní spojené riziko neznámého dodavatele. Nejde jen o to, že ke komponentě nemáte podporu od daného dodavatele, ale používáte produkt, u kterého nemůžete mít důvěru jako u renomovaného výrobce z demokratického státu, že do zařízení neinstaloval např. tzv. zadní vrátka, která by umožnila převzít kontrolu nad zařízením nebo ho jinak zneužít.
Obrázek 2: Riziko spojené s neznámým dodavatelem
Riziko nemusíme vázat ke konkrétní Konfigurační položce, ale můžeme ho evidovat u hypotetického „neznámého“ dodavatele jako na obrázku výše, aby se propagovalo do všech Konfiguračních položek, které mají uvedeného tohoto Unknown dodavatele.
Pokud jsme již nějaké riziko zaevidovali, můžeme ho jednoduše napojit i k dalším Konfiguračním položkám. To využijeme v poměrně častém případě, kdy se dané riziko netýká jen jedné konkrétní Konfigurační položky, ale např. všech síťových prvků daného modelu, které trpí určitou zranitelností nebo jim hrozí expirace maintenance.
Obrázek 3: Ke Konfigurační položce lze napojit další související rizika, která jsou již evidována (viz sekce NIS2 na obrázku dole)
Rizika máme evidována a nyní potřebujeme zobrazit, jak se promítají do primárních aktiv spojených s poskytováním regulovaných služeb.
Vazbu aktiv k regulovaným službám můžeme provádět dvěma způsoby. Buď využijeme u každé konfigurační položky evidenci podpůrných aktiv a souvislost s poskytovanými regulovanými službami, tak jak vidíme na obrázku níže, nebo budeme sledovat vazbu přes konkrétní propojení jednotlivých typů konfiguračních položek.
Obrázek 4: Ke Konfigurační položce můžeme v sekci Regulace/NIS2 doplnit související regulované služby a podpůrná aktiva
První způsob je jednodušší, ale znamená duplicitní evidenci vztahů, které již vyplývají z vazeb evidovaných v konfigurační databázi a zobrazovaných ve schématech.
Obrázek 5: Konfigurační položka (device/hardware server) s vazbami na další konfigurační položky (viz odkazy modře)
Konfigurační položky jsou vzájemně propojené dle modelu, který v konfigurační databázi používáme. Mezi hardware, kterého se týká riziko, a regulovanou službou může být několik dalších konfiguračních položek, které vazbu realizují.
Obrázek 6: Schéma vykreslující vztahy konfiguračních položek od hardware, přes servery tvořící virtualizační cluster, až po aplikační komponenty a aplikaci.
Vztah rizika k primárním aktivům a regulovaným službám pak najdeme u každého rizika.
Obrázek 7: Ve spodní části karty rizika vidíme dopad do konfiguračních položek, jimi podporovaných aktiv a regulovaných služeb.
Podívejte se na dopady do referenčního modelu CMDB.
Přečtěte si více o kybernetické bezpečnosti a požadavcích legislativy.