Nová legislativa NIS2 a požadavky na přístupové systémy

Nová legislativa NIS2 a požadavky na přístupové systémy

Nová směrnice kybernetické bezpečnosti EU, která je známější pod zkratkou NIS2, vzbuzuje řadu otázek. Pojďme si popsat co přináší a jakou má spojitost na bezpečnostní technologie. Dozvíte se také jaké funkce by měl váš přístupový systém nabízet, aby byl kompatibilní s novými požadavky.

Co to je NIS2?

Nová směrnice NIS2 má za cíl rozšířit oblast působnosti aktuálně platné legislativy zaměřené na opatření pro odpovídající úroveň bezpečnosti sítí a informačních systémů napříč celou EU. Tato nová legislativa tedy představuje celoevropské řešení pro posílení zabezpečení kyberprostoru, tak aby odpovídala na aktuální bezpečnostní hrozby.

Na koho nová legislativa dopadne?

Oproti předešlé působnosti regulace se budou nově evropská pravidla vztahovat také na mnohonásobně větší množství českých společností. Současné odhady hovoří o nejméně 6 000 soukromých i státních organizacích.

Jak tedy poznám, zda soukromá nebo veřejná organizace spadá pod regulaci směrnice? Je třeba současného naplnění následujících dvou pravidel:

  • organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice, a zároveň
  • je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).
Základní subjektyDůležité subjekty
EnergetikaPoštovní a kurýrní služby
DopravaNakládání s odpady
Bankovnictví a infrastruktury finančních trhůVýroba, produkce a distribuce chemických látek
ZdravotnictvíVýroba, zpracování a distribuce potravin
Pitná a odpadní vodaVýroba zdravotnických prostředků, počítačů, elektronických a optických přístrojů a elektrických zařízení a strojů, motorových vozidel, přívěsů a návěsů a dalších dopravních zařízení
Digitální infrastruktura
Veřejná správa
Vesmír a výzkum

Jak se bude NIS2 týkat oblasti přístupových systémů?

Řada přístupových systému využívající nízkofrekvenční způsoby identifikace pracující na frekvencích 125 kHz nedokáže ze své podstaty zajistit bezpečnost dle aktuálních hrozeb. Nízkofrekvenční karty lze velmi snadno kopírovat a jejich ochrana byla prolomena již v roce 1996. Tyto systémy také nenabízí většinou žádné úrovně šifrování dat a komunikace mezi přístupovou čtečkou, identifikátorem a přístupovým systémem je nezabezpečená a hrozí zde riziko duplikace nebo odposlouchávání.

Jaký si tedy zvolit přístupový systém, aby byl kompatibilní s novými požadavky na zvýšenou bezpečnost? V současné době patří mezi bezpečné technologie ty, které pracují na frekvencích 13,56 MHz a využívají pokročilé šifrovací standardy. Mezi technologie karet, které tyto požadavky splňují, patří Mifare Plus SL3 a MIFARE DESFire EV1 , nebo ještě lépe EV2  a EV3, které splňují certifikaci EAL5+.

Při návrhu přístupových systémů nestačí myslet pouze na bezpečný přístupový identifikátor, ale i samotná čtečka přístupového systému musí být schopna správným způsobem číst tzv. privátní ID identifikátoru, které je zapsané v bezpečné paměti karty nebo čipu. Zde je důležité volit čtečky, které nabízí otevřené technologie (šifrovací standardy), tak aby vám bezpečnost zůstala plně pod kontrolou. Vhodným řešením je např. technologie francouzského výrobce STid. Tento výrobce se zaměřuje na vývoj přístupových čteček splňujících ty nejvyšší bezpečnostní požadavky. Čtečky nabízejí AES šifrování s využitím veřejných 128 bit klíčů, také je hlídána neoprávněná manipulace nebo odcizení zařízení. V případně odcizení dokáže zařízení ze své paměti vymazat automaticky všechny šifrovací klíče, tak aby s nimi pachatel nemohl nijak disponovat.

Tyto přístupové čtečky série Architect  lze pak díky bezpečným komunikačním protokolům OSDP v2 připojit k řadě přístupových systémů na trhu a nabídnout tak kompletně šifrované řešení.

Bezpečná RFID přístupová čtečka ARC1S-B-OSDP

Integrovaný bezpečnostní systém Dominus3  podporuje připojení těchto čteček a celé řešení je tak připraveno na požadavky nové legislativy.

Kdy začne nová legislativa platit?

Publikace finálního znění směrnice NIS2 se předpokládá ve čtvrtém čtvrtletí roku 2022. Lhůta, ve které musí členské státy směrnici promítnout do národního práva je stanovena na 21 měsíců. Z toho plyne, že pokud se výše zmíněný předpoklad naplní, přibližně v polovině roku 2024 by Česká republika měla mít zaveden nový rámec povinností v národní legislativě. Další lhůta pak bude stanovena pro zahájení plnění nových povinností u těch organizací, které dosud regulaci kybernetické bezpečnosti nepodléhaly.

Za nedodržení uložených povinností se nově se stanovuje úroveň pokut až ve výši 2 % celkového obratu společnosti nebo 10 milionů EUR.

Zajímají vás další informace o NIS2? V České republice se problematice NIS2  věnuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Rádi vám pomůžeme s návrhem bezpečného přístupového systému. Obraťte se na nás a pomůžeme vám najít bezpečné řešení připravené na budoucí hrozby.

Aktualita, uloženo 27.12.2022, vytisknout článek

Hodnotit článek: Líbí 7 ((nelibi)) 0
Sdílet článek: |

Vložit příspěvek

Pole označená hvězdičkou jsou povinná.




Autor článku

Ing. Tomáš Klinkovský

Ing. Tomáš Klinkovský

E-mail: tomas.klinkovsky@abbas.cz

Další články autora

Zastupujeme značky

accur8vision | adpro | ajax | artec group | assa abloy | axis | bosch | c4 | cias | comelit | dahua | digifort | dominus | esser | flir | genetec | hanwha | ids | ksenia | lensation | metel | paxton | pelco | protectowire | rosslare | sbi | sorhea | sprinx | stid | tritón | tyco | ubiquiti networks | uEye | zettler


Share this:

Vyrobila Omega Design

 
Při poskytování našich služeb nám pomáhají soubory cookie. Využíváním našich služeb s jejich používáním souhlasíte. Další informace Rozumím