Pomoc při přípravě na CRA a NIS2

Proč je výběr výrobce, který bere kybernetickou bezpečnost vážně, klíčový pro podnikání.

Kybernetická bezpečnost je pro vedoucí pracovníky podniků stále aktuálním tématem, a tak není divu, že se Evropská unie snaží snížit riziko kybernetických útoků na organizace. Její nejnovější snahy se soustředí na dvě směrnice: zákon o kybernetické odolnosti (CRA) a směrnici o bezpečnosti sítí a informací (NIS2). Vedoucí představitelé podniků, kteří nyní přezkoumávají dodržování předpisů, by udělali dobře, kdyby navázali spolupráci s výrobci, jako je Hanwha Vision, kteří se zavázali ke kybernetické bezpečnosti a jsou v souladu s NIS2 a CRA napřed.

Evropský parlament a Evropská rada dlouhodobě dbají na používání a ochranu údajů, zejména osobních údajů. Vzhledem k rostoucí kyberkriminalitě a k tomu, že s exponenciálním nárůstem technologických platforem přibývá příležitostí, jak mohou záškodníci zneužívat sítě a připojená zařízení, posilují zákonodárci kybernetickou obranu členských států EU a organizací, které v nich působí.

Agentura Evropské unie pro kybernetickou bezpečnost ENISA odhaluje, že vznikají nové hrozby pro kybernetickou bezpečnost, a to díky velkému množství dat, která nyní mohou zařízení shromažďovat; pokroku v oblasti umělé inteligence, díky němuž jsou kybernetické útoky složitější a škálovatelnější; cílení na dodavatelský řetězec (v roce 2021 budou incidenty třetích stran představovat 17 % vniknutí oproti méně než 1 % v roce 2020); a zařízení internetu věcí (IoT), která jsou využívána jako brány pro větší útoky. Uprostřed tohoto prostředí přichází nový CRA a náhrada původní směrnice NIS, která přímo reaguje na nové hrozby.

O NIS2

Směrnice NIS2 byla přijata Evropským parlamentem a Radou v prosinci 2020. Členským státům dává čas do října 2024, aby požadavky NIS2 transponovaly do svých vnitrostátních právních předpisů. Cílem směrnice je v konečném důsledku zlepšit kybernetickou bezpečnost sítí a informačních systémů v celé EU.

Vztahuje se jak na provozovatele základních služeb (OES), tak na poskytovatele digitálních služeb (DSP) –  klíčem k pochopení povinností organizace je určit, do které kategorie spadá. OES poskytují kritické služby pro ekonomiku nebo společnost a patří mezi ně energetické společnosti, doprava, bankovnictví a zdravotnictví. DSP poskytují online služby velkému počtu uživatelů a patří mezi ně vyhledávače, platformy sociálních médií a online tržiště. Společnost Hanwha Vision je jako společnost zabývající se videotechnologiemi definována jako DSP.

První NIS se zaměřil pouze na OES, ale vzhledem k rostoucímu výskytu digitálních služeb, které mohou být slabým článkem zneužitým škodlivými aktéry, rozšiřuje NIS2 požadavky na DSP. Zajišťuje, aby DSP přijali vhodná opatření k řízení rizik, která představují jejich sítě a informační systémy.

DSP budou muset:

  • Plně vyhovět zákonu o kybernetické odolnosti.
  • Provádět pravidelné hodnocení rizik, aby bylo možné identifikovat a vyhodnotit rizika pro jejich sítě a informační systémy.
  • Zavést vhodná bezpečnostní opatření ke zmírnění rizik zjištěných v hodnocení rizik.
  • Hlášení kybernetických bezpečnostních incidentů příslušným vnitrostátním orgánům.
  • Spolupracovat s příslušnými vnitrostátními orgány v případě kybernetického bezpečnostního incidentu.

NIS2 je pozitivním krokem pro odvětví videa; zajišťuje, že každý výrobce, který chce podnikat v členských státech EU, splňuje požadavky. Zabezpečení sítě s různými zařízeními a různými službami vyžaduje aktivní účast celého dodavatelského řetězce. NIS2 tuto organizaci výrazně usnadňuje. Kamery navíc mohou představovat riziko, pokud nejsou vybrány od renomovaných výrobců, a to nejen kvůli údajům, které shromažďují (ty mohou být citlivé a osobní), ale také jako vstupní brána k většímu kybernetickému útoku. S tím, jak se sítě stávají většími a složitějšími, zejména s tím, jak se buduje stále více chytrých měst, se stává robustní kybernetická bezpečnost napříč dodavatelskými řetězci klíčovou.

Příprava na systém NIS2

Nejlepším způsobem, jak zajistit budoucnost vaší organizace, je spolupracovat výhradně s výrobci, kteří mohou prokázat svou připravenost na soulad s požadavky NIS2 a mají za sebou řadu osvědčených postupů v oblasti kybernetické bezpečnosti. Přestože přesné požadavky musí EU teprve uzákonit, je zatím bezpečnou sázkou hledat shodu s CRA, protože existuje velká pravděpodobnost, že výrobce, který splňuje požadavky CRA, bude také splňovat požadavky NIS2.

Dodržování předpisů CRA

S přibývajícím počtem chytrých zařízení v podnicích a domácnostech se Evropská komise snaží zajistit odpovídající úroveň kybernetické bezpečnosti u každého výrobku používaného v členských státech a pravidelné aktualizace zabezpečení v průběhu celého životního cyklu výrobku. Aby vedoucí představitelé podniků a spotřebitelé mohli identifikovat vyhovující výrobky, bude se označení CE objevovat na každém výrobku nebo softwaru, který splňuje požadavky. Označení CE se vztahuje na výrobky, které se připojují k internetu, například na chytré televizory, WiFi routery, chytré ledničky a videokamery.

Přestože je tento zákon projednáván Evropským parlamentem a Radou a pravděpodobně vstoupí v platnost nejdříve v roce 2024, společnost Hanwha Vision se již nyní řídí pokyny CRA díky komplexním procesům kybernetické bezpečnosti, které zavedla.

Prodejci musí také prokázat, že provádějí pravidelné hodnocení rizik, aby identifikovali, vyhodnotili a zmírnili veškerá rizika pro svou síť. To pravidelně provádí tým S-CERT (Security-Computer Emergency Response Team) společnosti Hanwha Vision, včetně penetračních testů a bezpečnostních kontrol.

Všechny produkty společnosti Hanwha Vision jsou navrženy a vyvinuty s ohledem na bezpečnost a mají certifikaci UL CAP v pokročilém systému na čipu (SoC) Wisenet 7. Aby společnost Hanwha Vision dále zlepšila zabezpečení všech svých uživatelů, pravidelně zveřejňuje potenciální hrozby a zranitelnosti v rámci politiky otevřeného zveřejňování a poskytuje uživatelům informace o bezpečnostních funkcích svých produktů a o tom, jak je používat.

Špička ledovce kybernetické bezpečnosti

Nejnovější legislativní kroky EU jsou součástí širšího úsilí o podporu kybernetické odolnosti prostřednictvím tvorby politik, grantů na inovace a dalších opatření. Ukazuje to jasné zaměření Evropské komise na zabezpečení výrobků a služeb proti kybernetickým útokům; partnerství s výrobci, kteří kladou kybernetickou bezpečnost do jádra konstrukce svých výrobků, pomůže organizacím zajistit budoucnost jejich provozu v Evropě.

Proto je důležité, aby si uživatelé vybrali výrobce videa, který jde v zabezpečení svých produktů a softwaru nad rámec svých možností – kybernetická bezpečnost není oblastí, kde by stačilo „dostatečně dobře“. Rizika a náklady spojené s únikem dat jsou prostě příliš velké na to, aby ospravedlnily výběr kamer s nekvalitním kybernetickým zabezpečením. Spolupráce s výrobcem, který neustále skenuje prostředí a hledá nové hrozby a zranitelná místa, zajistí, že váš kamerový systém bude mít náskok v dodržování předpisů.

Význam pověření a zásad

Chcete-li mít jistotu, že je vaše videosíť co nejlépe kyberneticky zabezpečena, měli byste při každém výběru hledat několik „známek důvěryhodnosti“ výrobce. Potřebujete vidět jasné důkazy o jeho závazku ke kybernetické bezpečnosti, a to nejen v designu produktu, ale ve všech činnostech, kultuře a dokonce i v myšlenkovém vedení. Základním požadavkem jsou bezpečnostní zásady, včetně reakcí na zranitelnosti a řešení/ohlašování incidentů.

Další jistotu mohou poskytnout certifikace včetně UL CAP (UL Cybersecurity Assurance Program) a shody s NDAA (National Defense Authorization Act) nebo akreditace, jako je britský systém Cyber Essentials. Zejména vzhledem k tomu, že soulad s NDAA vyžaduje, aby výrobní společnosti nevyráběly a nepoužívaly křemíkové čipy a další komponenty ze zemí uvedených na černé listině, může být důležitým ukazatelem kybernetické odolnosti dodavatelského řetězce výrobce.

V neposlední řadě sdílení znalostí a zdrojů, stejně jako přispívání do Knihovny zranitelností CVE (Hanwha Vision je partnerem CVE), může ukázat dlouhodobý závazek ke zlepšení kybernetické bezpečnosti. Společnost Hanwha Vision je hrdá na to, že již mnoho let zpřísňuje svá bezpečnostní opatření a přispívá k osvědčeným postupům v oblasti kybernetické bezpečnosti ve Velké Británii a Evropě.

Budoucí značka důvěry?

Stejně jako dodržování NDAA se i CRA a NIS2 stávají dalším bodem, který mohou rozhodovací orgány použít k určení závazku výrobce v oblasti kybernetické bezpečnosti. Vyhledávání dodavatelů s proaktivním přístupem a mnohostrannou strategií zabezpečení produktů vám bude dlouhodobě sloužit, protože kybernetické útoky jsou stále běžnější, složitější a nákladnější. Poskytne vám svobodu a flexibilitu investovat do nejlepších řešení CCTV pro vaši organizaci, aniž byste do své sítě zavedli slabý článek.