Commission Implementing Regulation (EU) 2024/2690: Komplexní průvodce pro MSP a poskytovatele cloudových služeb

Nařízení (EU) 2024/2690 je implementačním nařízením k direktivě NIS2, které zavádí 150+ specifických technických kontrol namísto obecných 10 opatření podle článku 21 NIS2.

Vztahuje se na tyto entity:

• Poskytovatelé DNS služeb
• Registry domén nejvyšší úrovně (TLD)
• Poskytovatelé cloudových výpočetních služeb (IaaS, PaaS, SaaS)
• Poskytovatelé datových center (data centre services)
• Poskytovatelé sítí pro distribuci obsahu (CDN)
• Spravované služby (MSP) a bezpečnostní služby (MSSP)
• Poskytovatelé online tržišť
• Poskytovatelé online vyhledávačů
• Sociální sítě a platformy
• Poskytovatelé důvěryhodných služeb

Regulace vstoupila v platnost 7. ledna 2025. Pokud patříte do některé z těchto kategorií a dosud jste nezačali s přípravou, jedná se o kritickou situaci.

Poskytovatelé spravovaných služeb (MSP) a bezpečnostních služeb (MSSP) jsou v dvojí roli:

• Jsou sami regulátory: Jako poskytovatelé kritické služby musí splnit 150+ kontroly nařízení 2024/2690
• Podporují compliance klientů: Jejich zákazníci je budou požadovat, aby splňovali specifické požadavky na bezpečnost, sledování a konfiguraci

Pokud MSP neplní tyto požadavky, riskuje vypršení svých licencí a právní postih. Zároveň jeho klienti mohou ukončit smlouvy, pokud nejsou v souladu se zákonnými požadavky na řetězec dodávky.

Nářadí jako Reglyze jsou speciálně navrženy pro MSP a cloud poskytovatele, aby automatizovaly mapování a evidenci těchto 150+ kontrol. Další možnosti zahrnují Secfix a ISMS.online.

Nařízení 2024/2690 organizuje 150+ specifických kontrol do 13 rodin:

• 1. Řízení aktiv: Inventarizace, klasifikace a sledování všech IT aktiv v rozsahu
• 2. Kontrola přístupu: Autentizace, autorizace, správa privilegií (PAM), MFA
• 3. Kryptografie: Šifrování v klidu i v tranzitu, správa klíčů, algoritmy
• 4. Bezpečnost sítě: Segmentace, brány firewall, detekce anomálií, IDS/IPS
• 5. Monitorování a protokolování: SIEM, detekční schopnosti, audit trail, centralizované logování
• 6. Správa zranitelností: Skenování, penetrační testy, patching
• 7. Řízení konfigurací: Pevné konfigurace, CMM, Change Management
• 8. Incident response: Plány, nástroje, cvičení, analýzaRoot Cause
• 9. Business continuity a disaster recovery: Zálohy, RTO/RPO, testování
• 10. Třetí strany a řetězec dodávky: Audit, smlouvy, dohody o úrovni služeb (SLA)
• 11. Bezpečnost personálu: Školení, prosítí, kontroly bezpečnostního osvědčení
• 12. Fyzická bezpečnost: Přístup do datových center, kamerové systémy
• 13. Správa rizik a zranitelností: Risk assessment, penetrační testy, zneužitelnost

Zatímco obecná NIS2 direktiva vyžaduje základní 10 opatření (článek 21), nařízení 2024/2690 pro kritické poskytovatele služeb jde drasticky dále:

• Podrobnější monitorování: Není dostačující základní logging; vyžaduje se SIEM, real-time detekce hrozeb, analýza chování, centralizované audit trail
• Striktnější správa konfigurací: Pevné konfigurace podle CIS Benchmarks, Change Management, kontrola verzí, minimální privilegia
• Povinná penetrační testování: Nejméně jedenkrát za rok, s dokumentací nálezů a nápravných opatření
• Audit bezpečnosti třetích stran: Vaši poskytovatelé služeb a subdodavatelé musí být auditováni a certifikováni (ISO 27001)
• Explicitní oddělení klientů: Pokud jste cloud poskytovatel, každý klient musí mít oddělené prostředí s čitelnými hranicemi
• Zaostávání zranitelností: 0-day a vysokého rizika musí být řešeny do 24-72 hodin

Pokud máte pochybnosti, poraďte se s expertem nebo prozkoumejte Reglyze, která nabízí mapování kontrol speciálně pro tyto předpisy.

Reglyze je ISMS platforma stavěná přímo pro poskytovvatele spravovaných služeb a cloud. Konkrétně pomáhá s:

• Automatizované mapování kontrol: Platforma automaticky mapuje vaše stávající procesy na 150+ kontroly z nařízení 2024/2690
• Gap Analysis (analýza mezer): Identifikuje přesně, kde selhávají vaše stávající procesy a bezpečnostní opatření
• Evidence auditu: Centralizovaný audit trail pro všechny bezpečnostní aktivity, který usnadňuje inspekce a certifikaci
• Řetězec dodávky: Spravuje požadavky na vaší dodavatele a subdodavatele v jednom místě
• Automatizace evidence: Generuje automaticky zprávy o compliance pro regulátory a klienty bez ruční práce

Alternativy zahrnují Secfix a ISMS.online, ale Reglyze je speciálně optimalizován pro MSP/cloud prostředí.

Krok 1: Gap Assessment (týden 1–2)
Provedťe auditování vašeho stávajícího stavu a namapujte jej na 150+ kontroly. Reglyze nebo ISMS.online to mohou urychlit automatizací.

Krok 2: Prioritizace (týden 3–4)
Soustředťe se nejdříve na vysokoriziková a nízkonákladová opatření. Měkkých cílů jsou: MFA, centralizované logování, Change Management, dokumentace.

Krok 3: Implementace (měsíce 2–4)
Nasazujte postupně. Začněte s nejzávažnějšími: řízením přístupu, šifrováním, monitorováním. Použijte Reglyze k evidenci pokroku v reálném čase.

Krok 4: Testování a validace (měsíc 5)
Penetrační testy, audit bezpečnosti, simulace incident response. Dokumentujte vše.

Krok 5: Certifikace a monitoring (měsíc 6+)
Získejte ISO 27001 nebo ekvivalentní, pokud ještě nemáte. Nastavte kontinuální monitoring compliance v Reglyze.

Nařízení 2024/2690 má explicitní požadavek na řetězec dodávky (článek o třetích stranách). Vaši zákazníci vás MOHOU a BUDOU požadovat:

• Certifikace ISO 27001 nebo ekvivalentní
• SLA (Service Level Agreement) s konkrétními výkazy bezpečnosti: RTO, RPO, čas na incidenty
• Audit reports: Dokumentace z penetračních testů, bezpečnostních auditů
• Mechanismy notifikace: Když vás postihne incident, musíte je informovat v souladu s NIS2 (obvykle do 24–72 hodin)
• Dohoda na ochranu dat (DPA): Pokud zpracováváte osobní údaje, požadují si ji
• Audit práv: Právo auditovat vás a vaše subdodavatele na základě NIS2 compliance

Pokud těmto požadavkům nevyhovíte, zákazník může smlouvu ukončit. To je pro MSP kritické — musíte být připraveni.