Evropská unie schválila v prosinci 2022 směrnici NIS2 (Network and Information System Directive 2), která zavádí nová, přísnější pravidla pro řízení kybernetické bezpečnosti v organizacích napříč členskými státy EU. Tato legislativa se dotkne širokého spektra podniků a institucí, včetně veřejné správy, telekomunikací, zdravotnictví, energetiky či poskytovatelů digitálních služeb. Směrnice rozděluje subjekty na základní a důležité, přičemž obě kategorie budou podléhat specifickým bezpečnostním opatřením.
Jednotlivé země EU měly implementovat NIS2 do svých právních řádů do 18. října 2024, avšak v Česku se s jejím zavedením počítá až v polovině roku 2025. Seznam subjektů, na které se nová pravidla budou vztahovat, musí být sestaven nejpozději do 17. dubna 2025.
Vítaným pomocníkem, jak ověřit, zda bude mít na konkrétní společnost směrnice NIS2 dopad, může být web https://portal.nukib.gov.cz/. Tyto stránky provozuje Národního úřadu pro kybernetickou bezpečnost a informace, který je v ČR odpovědný za transpozici NIS2 do české legislativy.
Dopad na druhotný software
Ačkoli směrnice NIS2 přímo nezakazuje využívání druhotného softwaru, organizace budou muset zajistit, aby jejich IT systémy odpovídaly novým požadavkům na kybernetickou bezpečnost. To zahrnuje:
- Používání softwaru v aktivní podpoře výrobce – klíčové je, aby software stále dostával bezpečnostní aktualizace a nebyl ve fázi, kdy již výrobce neposkytuje podporu.
- Spolupráci s důvěryhodnými brokery – výběr spolehlivého dodavatele druhotného softwaru je zásadní. Broker by měl poskytovat technickou, licenční i compliance podporu.
- Zajištění pravidelných aktualizací a bezpečnostních opatření – firmy by měly implementovat systém řízení kybernetické bezpečnosti a pravidelně instalovat bezpečnostní záplaty.
Životní cyklus softwaru a kybernetická bezpečnost
Druhý život softwaru může být ekonomicky výhodný – náklady lze snížit až o 70 % oproti nákupu nových licencí. Nicméně je nutné brát v úvahu fáze životního cyklu softwaru:
- Plná podpora – pravidelné aktualizace a možnost úprav funkcionalit.
- Rozšířená podpora – pouze bezpečnostní aktualizace, bez možnosti změn funkcionalit.
- Konec podpory – bezpečnostní aktualizace dostupné pouze za příplatek.
- Ukončení podpory – software již není výrobcem podporován.
Používání softwaru, který se nachází ve třetí nebo čtvrté fázi životního cyklu, může znamenat bezpečnostní riziko. Alternativní možností může být využití specializovaných bezpečnostních řešení, která pomáhají chránit nepodporované systémy.
Na co si dát pozor při využívání druhotného softwaru
- Zkontrolujte pravost licence – vyhněte se pochybným nabídkám obsahujícím pouze produktové klíče bez řádné dokumentace.
- Ověřte podporu od výrobce – software by měl být stále podporován alespoň formou bezpečnostních aktualizací.
- Dbejte na compliance – nedodržení legislativních požadavků může vést k právním komplikacím či bezpečnostním incidentům.
Druhý život softwaru tak zůstává možnou strategií pro optimalizaci nákladů, ale pod podmínkou dodržení bezpečnostních opatření. S příchodem NIS2 bude stále důležitější volit softwarová řešení, která splňují přísnější požadavky na kybernetickou bezpečnost a jejichž správnost lze ověřit u důvěryhodných dodavatelů.
Zdroj: TZ Forscope
Ilustrační foto vytvořila umělá inteligence
