NIS2 2FA: Je dvojfaktorová autentifikácia (MFA) povinná a ako ju zaviesť?

Pri diskusiách o NIS2 sa veľmi rýchlo dostanete k heslám ako MFA, 2FA, silné heslá, privilegované účty. Manažment sa pýta, či je NIS2 2FA „povinné pre všetkých“, IT tím rieši, čo presne znamená „primerané opatrenia“ a kde všade musí byť dvojfaktor. 

NIS2 a následná technická implementačná regulácia hovoria jasne: organizácia má používať multi-faktorovú autentifikáciu alebo kontinuálne overovanie tam, kde je to primerané riziku – najmä pri prístupe k dôležitým systémom a účtom. 

V tomto článku si vysvetlíme: 

• čo v praxi znamená NIS2 2FA / MFA, 

• či je MFA „povinná“ a pre koho, 

• kde ju NIS2 jednoznačne očakáva, 

• a ako zaviesť dvojfaktor tak, aby to bolo zvládnuteľné pre IT aj používateľov. 

Čo je 2FA a čo je MFA 

2FA (two-factor authentication) je spôsob prihlásenia, kde používateľ nepotvrdzuje svoju identitu len heslom, ale aj druhým faktorom – napríklad: 

• kód v mobilnej aplikácii, 

• SMS kód, 

• hardvérový token, 

• biometria (odtlačok prsta, Face ID). 

MFA (multi-factor authentication) je širší pojem – môže ísť o dva alebo viac faktorov. V praxi sa však pojmy 2FA a MFA často používajú zameniteľne. Aj NIS2 pracuje s výrazom multi-factor authentication (MFA), ale v mnohých prípadoch stačí robustné 2FA. 

Dôležité je, aby faktory boli z rôznych kategórií: 

• niečo, čo viete (heslo, PIN), 

• niečo, čo máte (mobil, token), 

• niečo, čo ste (biometria). 

Čo NIS2 hovorí o MFA 

NIS2 (konkrétne článok 21) medzi minimálnymi bezpečnostnými opatreniami uvádza aj používanie multi-faktorovej autentifikácie alebo riešení kontinuálneho overovania. 

V preklade do bežnej reči: 

• MFA už nie je „nice to have“, ale očakávaný štandard, 

• povinnosť sa viaže na relevantné prístupy – tam, kde by absencia MFA mohla viesť k závažnému incidentu, 

• konkrétne použitie je risk-based – záleží od rizík, typov účtov a systémov. 

Implementačné usmernenia ENISA a ďalších autorít potom rozpisujú, že MFA je kľúčová najmä pre: 

• privilegované a administrátorské účty, 

• prístup k systémom správy infraštruktúry, 

• vzdialený / internetový prístup (VPN, RDP, webové portály), 

• prístup k kritickým informačným systémom a citlivým údajom. 

Je MFA podľa NIS2 povinná pre všetkých používateľov? 

Krátka odpoveď: NIS2 nehovorí, že MFA musí byť na „každý login všetkých používateľov“ – ale pre mnoho prístupov je de facto nevyhnutná. 

Dlhšia odpoveď: 

• smernica a technické usmernenia vychádzajú z prístupu založeného na riziku – čím vyššie riziko, tým silnejšia autentifikácia, 

• pre dôležité a esenciálne subjekty je MFA považovaná za povinné opatrenie v oblastiach, kde absencia MFA môže viesť k závažnému incidentu, 

• pri privilegovaných účtoch, administrátorských prístupoch a vzdialenom prístupe sa MFA prakticky očakáva vždy. 

Z pohľadu auditu a dohľadu platí, že ak MFA nemáte tam, kde to dáva zmysel, budete musieť veľmi dobre vysvetliť, prečo. 

Kde je NIS2 2FA / MFA prakticky nevyhnutná 

1. Privilegované a administrátorské účty 

Administrátorský účet s prístupom k serverom, sieťovým prvkom alebo bezpečnostným nástrojom je ideálny cieľ útočníka. Usmernenia ENISA preto jednoznačne odporúčajú: 

• samostatné admin účty (oddelené od bežných používateľských), 

• povinné MFA pre všetky privilegované účty, 

• individuálne účty (žiadne zdieľané „admin/admin“). 

2. Vzdialený prístup a prístup z internetu 

Každá služba, ktorá je: 

• dostupná z internetu, alebo 

• prístupná vzdialene mimo firemnej siete, 

by mala mať MFA ako základnú poistku. Typicky ide o: 

• VPN, 

• vzdialenú plochu (RDP), 

• webové portály (O365, CRM, intranet, helpdesk), 

• e-mailové brány, administráciu cloudu. 

3. Prístup k politicky a obchodne citlivým systémom a údajom 

Ak systém spracúva napríklad: 

• osobné údaje vo veľkom rozsahu, 

• finančné transakcie, objednávky, fakturáciu, 

• zdravotné alebo iné citlivé údaje, 

• riadenie prevádzky (OT, ICS, SCADA), 

MFA by mala byť súčasťou štandardu prístupu, minimálne pre roly s vyššími oprávneniami. 

Ako nastaviť NIS2 2FA / MFA v praxi: 5 krokov 

1. Zmapujte účty, prístupy a systémy 

Bez mapy sa MFA zavádza len ťažko. Začnite tým, že si urobíte prehľad: 

• aké typy účtov vo firme existujú (bežní používatelia, admini, servisné účty), 

• aké systémy sú kritické pre prevádzku, 

• ktoré služby sú dostupné z internetu alebo vzdialene, 

• kde už MFA máte a kde chýba. 

Toto mapovanie by malo nadväzovať na register aktív a rizík, ktorý potrebujete aj pre NIS2 všeobecne. 

2. Definujte politiku: Kde je MFA povinná a pre koho 

Na základe rizík si nastavte MFA politiku: 

• pre ktoré účty je MFA povinná (admini, VIP, účtovníctvo, IT podpora…), 

• pre ktoré aplikácie a systémy (VPN, cloud, ERP, e-mail), 

• v akých situáciách sa MFA vyžaduje (každý login, len mimo internej siete, len pri citlivých operáciách). 

Je dôležité, aby bola politika: 

• zrozumiteľná pre IT aj pre používateľov, 

• schválená vedením (manažérska zodpovednosť podľa NIS2), 

• udržateľná – radšej menej výnimiek a jednoduché pravidlá. 

3. Vyberte vhodné MFA metódy 

Nie všetky MFA metódy sú rovnako pohodlné a bezpečné. Pri výbere zvažujte: 

• bezpečnosť (SMS < mobilná appka < hardvérový token < FIDO2 kľúč), 

• pohodlie pre používateľa, 

• možnosti integrácie (AD/LDAP, SSO, cloudové služby), 

• náklady a prevádzku. 

Typický mix: 

• bežní používatelia: mobilná aplikácia (TOTP, push notifikácia), 

• administrátori a kľúčové roly: bezpečnejšie metódy (FIDO2 kľúče, hardvérové tokeny),

• špecifické prípady (staršie systémy): kombinácia VPN + MFA pred vstupom do siete. 

4. Riešte výnimky a fallback scenáre 

Bez výnimiek sa v praxi nezaobídete. Dôležité je, aby boli: 

• jasne definované (kto, kedy, prečo), 

• časovo obmedzené (napr. dočasné vypnutie MFA pri riešení incidentu), 

• logované a schvaľované (napr. bezpečnostným manažérom / IT vedúcim). 

Rovnako myslite na: 

• stratu zariadenia (mobil, token), 

• zablokované účty, 

• prístup pre externých dodávateľov. 

Fallback mechanizmy musia byť bezpečné – inak útočník MFA jednoducho „obíde“ práve cez výnimky. 

5. Dokumentujte a zbierajte dôkazy 

Pre NIS2 je rovnako dôležité, čo robíte, aj čo viete dokázať: 

• politika MFA (kde je povinná, aké metódy), 

• záznamy z nasadenia (projekty, zmenové záznamy), 

• logy o prihlasovaní a používaní MFA, 

• prehľad výnimiek a ich schvaľovania, 

• výsledky testovania a revízií. 

Tieto dôkazy sú kľúčové pri audite alebo kontrole – bez nich je MFA „iba tvrdenie“. 

Najčastejšie chyby pri NIS2 2FA 

1. MFA len pre pár vybraných manažérov Skutočné riziko však často leží na IT a technických účtoch, nie na CEO. 

2. Zabudnuté systémové a servisné účty Útočníci ich milujú – nemajú MFA, majú vysoké oprávnenia a často slabé heslá. 

3. MFA len na VPN, ale nie na cloud Útočník nepotrebuje VPN, ak sa vie dostať do vášho O365, CRM alebo iného SaaS účtu. 

4. Žiadna evidencia a dokumentácia MFA síce beží, ale pri audite neviete rýchlo ukázať, kde, pre koho a od kedy. 

5. Výnimky bez kontroly Dočasne vypnutá MFA ostane „dočasná“ roky – a nikto to nesleduje. 

Ako vám s NIS2 2FA pomôže RiskMinder 

RiskMinder nie je nástroj na samotnú autentifikáciu – nefunguje ako MFA aplikácia či login brána. 

Jeho úloha v NIS2 2FA príbehu je iná: pomáha vám mať poriadok v rizikách, opatreniach a dôkazoch, ktoré MFA obklopujú. 

Konkrétne vám pomôže: 

• viesť register aktív a služieb, pri ktorých MFA potrebujete, 

• evidovať riziká spojené s prístupom (privilegované účty, vzdialený prístup, cloud), 

• plánovať a priraďovať opatrenia – vrátane zavedenia MFA pre konkrétne systémy a účty, 

• vytvárať dokumentáciu a dôkazy potrebné pre audity a kontroly, 

• generovať prehľady pripravené na audit pre vedenie, audítora aj regulátora. 

V praxi to znamená, že: 

• máte jasne zdokumentované, kde a prečo ste MFA zaviedli, 

• viete vysvetliť, prečo niekde MFA nemáte (a aké kompenzačné opatrenia používate), 

• pri audite NIS2 neprehráte na tom, že „niečo síce beží“, ale nemáte k tomu žiadne podklady.

Rozpoznajte riziká a chráňte svoju firmu. Máte záujem vyskúšať RiskMinder, potrebujete cenovú ponuku alebo máte otázky? Napíšte nám. 

FAQ