NIS2 a Azure: Praktický compliance checklist pro architekty

Směrnice NIS2 (Network and Information Security Directive 2) vstoupila v platnost a organizace napříč EU musí prokázat, že mají kybernetickou bezpečnost pod kontrolou. Jako Cloud Architekt se s tím setkávám denně – klienti potřebují jasný, praktický návod jak svou Azure infrastrukturu přizpůsobit požadavkům NIS2, aniž by museli číst stovky stran legislativních textů.

Co NIS2 znamená pro vaši Azure architekturu?

NIS2 rozšiřuje okruh povinných subjektů a zpřísňuje požadavky na:

• Risk management – systematická identifikace a řízení rizik
• Incident reporting – nahlášení incidentu do 24 hodin
• Supply chain security – kontrola bezpečnosti dodavatelů
• Business continuity – plány obnovy a kontinuity provozu
• Encryption & access control – šifrování dat a řízení přístupu

Krok 1: Azure Policy jako základ governance

Prvním krokem je nasazení přísných Azure Policy definic, které vynucují compliance na úrovni celé organizace:

resource nis2PolicyAssignment 'Microsoft.Authorization/policyAssignments@2022-06-01' = {
  name: 'nis2-baseline'
  properties: {
    displayName: 'NIS2 Baseline Security Controls'
    policyDefinitionId: '/providers/Microsoft.Authorization/policySetDefinitions/1f3afdf9-d0c9-4c3d-847f-89da613e70a8'
    enforcementMode: 'Default'
    parameters: {
      // Vynutit šifrování storage accountů
      storageAccountsEncryption: { value: 'Audit' }
      // Vynutit HTTPS na web appkách
      webAppsHttps: { value: 'Deny' }
    }
  }
}

Krok 2: Defender for Cloud – CSPM zapnutý na maximum

Microsoft Defender for Cloud je absolutní must-have. Doporučuji aktivovat:

1. Defender CSPM (Cloud Security Posture Management) – odhalí misconfiguraci
2. Defender for Servers – ochrana VM workloadů
3. Defender for Key Vault – monitoring přístupu k tajným klíčům
4. Defender for DNS – detekce podezřelé DNS aktivity

Skóre v Secure Score by mělo být minimálně 80 % pro splnění baseline NIS2.

Krok 3: Centralizovaný logging a SIEM

NIS2 vyžaduje schopnost detekovat a reportovat bezpečnostní incidenty. V Azure to řešíme přes:

• Azure Monitor + Log Analytics Workspace – centrální sběr logů
• Azure Sentinel (Microsoft Sentinel) – SIEM/SOAR platforma
• Diagnostic Settings – zapnout na všech kritických zdrojích

# Zapnutí diagnostiky pro Key Vault
az monitor diagnostic-settings create \
  --resource "/subscriptions/{sub}/resourceGroups/{rg}/providers/Microsoft.KeyVault/vaults/{vault}" \
  --name "nis2-logging" \
  --workspace "/subscriptions/{sub}/resourceGroups/{rg}/providers/Microsoft.OperationalInsights/workspaces/{law}" \
  --logs '[{"categoryGroup": "allLogs", "enabled": true}]' \
  --metrics '[{"category": "AllMetrics", "enabled": true}]'

Krok 4: Identity & Access Management

Zero Trust architektura je pro NIS2 klíčová:

• Entra ID Conditional Access – MFA pro všechny administrátory
• PIM (Privileged Identity Management) – just-in-time přístup
• Access Reviews – pravidelný audit oprávnění každý kvartál
• Break-glass accounts – nouzové účty s monitoring alertem

Závěr

NIS2 compliance v Azure není jen o zaškrtávání checkboxů. Je to o vybudování skutečně bezpečné, monitorované a odolné infrastruktury. Začněte s Azure Policy a Defender for Cloud – tyto dva nástroje vám pokryjí většinu technických požadavků směrnice.

Potřebujete pomoc s implementací NIS2 ve vašem Azure prostředí? Ozvěte se mi pro bezplatný assessment.