V roce 2025 je kybernetická bezpečnost nejen technologickým tématem, ale také právní povinností. Evropská směrnice NIS2 klade na správce webů i poskytovatele služeb přísné nároky: od řízení přístupů po šifrování a auditovatelnost.
Drupal jako open-source redakční systém je na tyto výzvy dlouhodobě připraven – nejen díky své robustní architektuře, ale i díky důrazu na bezpečnost, auditní stopy a správu oprávnění.
Co přináší NIS2 a proč se jí řídit?
Směrnice NIS2 (Network and Information Security Directive 2), která vstoupila v platnost v roce 2023, rozšiřuje povinnost kybernetické bezpečnosti na širší okruh subjektů, např. veřejnou správu, zdravotnictví, dopravu, digitální služby i větší e-shopy.
Požadavky zahrnují:
- Řízení rizik a opatření pro zabezpečení IT infrastruktury.
- Incident reporting – povinné hlášení kybernetických incidentů.
- Zajištění provozní kontinuity a obnovy dat.
Jak Drupal naplňuje požadavky NIS2?
1. Šifrování a zabezpečená komunikace
Drupal plně podporuje provoz na HTTPS a umožňuje:
- vynucení SSL certifikátu,
- práci s bezpečnými cookies (SameSite, Secure, HttpOnly),
- integraci s Content Security Policy (CSP),
- šifrování dat na úrovni databáze nebo polí (např. pomocí modulu Encrypt).
🔐 Drupal neukládá citlivá data v otevřené podobě a umožňuje práci s klíči mimo samotný kód, např. přes modul Key.
2. Granulární správa rolí a oprávnění
Drupal má v jádře robustní systém správy rolí a přístupových práv, který umožňuje:
- přesně určit, kdo může číst, upravovat, mazat nebo schvalovat obsah,
- vytvářet různé úrovně přístupu (redaktor, editor, správce, externista apod.),
- omezit přístup k administraci pouze ze specifických IP adres.
Moduly jako Content Moderation a Workflow pomáhají definovat schvalovací procesy, které jsou auditovatelné a bezpečné.
3. Auditovatelnost a logování
Pro splnění požadavků NIS2 je důležité být schopen prokázat, co se na webu dělo – a kdo to udělal.
Drupal nabízí:
- Sledování změn obsahu a revizí,
- Systémové logování aktivit uživatelů i chyb (modul Syslog nebo Watchdog),
- Možnost připojení k externím SIEM nástrojům pro centrální dohled nad incidenty.
4. Ochrana proti útokům
Drupal v základu i s pomocí modulů chrání před nejčastějšími hrozbami:
- Cross-site scripting (XSS) – pomocí filtrování výstupu a validace vstupů,
- SQL injection – pomocí PDO a ORM vrstvy,
- Brute-force útoky – pomocí modulů jako Flood Control, Login Security nebo Captcha,
- DDoS a boty – napojení na CDN, firewall nebo ochranné služby.
Shrnutí: Proč zvolit Drupal pro bezpečný web?
| Funkce | Drupal podporuje? |
|---|---|
| HTTPS a šifrování | Ano |
| Správa rolí a práv | Velmi detailní |
| Auditní logy a revize | Standardní součást |
| GDPR nástroje a cookie consent | Dostupné moduly |
| Obrana proti XSS a SQLi | V základu i rozšířeně |
| Napojení na SIEM a firewall | Možné přes moduly |
| Bezpečnostní tým a aktualizace | Aktivní |
Drupal není jen redakční systém – je to platforma připravená na legislativní požadavky roku 2025 a dál. Ať už potřebujete provozovat veřejný web, e-government portál nebo zabezpečenou firemní aplikaci, Drupal vám umožní:
- mít systém v souladu s NIS2 a GDPR,
- udržet kontrolu nad přístupy,
- a zároveň být připraven na audit i útoky zvenčí.