V roce 2024 se do české legislativy propíše nová směrnice Evropské unie, označovaná jako NIS2. Na tisíce českých firem a dalších organizací vznese nové povinnosti v oblasti kybernetické bezpečnosti. A to jak z pohledu kybernetického zabezpečení systémů a dat, tak i hlášení případných bezpečnostních incidentů.
Směrnice NIS2 navazuje na předchozí regulaci z roku 2016, která stanovuje pravidla kybernetické bezpečnosti v organizacích důležitých pro chod státu – tedy například v klíčových podnicích z oblasti energetiky, telekomunikací, bankovnictví či zdravotnictví. Zatím se jednalo o poměrně úzkou skupinu několika stovek organizací se zásadním dopadem na celou společnost.
Koho se týká?
Podle nové směrnice bude od roku 2024 podléhat regulaci v oblasti kyberbezpečnosti výrazně více subjektů, které zatím žádné povinnosti z hlediska kybernetické bezpečnosti nařízené neměly. Konkrétně zatímco dnes se jedná o nižší stovky firem a organizací, dle NIS2 půjde o více než 6 000 tzv. povinných subjektů.
Zásadní rozšíření okruhu povinných subjektů vychází z faktu, že dnes prakticky nenajdeme odvětví, kde by informační technologie nehrály významnou roli, a kde by tedy úspěšný kybernetický útok nezpůsobil dalekosáhlé škody. Proto budou muset kyberbezpečnostní opatření zavést například i menší nemocnice či elektrárny, poskytovatelé ICT služeb, dopravci, výrobci chemických látek a mnoho organizací veřejné správy.
Podle NIS2 se tedy neřeší jen kompletní systémy, ale definují se i jednotlivé služby s klíčovým dopadem na celou společnost. A nově se povinné subjekty budou určovat i podle jejich velikosti a odvětví působnosti.
Příloha směrnice NIS2 vyjmenovává více než 60 služeb, roztříděných do 18 odvětví. Nicméně, zdaleka ne všichni poskytovatelé těchto služeb budou i povinnými subjekty. Pro stanovení, zdali soukromá nebo veřejná organizace pod novou regulaci spadá, je nutné zvážit dvě hlavní podmínky:
- Organizace poskytuje alespoň jednu ze služeb uvedených v příloze směrnice.
- Jedná se o podnik s nejméně 50 zaměstnanci, nebo s ročním obratem alespoň 10 milionů eur.
Ale pozor – v některých případech budou pod regulaci NIS2 spadat i organizace bez ohledu na jejich velikost. Jde například o poskytovatele služeb elektronických komunikací, poskytovatele služeb vytvářejících důvěru a poskytovatelé služeb DNS.
Další výjimky, kdy se bude regulace vztahovat i na subjekty, které nesplňují kritérium velikosti, určí národní legislativa. Může jít například o poskytovatele jedinečných služeb se zásadním dopadem na společnost z hlediska bezpečnosti nebo zdraví.
Kdo to všechno hlídá?
Na dodržování podmínek kyberbezpečnosti dohlíží Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který může kontrolovat stav bezpečnostních opatření a procesů a kterému je nutné hlásit bezpečnostní incidenty.
Na přesné formě vyžadovaných opatření NÚKIB stále pracuje, ale už nyní je jisté, že pro mnoho povinných subjektů budou zákonné požadavky na kybernetickou bezpečnost novinkou. Národní legislativa také stanoví konkrétní předpisy pro bezpečnostní opatření, stanovená směrnicí NIS2. Ta zahrnují především následující okruhy:
- Analýza rizik a pravidel bezpečnosti informací
- Zvládání incidentů, zajištění kontinuity činnosti a krizové řízení
- Kyberbezpečnost v rámci dodavatelského řetězce, stejně jako při pořizování, vývoji a údržbě systémů
- Pravidla auditování bezpečnostních opatření
- Vzdělávání zaměstnanců v kybernetické bezpečnosti
- Bezpečnost z hlediska lidských zdrojů – řízení přístupu a protokolování aktivit
- Kryptografie, vícefaktorové ověřování, zabezpečení komunikace a nouzová komunikace
Nově i hlášení bezpečnostních incidentů
Mimo to musí povinné subjekty hlásit významné bezpečnostní incidenty určenému týmu CERT (CSIRT). Půjde o incidenty, které způsobily nebo mohly způsobit vážné provozní narušení služby nebo finanční ztráty organizace, stejně jako incidenty s vlivem na jiné fyzické nebo právnické osoby a incidenty způsobující značné materiální i nemateriální ztráty,
Protože NIS2 přináší řadu zásadních změn a týká se velkého množství subjektů, připravil NÚKIB speciální webovou stránku. Zde najdete ucelené informace o změnách v zákonných požadavcích a způsobu, jakým je směrnice NIS2 promítnuta do národní legislativy.
Zajímá vás, jak je na tom s kyberbezpečnostní vaše firma? Zjistěte to hned teď a ZDARMA prostřednictvím naší webové aplikace, která vychází z bezpečnostních doporučení NÚKIB.
