V dnešním digitálním světě, kdy každá organizace závisí na technologiích, se kybernetická bezpečnost stává pro Evropskou unii jedním z nejdůležitějších témat. EU se rozhodla na tuto skutečnost reagovat aktualizací směrnice NIS (Network and Information Security) z roku 2016, a to zavedením směrnice NIS2.
Nová směrnice má za cíl zvýšit bezpečnost kritických infrastruktur a zajistit lepší připravenost na kybernetické útoky. Co to znamená pro podniky a jaké nové výzvy evropská směrnice NIS2 přináší?
Významnou změnou je nárůst počtu firem a organizací, kterých se nová regulace dotkne. Jejich počet se odhaduje na více než 6 000. Jedná se o výrazný nárůst oproti necelým 400 subjektům, na které se vztahovala předchozí verze směrnice. Kybernetická bezpečnost se tak stává aktuálním tématem.
Zatím se čeká, kdy se požadavky, které vyplývají z nové směrnice, promítnou do českého zákona o kybernetické bezpečnosti. Aktuálně se předpokládá platnost nového zákona od ledna 2025. Přípravou zákona se zabývá Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Zásadní je teď pro mnoho firem otázka, jestli se jich připravované změny dotknou.
Veškerý obsah v užitečném formátu. Rozhovory, články, life hacky a tipy ze světa businessu i korporátů na našem LinkedIn profilu.
Pojďte se připojit!
Kybernetická bezpečnost a regulované služby
Nová směrnice NIS2 významně rozšiřuje okruh organizací, na které se vztahují povinnosti v oblasti kybernetické bezpečnosti. Zatímco původní směrnice NIS se zaměřovala především na tzv. kritické infrastruktury v odvětvích jako energetika nebo doprava, NIS2 cílí na širší spektrum subjektů.
Nyní se regulace dotkne nejen větších hráčů, ale i menších a středně velkých podniků, které hrají klíčovou roli v evropské ekonomice. Podívejme se na to, kdo musí směrnici nově respektovat a jaké povinnosti s tím souvisí. Jedná se o tzv. poskytovatele regulované služby, kteří se dále dělí do několika kategorií.
Evropská směrnice NIS2 platí pro soukromé i veřejné organizace, které současně splňují dvě následující kritéria:
Kritérium služby znamená, že poskytujete typ služby uvedené v přílohách ke směrnici (energetika, doprava, bankovnictví, zdravotnictví, infrastruktura finančních trhů, dodavatelé a distributoři pitné vody, úprava odpadních vod, digitální infrastruktura, poskytovatelé řízených ICT služeb a další).
Kritérium poskytovatele se týká velikosti podniku. Jestli patříte mezi střední nebo velký podnik nebo splňujete další požadavky daného oboru (ve zdravotnictví se jedná například o počet lůžek), tak dané kritérium naplňujete.
Musíte tedy splňovat jak požadavek na velikost, tak se také věnovat poskytování některé z regulovaných služeb. Velikost splňujete, pokud zaměstnáváte 50 a více lidí, nebo dosahujete ročního obratu 10 milionů EUR. Pokud si nejste jistí, můžete si na webu NÚKIB vyplnit kalkulačku. Pomůže vám se zjišťováním, jestli spadáte mezi regulované subjekty. Specifická je situace mateřských a dceřiných společností a holdingů.
NIS2 se týká také státních a veřejných institucí, které spravují citlivé informace a jsou významné pro chod státu. Kybernetická bezpečnost se tak stává významnou pro stále více míst.
Dále vás zajímá, zda se vás bude týkat režim vyšších nebo nižších povinností. Jednodušší na splnění bude samozřejmě režim nižších povinností.
Služby se podle povinností dělí na základní sektory (essential sectors), které jsou pod přísnější kontrolou. Mezi klíčové sektory patří: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, vodní hospodářství, digitální infrastruktura a poskytovatelé řízených ICT služeb. Odhaduje se, že do této kategorie bude spadat kolem 1 000 organizací.
NIS2 zavádí také nový pojem tzv. důležitých sektorů (important sectors), které musí implementovat bezpečnostní opatření, i když jejich služby nejsou přímo spojené s kritickou infrastrukturou. Mezi tyto sektory se počítají poštovní služby, odpadní hospodářství, chemický průmysl, potravinářství, výroba, poskytovatelé digi služeb a výzkumné organizace, kromě vzdělávacích institucí).
Dalších 5 000 subjektů se patrně zařadí do této kategorie a kybernetická bezpečnost pro ně nebude znamenat plnění tak přísných požadavků.
Zatím nemáte stoprocentní jistotu, jestli se vás bude evropská směrnice NIS2 týkat, neboť zákon ještě čeká úprava textu a a zpřesňování definic. Nejasná je situace zejména v případě poskytovatelů internetu, DNS služeb a služby cloud computingu. Nikde totiž není jasně definován pojem cloud computing.
Co se změní s NIS2?
Sice máte čas, protože kybernetická bezpečnost se objeví v zákoně nejdříve začátkem příštího roku. Navíc bude vyhrazen celý rok na implementaci bezpečnostních opatření ve vaší firmě. Registrační povinnost vás ale čeká hned na začátku – na registraci máte 30 dnů od účinnosti zákona.
Nejprve bude potřeba provést ohlášení regulované služby na portálu NÚKIB. Konkrétní rozsah zákonných povinností záleží na vašem režimu povinností.
Jedním z nejdůležitějších prvků NIS2 je zavedení přísnějších požadavků na řízení kybernetických rizik. Firmy budou muset implementovat opatření na základě posouzení rizik a dodržovat určité standardy v oblasti ochrany dat. To znamená nejen technické zabezpečení, ale i školení personálu a zavádění bezpečnostních procesů do každodenního provozu.
Čeká vás řada povinností. Potřebujete lidi, kteří budou zodpovědní za kybernetickou bezpečnost. Dále se očekává, že se zaměříte na analýzu rizik a připravíte plán krizového řízení.
Jeden rok máte na přijetí bezpečnostních opatření – nejen na technické úrovni, ale také na úrovni organizační (školení vrcholového managementu a podpora vzdělávání zaměstnanectva). Kybernetické incidenty budete oznamovat příslušným orgánům. Smlouvy s dodavateli, kteří poskytují regulované služby, projdou rovněž nutnými změnami.
Sankce za nedodržení? Významné!
Značné pokuty hrozí za nedodržení požadavků. Evropská komise stanovila, že sankce za porušení NIS2 mohou dosáhnout až 10 milionů eur nebo 2 % z ročního obratu, podle toho, která částka je vyšší. Toto opatření má za cíl zvýšit vážnost s jakou budou organizace přistupovat k dodržování kybernetických standardů.
Jak vypadá kybernetická bezpečnost ve vaší firmě?
Implementace kybernetické bezpečnosti se stává nevyhnutelnou podmínkou pro široké spektrum organizací, které se chtějí chránit před kybernetickými útoky a sankcemi, které mohou následovat. Ať už se jedná o posílení interních systémů, školení personálu nebo zavádění bezpečnostních opatření, NIS2 rozšiřuje požadavky na větší počet firem.
Zjistěte více o tom, jak se připravit na NIS2 a ochraňte svůj byznys dříve, než bude pozdě.
Důležitým krokem je školení personálu. Většina kybernetických útoků totiž stále vzniká v důsledku lidské chyby, ať už jde o kliknutí na phishingový e-mail, nebo neuvědomělé zpřístupnění citlivých údajů.
Nově se pod směrnici NIS2 dostávají i středně velké podniky, pokud jsou součástí kritických dodavatelských řetězců. Kybernetická bezpečnost se tak stává tématem, které musí řešit nejen nadnárodní korporace, ale i menší hráči na trhu. Jak jste připraveni?
