Směrnice NIS 2

Směrnice NIS 2

Kdo, jak a proč – komplexní přehled

Směrnice NIS 2

Směrnice NIS 2 (NIS = Network and information system) navazuje na aktuálně účinnou směrnici NIS (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU), a s ohledem na stále intenzivnější digitalizaci rozšiřuje její působnost.

 

Cíle nové úpravy:

Zvýšit úroveň kybernetické bezpečnosti a odolnosti

Responsive Icon

Zlepšit schopnost reagovat na incidenty v oblasti kybernetické bezpečnosti

Balance Icon

Sjednotit pravidla napříč členskými státy

Zlepšit úroveň společného situačního povědomí a kolektivní schopnosti připravit se a reagovat v případě rozsáhlého incidentu nebo krize

Centralization Icon

Rozšířit regulaci na další subjekty

Zejména poslední uvedený bod – rozšíření regulace na další subjekty – bude znamenat více povinností pro společnosti působící v odvětvích, které jsou v rámci vnitřního trhu EU klíčové.

Nové rozdělení povinných subjektů

Dosud se povinnosti dle platné a účinné směrnice NIS vztahují na dvě skupiny subjektů – na tzv. provozovatele základních služeb (např. energetika, doprava, zdravotnictví, dodávky pitné vody) a poskytovatele digitálních služeb (online tržiště, internetové vyhledávače, služby cloud computingu). Tyto subjekty musí ze zákona zavádět fungující systém kybernetické bezpečnosti, který zahrnuje například postupy pro zvládání kybernetických bezpečnostních incidentů.

Směrnice NIS 2 však dotčené oblasti rozšiřuje a zároveň mění i terminologii. Místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb mají být nově subjekty děleny na základní a důležité, a to podle kritičnosti daného odvětví/služby a také podle míry závislosti ostatních odvětví.

Základní subjekty

Mezi základní sujekty budou řazeny vybrané subjekty označené výše jako provozovatelé základních služeb dle směrnice NIS a k tomu navíc také:

  • energetika: pododvětví dálkového vytápění a chlazení, výroba a distribuce vodíku;
  • zdravotnictví: referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví;
  • vodohospodářství: odpadní vody;
  • digitální infrastruktura: poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací, služeb elektronických komunikací (jsou-li jejich služby veřejně dostupné);
  • veřejná správa: ústřední subjekty veřejné správy, orgány samosprávy;
  • vesmír: pozemní infrastruktury podporující využívání kosmického prostoru.

Důležité subjekty

Pokud jde o důležité subjekty, sem budou patřit následující odvětví:

  • poštovní a kurýrní služby;
  • nakládání s odpady;
  • výroba, produkce a distribuce chemických látek;
  • výroba, zpracování a distribuce potravin;
  • výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj. strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení);
  • digitální služby (poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí).

Velikost subjektů

Směrnice NIS 2 přidává také kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední a velké podniky ve vybraných odvětvích uvedených výše. Velikost podniku bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení toho, zda je určitá společnost mikropodnik, malý nebo střední podnik, a to následovně:

  • mikropodnik: má méně než 10 zaměstnanců a roční obrat nebo rozvahu do 2.000.000 eur;
  • malý podnik: má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 eur;
  • střední podnik: má méně než 250 zaměstnanců a roční obrat do 50.000.000 eur nebo rozvahu do 43.000.000 eur;
  • velký podnik: má nad 250 zaměstnanců nebo bilanční suma jeho roční rozvahy přesahuje 43.000.000 eur nebo roční obrat přesahuje 50.000.000 eur.

Návrh směrnice NIS 2 by se primárně neměl vztahovat na malé podniky a mikropodniky, nejde-li o subjekty výslovně uvedené v ust. čl. 2 odst. 2 návrhu směrnice NIS 2, na které se má úprava směrnice vztáhnout bez ohledu na jejich velikost. Má jít zejména o subjekty, které plní klíčovou úlohu pro hospodářství či společnost, nebo pro konkrétní odvětví či druhy služeb.

Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě. Organizační opatření znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, aj.).

Nové povinnosti

Povinné subjekty se budou muset zaměřit zejména na:

  • analýzu rizik a politiku bezpečnosti informačních systémů;
  • řešení incidentů (prevence a odhalování incidentů a reakce na ně);
  • řízení kontinuity provozu a krizové řízení;
  • zabezpečení dodavatelského řetězce;
  • zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
  • politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
  • kryptografie a šifrování.

Za nedodržení některých pravidel stanovených směrnicí (zejména přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10.000.000 eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší).

Přestože dosud nebylo schváleno finální znění směrnice NIS 2, doporučujeme přípravu nepodcenit. V ČR dlouhodobě chybí odborníci na kybernetickou bezpečnost a nelze tak spoléhat na to, že i “za pět dvanáct” bude snadné najít odbornou pomoc.

Information Security Management System

Jednoduché řešení pro získání nebo soulad s ISO 27001

Chci vědět více
  • Security
  • Security

Vložit komentář k článku

Přidejte komentář, abychom věděli, co si o tomto tématu myslíte.

Přidat komentář

Autor

Lucie Linhartova, SoftwareONE Blog Author

Lucie Linhartová

Associate Consultant

Související články

10 překvapivých bezpečnostních rizik
  • 10 srpna 2022
  • SoftwareONE Czech Republic
  • Security
  • Security

10 překvapivých bezpečnostních rizik

Zatímco mnoho bezpečnostních hrozeb přichází z online prostředí, organizace si musí být vědomy také hrozeb, které se běžně vyskytují mezi čtyřmi zdmi jejich kanceláře.

Microsoft 365 Defender | SoftwareONE Blog
  • 02 srpna 2022
  • Martin Trněný
  • Security

Microsoft 365 Defender

Zabezpečení celé sítě

Jaro v kybernetické bezpečnosti
  • 13 července 2022
  • Lucie Linhartová
  • Security
  • Security, kyberbezpečnost

Jaro v kybernetické bezpečnosti

Postřehy v souvislosti s kyberincidenty v ČR za období březen – květen 2022