Rozšířit regulaci na subjekty poskytující služby významné pro fungování státu
Směrnice NIS2 (NIS = Network and Information System) navazuje na aktuálně účinnou směrnici NIS (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU), a s ohledem na stále intenzivnější digitalizaci rozšiřuje její působnost. Směrnice NIS2 vstoupila v platnost v polovině ledna 2023 a ukládá ČR stejně jako ostatním členským státům EU do poloviny října 2024 upravit národní legislativu.
Zásadní změna oproti NIS je hlavně ve vnímání rizika a kybernetických hrozeb. Provázanost fungování společnosti jako celku a organizací (firem) v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.
Směrnice NIS2 přináší tedy mnoho změn v oblasti zajišťování kybernetické bezpečnosti a významně rozšiřuje množství organizací, které budou do regulace nově spadat.
Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek. S platností tohoto zákona o kybernetické bezpečnosti a souvisejících vyhlášek přijde i lhůta stanovující přechodné období pro organizace, na které se zákon nově vztáhne, a během kterého budou mít čas, aby zavedly potřebná opatření.
Návrhy předpisů se budou ještě upravovat, ale regulovaná odvětví, povinné subjekty a základní povinnosti jsou známé již nyní.
Cíle NIS 2:
Zvýšit úroveň kybernetické bezpečnosti a odolnosti
Společná komunikace a koordinace při řešení kybernetické bezpečnosti napříč EU
Zlepšit schopnost povinných subjektů reagovat na incidenty v oblasti kybernetické bezpečnosti
Zlepšit schopnosti povinných subjektů připravit se a reagovat v případě rozsáhlého incidentu nebo krize
Organizace spadá pod regulaci směrnice NIS2 pokud splňuje tyto 2 podmínky:
- poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice (viz obrázek níže)
- je středním nebo velkým podnikem. Podle velikosti organizace a podle významnosti regulované služby se na ně budou vztahovat vyšší nebo nižší povinnosti.
Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Je tedy určitě na místě začít se co nejdřívě zabývat i finančním plánováním, které zohlední splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti.
Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě, zavedení vícefaktorového ověřování. Organizační opatření pak znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, zvládání bezpečnostních incidentů aj.).
Povinné subjekty musí naplňovat kritéria stanovena navrhovanou vyhláškou. Společnosti musí nově provést takzvanou samoidentifikaci = zjistit, zda jsou povinným subjektem regulované služby a do jaké kategorie povinností nově spadají. Následně se musí NÚKIBu sami nahlásit (registrovat) a budou zapsány do evidence. Nesplnění této povinnosti je sankcionováno vysokou pokutou!
Nové povinnosti
Povinné subjekty se budou muset zaměřit zejména na:
- povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci. Pokud se bude vrcholné vedení regulované organizace soustavně vyhýbat plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, může regulátor nařídit pozastavení funkce managementu.
- povinnost schválit opatření k řízení kybernetických bezpečnostních rizik,
- analýzu rizik a politiky bezpečnosti informací,
- zvládání incidentů,
- kontinuitu činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení,
- bezpečnost v rámci dodavatelského řetězce,
- bezpečnost v rámci pořízení, vývoje a údržby systémů,
- politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit),
- praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti,
- politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování,
- bezpečnost lidských zdrojů, řízení přístupů a aktiv a využívání vícefaktorového ověření identity
- za nedodržení uložených povinností budou subjektům hrozit pokuty
Principem zavádění těchto bezpečnostních opatření je vést organizaci k tomu, aby si zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika (nejen ta kybernetická), která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.
Jak vám můžeme pomoci:
- Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají
- Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management
- Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů
- Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů
Připravte se včas, zvyšte svou připravenost i konkurenceschopnost. Ať už se vás legislativa kolem NIS2 bude týkat, nebo ne, investice do zabezpečení vaší organizace je rozhodně nižší, než ztráty z dopadu případného kybernetického incidentu na chod a dobré jméno firmy.
Neváhejte nás kontaktovat. Rádi s vámi vše projdeme a vysvětlíme.
Neváhejte nás kontaktovat
Rádi s vámi vše projdeme a vysvětlíme.
Neváhejte nás kontaktovat
Rádi s vámi vše projdeme a vysvětlíme.