Směrnice NIS2 v ČR

Směrnice NIS2 (NIS = Network and Information System) navazuje na aktuálně účinnou směrnici NIS (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU), a s ohledem na stále intenzivnější digitalizaci rozšiřuje její působnost. Směrnice NIS2 vstoupila v platnost v polovině ledna 2023 a ukládá ČR stejně jako ostatním členským státům EU do poloviny října 2024 upravit národní legislativu.

Zásadní změna oproti NIS je hlavně ve vnímání rizika a kybernetických hrozeb. Provázanost fungování společnosti jako celku a organizací (firem) v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.

Směrnice NIS2 přináší tedy mnoho změn v oblasti zajišťování kybernetické bezpečnosti a významně rozšiřuje množství organizací, které budou do regulace nově spadat.

Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek. S platností tohoto zákona o kybernetické bezpečnosti a souvisejících vyhlášek přijde i lhůta stanovující přechodné období pro organizace, na které se zákon nově vztáhne, a během kterého budou mít čas, aby zavedly potřebná opatření.

Návrhy předpisů se budou ještě upravovat, ale regulovaná odvětví, povinné subjekty a základní povinnosti jsou známé již nyní.

Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Je tedy určitě na místě začít se co nejdřívě zabývat i finančním plánováním, které zohlední splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti.

Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě, zavedení vícefaktorového ověřování. Organizační opatření pak znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, zvládání bezpečnostních incidentů aj.).

Povinné subjekty musí naplňovat kritéria stanovena navrhovanou vyhláškou. Společnosti musí nově provést takzvanou samoidentifikaci = zjistit, zda jsou povinným subjektem regulované služby a do jaké kategorie povinností nově spadají. Následně se musí NÚKIBu sami nahlásit (registrovat) a budou zapsány do evidence. Nesplnění této povinnosti je sankcionováno vysokou pokutou!

Nové povinnosti

Povinné subjekty se budou muset zaměřit zejména na:

• povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci. Pokud se bude vrcholné vedení regulované organizace soustavně vyhýbat plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, může regulátor nařídit pozastavení funkce managementu.
• povinnost schválit opatření k řízení kybernetických bezpečnostních rizik,
• analýzu rizik a politiky bezpečnosti informací,
• zvládání incidentů,
• kontinuitu činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení,
• bezpečnost v rámci dodavatelského řetězce,
• bezpečnost v rámci pořízení, vývoje a údržby systémů,
• politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit),
• praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti,
• politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování,
• bezpečnost lidských zdrojů, řízení přístupů a aktiv a využívání vícefaktorového ověření identity
• za nedodržení uložených povinností budou subjektům hrozit pokuty

Principem zavádění těchto bezpečnostních opatření je vést organizaci k tomu, aby si zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika (nejen ta kybernetická), která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.

Jak vám můžeme pomoci:

• Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají
• Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management
• Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů
• Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů