Všechny důležité informace přehledně: NIS2 a připravovaný Zákon o kyberbezpečnosti

Všechny důležité informace přehledně: NIS2 a připravovaný Zákon o kyberbezpečnosti

Ing. Martina Franclová

Brzy na mnoho českých firem připadne nová povinnost. Nová evropská směrnice NIS2 má ambiciózní cíl posílit kybernetickou ochranu podniků i státních organizací v celé EU. Česko se s ní popasuje radikálně, a to novelou Zákona o kybernetické bezpečnosti. Jedno je nyní pro všechny organizace jisté – potřebná technická, provozní a organizační opatření budou vyžadovat investice do modernizace a zabezpečení digitální infrastruktury. Co všechno nová legislativa přinese, od kdy bude platná a jak se na ni připravit? Tento článek přináší vše důležité. 

Dne 27. prosince 2022 byla oficiálně zveřejněna Směrnice NIS2 v Úředním věstníku Evropské unie. Tato publikovaná verze směrnice je konečnou a již nebude podléhat dalším změnám. Informace zde uvedené zakládáme na jejím znění a návrhu novely zákona.  

 1. Co to je směrnice NIS2 

NIS2 představuje revidovanou verzi původní směrnice NIS (Network and Information Security) z roku 2016. Nová verze NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a nabízí inovativní přístupy pro posílení a zabezpečení kyberprostoru v Evropě. Do našeho právního řádu se bude adaptovat prostřednictvím zcela nového Zákona o kybernetické bezpečnosti a návazných vyhlášek.  

 

2. Na koho se NIS2 vztahuje

Po GDPR jde o druhou evropskou právní normu, která se nějak dotkne téměř všech středních a velkých podniků v celounijním měřítku. Týká se organizací historicky řešících zákon o kybernetické bezpečnosti, ale i řady dalších – takřka všech firem nad 50 zaměstnanců anebo těch, jejichž obrat přesahuje 10 milionů EUR. 

Praktický tip: Zjistěte, jestli se na vás podle novely Zákona o kybernetické bezpečnosti vztahují nové povinnosti a popřípadě jaké.

Podle příloh č. I a II směrnice je kybernetická bezpečnost klíčová pro různá odvětví ovlivňující chod evropské společnosti, včetně výroby elektřiny, poskytování zdravotní péče, služeb elektronických komunikací a mnoha dalších. Místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb měrnice požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.  

Návrh zákona stanovuje dva režimy – režim vyšších povinností a režim nižších povinností. Tyto režimy jsou odrazem nového principu tzv. dvourychlostní kybernetické bezpečnosti, jehož cílem je ulehčit menším organizacím od přísných pravidel. Celkem vyjmenovává více než 60 služeb spadajících do 18 odvětví. Jejich přehledné znázornění přináší tato grafika: 

Zcela samostatnou skupinou, pro níž vznikají povinnosti, jsou registrátoři domén. Jde o subjekty shromažďující a udržující přesnou a úplnou registraci doménových jmen. 

 

 3. Kdo v ČR má NIS2 na starost 

Gestorem problematiky je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Právě ten bude také kontrolovat případný nesoulad.  

Doporučujeme: Chcete informace přímo od “zdroje”? Navštivte informační web nis2.nukib.cz. 

 

 4. Od kdy bude nová kyberbezpečnostní směrnice NIS2 platná

Směrnice vstoupila v platnost dne 16. ledna 2023. Členské státy nyní ale mají 21 měsíců, tedy maximálně do 17. října 2024, aby ji zanesly do vnitrostátního práva.  

Důležitá informace: Před zaváděním bezpečnostních opatření bude dle legislativy potřeba v každé organizaci stanovit Rozsah řízení kybernetické bezpečnosti. S jeho zajištěním umíme pomoci . Rádi vám pomůžeme seznámit vaše vedení s požadavky NIS2 a nové legislativy, a nabízíme zdarma také uspořádání workshopu, kde vás seznámíme s aktuální situací. 

 

5. Jak se připravit na NIS2

Chcete vyhovět všem novinkám, a nevíte, jak začít? Doporučujeme se v prvé řadě zaměřit na tyto oblasti:  

1. Stanovit rozsah řízení kybernetické bezpečnosti 

Před zaváděním bezpečnostních opatření je nutné identifikovat ve vaší organizaci primární aktiva (informace, data a služby), určit jejich souvislost s poskytovanými službami a definovat podpůrná aktiva (zaměstnanci, dodavatelé, objekty) důležitá pro chod organizace. 

2. Zajišťovat business kontinuitu 

Zabezpečení business kontinuity zahrnuje vytváření/testování plánů a opatření, která minimalizují dopady krizových situací (přírodní katastrofy, technologické poruchy nebo kybernetické útoky) a umožní vám případně rychle a efektivně obnovit svou činnost. 

3. Prověřit úroveň zabezpečení organizace 

Zajistěte si nezávislý test stávající úrovně zabezpečení vašeho IT. Typicky se jedná o technický sken zranitelností služeb vaší počítačové sítě, test odolnosti proti škodlivému softwaru a test odolnosti vašich uživatelů vůči sociálnímu inženýrství (phishingu).

Legislativa potom povinnosti jako takové dělí na organizační a technické. Evropský zákonodárce přitom definoval následující desítku okruhu:  

  1. Analýza rizik a formulace politiky bezpečnosti informačních systémů. 
  2. Zvládání bezpečnostních incidentů. 
  3. Kontinuita činností zahrnující správu zálohování, obnovu provozu po haváriích a krizové řízení. 
  4. Bezpečnost v rámci dodavatelského řetězce. 
  5. Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení. 
  6. Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (audit). 
  7. Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti. 
  8. Politiky a postupy týkající se využívání kryptografie, případně i šifrování. 
  9. Bezpečnost lidských zdrojů, řízení přístupů a aktiv. 
  10. Využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci. 

Rozsah nových požadavků tedy bude poměrně široký a neobejde se bez investic do hardwaru a softwaru, ale především do lidí a organizačních opatření.  Díky našemu formuláři na stránce zde (dole) se dozvíte konkrétní opatření rozdělené na vyšší a nižší povinnosti.  

 

 6. Co se stane při nesplnění NIS2

Kontrola povinností se bude lišit v závislosti na režimu (tedy zda podnik spadá pod nižších nebo vyšších povinnosti). Režim vyšších povinností bude kontrolovat samotný NÚKIB.  

V případě zjištění nedostatků má NÚKIB pravomoc nařídit nápravná opatření k jejich odstranění. V situacích, kdy jsou nedostatky vážnější, může vydávat varování nebo uložit sankce. Pokud dojde k porušení předpisů, může ukládat pokuty, jejichž maximální výše bude stanovena v souladu se směrnicí NIS2 – činit má až 10 milionů EUR nebo 2 % z čistého obratu dané společnosti. V případech vyšších povinností má připravovaná legislativa v plánu zavést další tresty, jako je pozastavení certifikace nebo pozastavení výkonu řídící funkce u fyzické osoby. O těchto krocích bude rozhodovat soud na základě návrhu NÚKIB. 

 

 7. Co když si nevíte rady 

Kybernetickou bezpečnost v jakékoliv šíři si můžete objednat jako službu. Náš tým získal certifikaci evropského společenství CERT/CSIRT – Trusted Introducer. Jsme tedy jedni z nejpovolanějších, kteří vám s touto problematikou mohou pomoci.  

Rádi vám pomůžeme stanovit rozsah řízení kybernetické bezpečnosti, což bude zákonná povinnost před implementací dalších opatření. Umíme zanalyzovat váš současný stav a individuálně posoudit, jak se máte připravit na zajištění souladu. Máme schopnosti celou situaci objasnit vašemu vedení a třeba také zdarma uspořádat workshop, na němž zazní všechny potřebné informace.  

Celkově lze říci, že nový Zákon o kybernetické bezpečnosti a NIS2 přinesou výzvy, ale především mnohem větší odolnost proti kybernetické kriminalitě. O to tady především jde. Legislativní povinnosti jsou jedna věc. Investice do kybernetické bezpečnosti ale jednoznačně poslouží jako preventivní krok minimalizující úspěšné útoky – což je to nejdůležitější. Preventivní opatření jsou navíc vždy levnější, než řešení následků. 

Pokud vám s novou legislativou můžeme jakkoliv pomoci, obraťte se na našeho kolegu, Ing. Radka Fujaka – fujak@datasys.cz.