Směrnice NIS2 vstoupí v platnost začátkem roku 2025. Jak se na ni připravit? Prvním krokem je sebeurčení, které pomůže zjistit, zda se směrnice a její povinnosti vztahují na vaši organizaci. Dalším krokem je pak určení, zda vaše organizace spadá pod režim nižších nebo vyšších povinností, což ovlivní rozsah potřebných bezpečnostních opatření k implementaci. Pomocí speciální Seyfor kalkulačky můžete snadno zjistit, jaké povinnosti (vyšší nebo nižší) pro vás z NIS2 vyplývají.
Definice NIS2 a předpokládaný termín její účinnosti
Směrnice NIS2 (z angl. Network and Information Security Directive) je evropská legislativa zaměřená na zajištění vyšší úrovně kybernetické bezpečnosti v celé Evropské unii. Tato směrnice nahrazuje předchozí směrnici NIS, kterou patřičným způsobem aktualizuje a jejíž působnost rozšiřuje.
Tip: Pokud se chcete o NIS2 dozvědět více, přečtěte si náš Základní přehled o NIS2.
Jelikož se jedná o směrnici, pro účinnost a dopad na jednotlivé firmy, je nutná transpozice do české legislativy. V současné době je tedy ve schvalování návrh nového zákona o kybernetické bezpečnosti včetně prováděcích vyhlášek, který by měl specifikovat jednotlivá opatření a povinnosti pro dotčené společnosti. Vzhledem k probíhajícímu legislativnímu procesu bude NIS2 účinná nejspíše začátkem roku 2025. Již nyní by se měly ale organizace, jichž se NIS2 dotkne, začít připravovat, jelikož implementaci funkčního systému kybernetické bezpečnosti nezrealizují během jednoho měsíce.
Jak se začít připravovat na NIS2? 2 důležité kroky pro začátek
1. Krok: Sebeurčení – zjistěte, zda se na vás NIS2 vztahuje
Prvním krokem k dosažení souladu se směrnicí NIS2 je zjistit, zda se tato směrnice vztahuje na vaši organizaci. Je to klíčový krok pro zjištění, zda musíte zavést specifická opatření k zajištění kybernetické bezpečnosti. A zároveň se jedná o jednu z hlavních změn, které NIS2 přináší oproti své předešlé verzi z roku 2016.
Původně totiž NÚKIB určoval, které organizace budou regulovány, nyní ale musí každá společnost provést vlastní analýzu na základě stanovených kritérií a určit, zda a v jakém rozsahu podléhá regulaci. Jak na to?
Každá organizace musí zhodnotit vybraná kritéria a podle nich svoji organizaci zařadit. Primárně se jedná o 2 hlavní kritéria – odvětví a velikost podniku, a u některých odvětví pak mohou být uvedena specifická kritéria, které jak pak nutné doplňkově také zvážit.
Jak jednotlivá kritéria vypadají?
3 kritéria pro sebeurčení:
1. Odvětví
Identifikujte, zda vaše organizace působí v sektoru, který je regulován vyhláškou o regulovaných službách. Jen pro představu se jedná o 106 služeb ve 22 vyjmenovaných odvětvích, které jsme představili již v minulém článku.
Tip: Konkrétní sektory jsme pro vás přehledně shrnuli ZDE.
2. Velikost podniku
Určete velikost vaší organizace podle doporučení Evropské komise 2003/361/ES. Zjistěte, zda spadáte do kategorie mikropodniků, malých podniků, středních podniků nebo velkých podniků.
Při stanovení počtu zaměstnanců se započítávají:
- osoby zaměstnané na plný pracovní úvazek,
- na částečný pracovní úvazek,
- dočasné a sezónní pracovníky.
Naopak není potřeba započítávat studenty na praxi nebo stážisty a zaměstnance na mateřské/rodičovské dovolené.
Základní počet zaměstnanců je vyjádřen v ročních pracovních jednotkách (RPJ). Za jednu jednotku se počítá osoba, která byla v daném podniku nebo jeho jménem zaměstnána na plný pracovní úvazek po celý sledovaný rok. Osoby, které pracovaly na částečný úvazek, sezónní pracovníci a osoby, které nepracovaly po celý rok, se započítávají jako zlomky RPJ.
Při posuzování naplnění finančních ukazatelů si daný podnik může vybrat takový ukazatel, který je pro něj výhodnější. Zároveň je nutné zvážit, zdali jste:
- Nezávislým podnikem
- Partnerským podnikem
- Propojeným podnikem
V úvahu je nutné vzít všechny vztahy, které má dotyčný podnik s jinými podniky, tj. přímé a nepřímé.
POZOR: Pokud ve finančním kritériu (vámi vybraném) nebo počtu zaměstnanců přesáhnete hodnotu, platí pro vás zařazení do vyšší kategorie podniku.
Co to v praxi znamená? Pokud má podnik 125 zaměstnanců (kategorie středního podniku) a roční obrat cca 8 mil. EUR (kategorie malého podniku), bude posuzován podle kategorie středního podniku. |
POZOR: Některé organizace podléhají NIS2 bez ohledu na jejich velikost, pokud budou strategicky významnou službou (veřejná správa, energetika, doprava atd.), anebo budou označení jako významní dodavatelé v rámci dodavatelsko-odběratelském vztahu a odběratel na ně přenese povinnosti a pravidla týkající systému kybernetické bezpečnosti.
3. Specifická kritéria
V neposlední řadě je nutné posoudit i další specifická kritéria, která mohou být relevantní. Tyto jsou stanoveny prováděcí vyhláškou a jsou konkretizovány pro jednotlivá odvětví, jako např. pro energetiku – výrobu elektřiny, kde nemusí rozhodovat pouze velikost podniku, ale i může mí vliv i rozsah licence na výrobu elektřiny a výkonem výrobny. Nebo např. v oboru zdravotnictví může mít vliv počet poskytovaných lůžek akutní péče zdravotnickým zařízením.
Dalším úskalím pak mohou být další regulace týkající se ochrany dat či kybernetického prostoru, které jsou specifické pro konkrétní sektory. Ty mají totiž (kromě směrnice NIS2) i další předpisy týkající se kybernetické bezpečnosti, které mohou být dokonce nadřazené NIS2. Proto je důležité ověřit, zda se na vás nevztahují i jiné zákony.
Podle Přezkumu předpisů EU o bezpečnosti sítí a informačních systémů (Dokument 3/3, strana 46) jsou pro jednotlivé sektory uvedeny následující pokyny:
- Finanční sektor: Zde platí předpis DORA (Digital Operational Resilience Act), který sjednocuje a zlepšuje požadavky na řízení ICT rizik.
- Energetický sektor: Nařízení o připravenosti na rizika doplňuje směrnici NIS2, stejně jako Nařízení (EU) 2017/1938, které se zaměřuje na bezpečnost dodávek plynu.
- Dopravní sektor: Pro tento sektor existují specifické evropské iniciativy, například pro leteckou a námořní dopravu.
- Elektronické komunikační sítě a služby: Evropský kodex pro elektronické komunikace (EECC) je klíčovým právním rámcem.
Vytvořili jsme za účelem sebeurčení speciální kalkulačku, která vám jednoduše pomůže ověřit, zda se vás NIS2 týká a jaké povinnosti pro vás vyplývají.
2. Krok: Zjistěte, zda jste poskytovatel regulované služby v režimu NIŽŠÍCH nebo VYŠŠÍCH povinností
Kromě již zmíněného procesu sebeurčení NIS2 dělí organizace také do dvou skupin:
- poskytovatelé regulovaných služeb v režimu vyšších povinností a
- poskytovatelé regulovaných služeb v režimu nižších povinností.
Na základě tohoto určení jsou společnosti povinny zavést organizační a technická opatření ve stanoveném rozsahu, přičemž společnosti v režimu nižších povinností budou zavádět méně opatření než ty v režimu vyšších povinností. Na základě provedeného sebeurčení dokážete stanovit jaké povinnosti se vás týkají. Např.:
Společnost podnikající ve výrobním průmyslu (výrobce strojů), která má cca 280 zaměstnanců a obrat má 45 mil. EUR
V rámci odvětví lze identifikovat regulovanou službu 7.3 – Výroba strojů a zařízená nezařazená pro jiné oddíly klasifikace 28 CZ NACE. Zároveň se jedná o velký podnik a to vlivem počtu zaměstnanců, který přesáhl limit 250. Tudíž lze konstatovat, že podnik bude muset splnit povinnosti požadované v NIS2, ale pouze v režimu nižších povinností, což určuje prováděcí vyhláška.
Společnost podnikající ve výrobním průmyslu, která má 25 zaměstnanců a roční obrat 1 mi. EUR
Zde lze identifikovat potenciální regulované odvětví v kategorii 7 – Výrobní průmysl, nicméně velikostí podniku – malý podnik, není v prováděcí vyhlášce regulován, tudíž se ně něj regulace NIS2 vztahovat nebude.
Zdravotnické zařízení disponující 50 lůžky akutní péče, které má 520 zaměstnanců a roční obrat má 8 mil. EUR
V rámci odvětví zde lze opět identifikovat regulovanou službu a to min. 18.1 – Poskytování zdravotnické péče. Zároveň lze zařadit podnik do kategorie velkého podniku vlivem počtu zaměstnanců (nad 250 zaměstnanců), specifické kritérium nejméně 270 lůžek akutní lůžkové péče zde nedisponuje. Na základě toho lze uvést, že zdravotnické zařízení by musilo naplnit režim vyšších povinností a to z důvodu velikosti podniku.
Toto bylo několik případů, jak postupovat při sebeurčení a identifikace své společnosti.
Seyfor vám pomůže se sebeurčením i s dalšími bezpečnostními požadavky
Příprava na směrnici NIS2 je klíčová pro zajištění kybernetické bezpečnosti vaší organizace. Buďte proaktivní a zajistěte, že vaše organizace bude připravena na všechny požadavky, které NIS2 přináší a hlavně, které se na vás nožná vztahují. Pokud potřebujete ujistit, zdali na vás regulace dopadá a v jakém režimu, neváhejte nás kontaktovat. Implementace odpovídajících bezpečnostních opatření je nezbytná pro ochranu vašich systémů a dat před rostoucími kybernetickými hrozbami.
Nečekejte až do poslední chvíle – začněte se připravovat hned teď a využijte dostupných nástrojů, jako je naše speciální kalkulačka, která vám s tímto procesem pomůže.
Článek vznikl za odborné spolupráce Lucie Jahnové - Security Team Lead, Seyfor.