MENU Zavřít

Povinnosti podle NIS2: Jak zajistit soulad s novou směrnicí EU?

  • Ing. Kateřina Menšíková
  • 26. 9. 2024
  • 7 minut čtení

Kybernetická bezpečnost se stává stále důležitějším tématem pro organizace napříč všemi odvětvími. Směrnice NIS2 (Network and Information Systems Directive) je novým právním rámcem, který reaguje na rostoucí hrozby v oblasti kybernetiky a zajišťuje lepší ochranu klíčových digitálních služeb. Tato směrnice zavádí řadu nových povinností pro organizace, které hrají klíčovou roli v kritické infrastruktuře a dalších důležitých sektorech. Zjistěte, jaké konkrétně povinnosti NIS2 organizacím ukládá. 

Co je směrnice NIS2 a koho se týká

Směrnice NIS2 je novým právním předpisem Evropské unie, který nahrazuje původní směrnici NIS z roku 2016. Jejím hlavním cílem je posílit úroveň kybernetické bezpečnosti v členských státech EU tím, že stanovuje přísnější požadavky na ochranu sítí a informačních systémů.  

TIP: Více o této směrnice se dozvíte v Základním přehledu o NIS2 a novém zákonu o kybernetické bezpečnosti. 

Koho se směrnice NIS2 týká? 

Směrnice NIS2 rozšiřuje okruh organizací, které jsou povinny dodržovat její ustanovení. Zatímco původní směrnice NIS se zaměřovala především na subjekty z kritické infrastruktury, nová směrnice zahrnuje širší spektrum organizací, včetně: 

  • Poskytovatelů základních služeb: Tedy organizací, které poskytují klíčové služby v oblastech jako energetika, doprava, zdravotnictví, finanční sektor a další. Tyto organizace jsou považovány za kritické pro fungování společnosti a jejich ochrana je proto prioritou. 
  • Digitálních poskytovatelů služeb: Zahrnuje poskytovatele cloudových služeb, online tržišť a vyhledávačů. Tyto subjekty se staly klíčovými prvky digitální ekonomiky, a jejich bezpečnost je tedy zásadní. 
  • Veřejné instituce: Kromě soukromých organizací se povinnosti NIS2 vztahují také na veřejné instituce, které spravují významné informační systémy nebo poskytují důležité služby veřejnosti. 

TIP: Koho se směrnice konkrétně týká a jak zjistit, zda NIS2 vymezuje nové povinnosti i pro vaši společnosti, se dočtete ve článku: Koho se bude týkat směrnice NIS2? Využijte naší kalkulačky 

Nové povinnosti a důsledky jejich nesplnění 

Jedním z klíčových aspektů směrnice NIS2 je zavedení přísnějších požadavků na kybernetickou bezpečnost a povinností, které musí organizace plnit. Mezi hlavní povinnosti patří: 

  • Zavedení systémů řízení bezpečnosti informací: Organizace musí zavést systémy a procesy pro efektivní řízení bezpečnosti informací, které zahrnují jak preventivní opatření, tak i plány reakce na incidenty. 
  • Zajištění odpovědnosti vrcholového vedení: Směrnice klade důraz na to, že vrcholové vedení organizací musí být přímo zapojeno do procesu řízení kybernetické bezpečnosti a nést odpovědnost za implementaci požadovaných opatření. 
  • Testování, zajištění auditní stopy a reportování: Organizace budou muset pravidelně testovat nastavené procesy a technologie (prostřednictvím např. scanů zranitelností, phishingových kampaní atd.) a budou muset zajistit dostatečné uchování záznamů. Dále budou povinny provádět pravidelné audity kybernetické bezpečnosti a hlásit incidenty a stav bezpečnosti příslušným úřadům. 

Upozornění: Nesplnění těchto povinností může mít pro organizace závažné důsledky, včetně vysokých pokut a dalších sankcí. Z tohoto důvodu je pro organizace zásadní nejen pochopit, co směrnice NIS2 vyžaduje, ale také jak tyto požadavky efektivně implementovat do svých procesů. 

Rozdělení povinností dle směrnice NIS2

Směrnice NIS2 zavádí povinnosti, které se liší v závislosti na tom, do jaké kategorie organizace spadá. Organizace jsou rozděleny do dvou hlavních režimů: vyšší a nižší režim povinností: 

  1. Vyšší režim povinností

    Organizace spadající do vyššího režimu povinností jsou typicky subjekty, které zajišťují klíčové služby, jejichž výpadek nebo ohrožení by mělo zásadní dopad na národní nebo evropskou bezpečnost, ekonomiku nebo zdraví obyvatelstva. Mezi tyto subjekty mohou patřit poskytovatelé základních služeb v energetice, vodohospodářství, dopravě, bankovnictví, zdravotnictví a dalších kritických sektorech. Nicméně i méně významné podniky mohou vlivem podmínek stanovených ve vyhlášce o regulovaných službách spadnou pod tyto povinnosti.

  2. Nižší režim povinnost

    Organizace v nižším režimu povinností jsou subjekty, které sice poskytují důležité služby, ale jejichž výpadek by neměl tak závažný dopad na společnost. Tento režim zahrnuje organizace, které jsou důležité pro fungování společnosti, ale nepatří mezi klíčové sektory kritické infrastruktury. Nicméně je nutné, aby splňovali minimální požadavky na systém kybernetické bezpečnosti.

Každý z těchto režimů má specifické požadavky na organizační a technická opatření, která musí organizace implementovat. 

TIP: Jak zjistíte úroveň svých povinností? Začněte sebeurčením - ZDE přinášíme konkrétní návod, jak na to. 

Poté, co provedete tuto analýzu a zjistíte do jakého režimu povinností spadáte, co to pro vás bude znamenat? Opatření, která je nutno implementovat dle směrnice NIS2, se dělí na organizační a technická. Níže uvádíme srovnání, co musíte implementovat v jednotlivých režimech. 

Přihlaste se k odběru Seyfor newsletteru

Přihlášením souhlasíte s našimi zásadami pro zpracování osobních údajů

Co jsou to organizační opatření? 

Organizační opatření se zaměřují na zavedení a udržování vnitřních procesů, politik a postupů, které podporují bezpečné fungování organizace. Patří sem například:  

  • systém řízení bezpečnosti informací,  
  • řízení rizik,  
  • školení zaměstnanců,  
  • audit kybernetické bezpečnosti nebo reporty, 
  • řízení dodavatelů a  
  • odpovědnost vrcholového vedení.  

Cílem těchto opatření je zajistit, aby organizace byla připravena na potenciální kybernetické hrozby, a aby měla jasně definované role a postupy pro jejich zvládání. 

Co to znamená pro organizace v jednotlivých režimech povinnosti dle NIS2 a co konkrétně musejí zajistit? 

Vyšší režim povinností 

Nižší režim povinností 

Systém řízení bezpečnosti informací 

Systém zajišťování minimální kybernetické bezpečnosti 

Požadavky na vrcholné vedení 

Požadavky na vrcholné vedení 

Stanovení bezpečnostních rolí 

X 

Řízení bezpečnostní politiky a bezpečnostní dokumentace 

X 

Řízení aktiv 

X 

Řízení rizik 

X 

Řízení dodavatelů 

X 

Bezpečnost lidských zdrojů 

Bezpečnost lidských zdrojů 

Řízení změn 

X 

Akvizice, vývoj a údržba 

X 

Řízení přístupu 

Řízení přístupu 

Zvládání kybernetických bezpečnostních událostí a incidentů 

Řešení kybernetických bezpečnostních incidentů 

Řízení kontinuity činností 

Řízení kontinuity činností 

Provádění auditu kybernetické bezpečnosti 

X 

Co jsou to technická opatření? 

Na druhé straně technická opatření zahrnují konkrétní technologická řešení a praktiky, které slouží k ochraně informačních systémů a dat před kybernetickými útoky. Tato opatření zahrnují:  

  • fyzickou bezpečnost zařízení,  
  • zabezpečení komunikačních sítí,  
  • správu a ověřování identit,  
  • detekci a reakci na kybernetické bezpečnostní incidenty, a  
  • zabezpečení aplikací.  

Technická opatření jsou nezbytná pro implementaci ochranných mechanismů, které snižují riziko narušení bezpečnosti a zajišťují, že organizace mohou rychle reagovat na jakýkoli bezpečnostní incident. 

Co to znamená pro organizace v jednotlivých režimech povinnosti dle NIS2 a co konkrétně musejí zajistit? 

Vyšší režim povinností 

Nižší režim povinností 

Fyzická bezpečnost 

X 

Bezpečnost komunikačních sítí 

Bezpečnost komunikačních sítí 

Správa a ověřování identit 

Řízení identit a jejich oprávnění 

Řízení přístupových práv a oprávnění 

X 

Detekce kybernetických bezpečnostních událostí 

Detekce a zaznamenávání kybernetických bezpečnostních událostí 

Zaznamenávání událostí 

Detekce a zaznamenávání kybernetických bezpečnostních událostí 

Vyhodnocování kybernetických bezpečnostních událostí 

Řešení kybernetických bezpečnostních incidentů 

Aplikační bezpečnost 

Aplikační bezpečnost 

Kryptografické algoritmy 

Kryptografické algoritmy 

Zajišťování dostupnosti regulované služby 

X 

Zabezpečení průmyslových, řídících a obdobných specifických technických aktiv 

X 

Seyfor vám pomůže být v souladu se směrnicí NIS2 

Implementace směrnice NIS2 představuje pro mnoho organizací zásadní výzvu, která vyžaduje nejen hluboké porozumění novým povinnostem, ale i robustní plán pro jejich efektivní realizaci. Seyfor rozumí složitosti této problematiky a nabízí komplexní podporu, která vám pomůže zajistit, že vaše organizace bude plně v souladu s novými požadavky. Naši odborníci v oblasti kybernetické bezpečnosti vám poskytnou nejen odborné poradenství, ale také praktická řešení. 

Využijte možnost konzultace s našimi experty, kteří vám pomohou se vším, co nová směrnice NIS2 obnáší, a zajistí, že vaše organizace bude chráněna. 

ZJISTIT VÍCE

Zpět na výpis

Doporučené produkty

V souladu se směrnicí NIS2

Posuňte svou kybernetickou bezpečnost na novou úroveň s našimi komplexními řešeními, které zajišťují soulad vaší organizace s požadavky nové směrnice EU k zajištění kybernetické bezpečnosti (NIS2) v rámci členských zemí. 

Více informací

Podobné články

Další články

Byznys Alpha – budoucnost webových ERP systémů je tady

  • Ing. Anna Gwiltová
  • 20. 9. 2024
Přečíst článek

Webinář: AI v digitálním recruitmentu a sourcingu

  • Ing. Kateřina Menšíková
  • 13. 9. 2024
Přečíst článek
Další články
Vybrat jazyk

Tato stránka je chráněna službou reCAPTCHA a platí na ni zásady ochrany osobních údajů a podmínky používání služby Google. | © 2024 Seyfor