NIS2 je nová směrnice Evropské unie a přináší zásadní změny v oblasti kybernetické bezpečnosti, které se dotknou širokého spektra organizací v Evropské unii. Zjistěte, jaké nové povinnosti a bezpečnostní opatření směrnice zavádí, a jak se firmy mohou na tyto změny připravit. Článek je určen pro všechny, kteří chtějí porozumět aktuálním trendům a posílit kybernetickou a informační bezpečnost.
Aktuálně: Vzhledem k probíhajícímu legislativnímu procesu bude NIS2 účinná nejspíše začátkem roku 2025 (namísto původně plánovaného roku 2024).
Proč roste zájem o bezpečnost sítí a informací
Stav kybernetické bezpečnosti je v dnešní době klíčovým aspektem pro každou organizaci. S rostoucí digitalizací a závislostí na informačních technologiích se zvyšuje i počet a komplexnost kybernetických útoků. Bezpečnost našich dat a infrastruktury je proto zásadní pro ochranu nejen ekonomických zájmů, ale i národní bezpečnosti.
Tip: Znáte 3 základní poučky bezpečnosti firemních dat?
Co to je směrnice NIS2 a jak souvisí se Zákonem o kybernetické bezpečnosti?
NIS2 směrnice, což je zkratka pro Network and Information Systems Directive, je regulace EU, která si klade za cíl sjednotit a zlepšit úroveň kybernetické bezpečnosti v rámci členských států jako reakce na rostoucí počet kybernetických hrozeb a útoků.
Definuje požadavky na zabezpečení sítí a informačních systémů a sítí v různých kritických sektorech a zahrnuje technická a organizační opatření, která mají firmy a organizace přijmout, aby zajistily odpovídající ochranu proti kybernetickým hrozbám.
„Směrnici NIS2 jako legislativní změnu vnímám velmi pozitivně. Je to příležitostí pro firmy posilnit svou ochranu před kybernetickými hrozbami. Rád to přirovnávám k "otravné" povinnosti mít na hlavě přilbu po dobu jízdy na kole. Co když se mi něco opravdu vážného stane? Díky tomu, že jsem měl přilbu, jsem snížil riziko vážného anebo fatálního úrazu. NIS2 přináší rámec toho, jak by měla mít firma nastavenou základní kybernetickou bezpečnost,“ říká Dan Albrecht, Business Development Manager ve společnosti Seyfor. Celý rozhovor si přečtěte zde.
Zákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti (ZoKB)* je legislativa specifická pro Českou republiku, která určuje povinnosti pro provozovatele základních služeb a poskytovatele digitálních služeb v České republice, a to včetně povinnosti hlásit kybernetické incidenty a zavést odpovídající bezpečnostní opatření.
Hlavní spojitost mezi NIS2 a Zákonem o kybernetické bezpečnosti spočívá v tom, že NIS2 stanoví minimální požadavky a pravidla, která musí členské státy EU, a tedy i Česká republika, implementovat do své národní legislativy. To znamená, že český kybernetický zákon bude muset být aktualizován a upraven, aby byl v souladu s novými a přísnějšími požadavky. Implementace NIS2 do české legislativy se očekává nejdříve začátkem roku 2025 namísto původně plánovaného roku 2024.
Historie a vývoj NIS2 směrnice
První směrnice EU NIS vstoupila v platnost v roce 2016 a představovala první krok evropské unie k jednotnému evropskému zvýšení kybernetické bezpečnosti primárně pro kritickou infrastrukturu členských států EU. Nyní se očekává, že směrnice NIS2 posune původní NIS rámec na vyšší úroveň.
NIS2 je aktualizovanou verzí směrnice NIS, která reflektuje aktuální hrozby a rozšiřuje povinnosti na více sektorů, a tudíž více dotčených organizací. Znění směrnice NIS2 bylo zveřejněno v úředním věstníku Evropské unie v prosinci roku 2022.
NIS vs NIS2: hlavní rozdíly
Jedním z hlavních rozdílů mezi NIS a NIS2 je rozšíření působnosti této evropské směrnice o kybernetické bezpečnosti. Zatímco NIS se zaměřovala především na velké organizace, NIS2 zahrnuje i střední a menší firmy, které jsou považovány za významné pro fungování ekonomiky a společnosti.
Další změnou je oproti původní směrnici určení povinností organizace, tzv. “Sebeurčení organizace”. Jedná se o prvotní proces, kterým se musí organizace sama identifikovat, zdali se jí povinnosti vyplývající z regulace NIS2 týkají, či nikoliv.
Jaké povinnosti NIS2 zavádí?
NIS2 se dotkne a dělí společnosti do dvou skupin a to:
- poskytovatel regulované služby v režimu vyšších povinností a
- poskytovatel regulované služby v režimu nižší povinností.
Na základě tohoto, do jaké skupiny organizace spadá, jsou pak společnosti povinny zavést organizační a technická opatření ve stanoveném rozsahu, kdy subjekty v režimu nižších povinností mají vydefinováno méně nutných bezpečnostních opatření než ty v režimu vyšších povinností.
TIP: Kompletní přehled, jaké povinnosti NIS2 zavádí, jsme pro vás shrnuli ZDE, a to včetně návodu, jak na sebeurčení organizací.
Co znamená NIS2 pro firmy a organizace a jaké povinnosti přinese
Směrnice se dotkne téměř všech středních a velkých podniků, které se na trzích v EU pohybují v některých ze 106 regulovaných službách, a to ve 22 vyjmenovaných odvětvích . V České republice se změny dotknou více než 6 000 společností, což byl původní odhad NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost). Nicméně, již nyní lze předpokládat, že počet regulovaných subjektů nakonec vzroste.
Obrázek: 22 odvětví, kterých se dotkne NIS2.
Dotčené subjekty musí zavést adekvátní technická a organizační opatření v oblasti ochrany svých sítí a systémů.
To zahrnuje například:
- zavedení firewallů,
- šifrování dat,
- pravidelné aktualizace softwaru a
- další bezpečnostní technologie.
Management a zaměstnanci subjektů musí být pravidelně školeni a informováni o aktuálních hrozbách a bezpečnostních postupech. Organizace musí mít robustní plány pro řízení rizik a plány pro obnovu po kybernetických útocích. To zahrnuje identifikaci potenciálních hrozeb, hodnocení rizik, hlášení incidentů a zavedení opatření pro minimalizaci jejich dopadu.
Sankce a vysoké pokuty za nesplnění požadavků NIS2
Nesplnění požadavků NIS2 může pro firmy a organizace znamenat vysoké pokuty a sankce. Ty mohou zahrnovat nejen finanční postihy, ale i reputační škody, které mohou mít dlouhodobý negativní dopad na firmu.
Přímou odpovědnost za naplňování předpisů ponesou fyzické osoby ve vedoucích funkcích. Porušení pravidel může mít za následek vysokou pokutu, v krajním případě i pozastavení činnosti organizace či odpovědné osoby.
Firmy, které nebudou splňovat požadavky v podobě nového zákona o kybernetické bezpečnosti, mohou čelit dlouhodobým důsledkům, jako jsou ztráty zákazníků, právní problémy a omezené možnosti růstu. Je proto v jejich nejlepším zájmu dodržovat všechny požadavky dané směrnicí NIS2.
Platí pro vás nový zákon o kybernetické bezpečnosti?
Organizace, které spadají pod NIS 2, musí zajistit, že jejich systém řízení kybernetické bezpečnosti splňuje všechny požadavky stanovené směrnicí. Jak? Je to právě odpovědnost statutárních zástupců za zajištění shody s předpisy a povinnost přijmout opatření k ochraně před kybernetickými hrozbami.
Navrhli jsme speciální kalkulačku, která vám jednoduše pomůže zjistit, zda se na vás legislativa vztahuje, včetně určení úrovně vašich povinností. Vyzkoušejte ji sami:
Seyfor jako spolehlivý partner v kybernetické bezpečnosti
Firmy mohou využít externího dodavatele na konzultace a spolupráci s odborníky na kybernetickou bezpečnost, aby zajistily dodržování všech požadavků nového zákona a maximalizovaly svou ochranu proti kybernetickým hrozbám.
„Každá z oblastí kybernetické bezpečnosti je velmi specifická a stejně tak obsáhlá jako celé IT. Seyfor nabízí komplexní pomoc firmám v oblasti kybernetické bezpečnosti – od analýzy současného stavu až po implementaci potřebných technických a organizačních opatření. Zabezpečujeme konzultace, vypracování směrnice o bezpečnosti sítí, návrh řešení a reakci na incidenty, včetně obnovy infrastruktury a komunikace,” popisuje roli Seyforu Dan Albrecht v kontextu zajišťování bezpečnosti sítí a informací.
Seyfor nabízí komplexní služby v řízení kybernetické bezpečnosti, které zahrnují audit stávajících opatření, implementaci nových technologií a pravidelné školení zaměstnanců.
NIS2 jako cesta ke kvalitnější kybernetické bezpečnosti v EU
S pokračujícím technologickým pokrokem a rostoucími hrozbami je zřejmé, že kybernetická bezpečnost a nový kybernetický zákon budou i nadále klíčovým tématem. Firmy, které investují do kybernetické bezpečnosti, budou lépe připraveny čelit výzvám budoucnosti a ochránit své citlivé informace i infrastrukturu.
Tip: Přečtěte si o nejnákladnějším kybernetickém útoku pro firmy.
Pravidla v novém zákonu o kybernetické bezpečnosti bude představovat významný krok směrem k jednotné a robustní kybernetické bezpečnosti v EU. Firmy musí přijmout odpovídající opatření k ochraně svých sítí a systémů, pravidelně školit své zaměstnance a být připraveny na možné kybernetické útoky.
Užitečné materiály k NIS2 a ZoKB:
Odkaz na návrh nového zákona o kybernetické bezpečnosti
*Návrh znění nového zákona o kybernetické bezpečnosti přináší komplexní změny a posílení stávajících opatření s cílem zvýšit odolnost klíčových služeb a digitálních infrastruktur proti kybernetickým hrozbám. Nynější znění zákona naleznete zde.
Směrnice NIS 2 ke stažení
Nová směrnice Evropské unie NIS2 a její znění je nyní dostupné zde a poskytuje podrobné informace o nových požadavcích a standardech kybernetické bezpečnosti pro členské státy EU.
Článek vznikl za odborné spolupráce Lucie Jahnové - Security Team Lead, Seyfor.