Nová pravidla v oblasti kyberbezpečnosti, které s sebou přináší evropská směrnice NIS2, klepou na dveře. Již poměrně brzy se promítnou na fungování řady českých firem v rámci nového zákona o kybernetické bezpečnosti (ZoKB) z pera Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Jaká konkrétní pravidla s sebou NIS2 přináší? Kterých společností se týkají? A jak se na ně můžete připravit ve své firmě?
Mezi hlavní povinnosti chystaného ZoKB patří například zavádění organizačních a technických bezpečnostních opatření, registrace u NÚKIB, stanovení rozsahu řízení kybernetické bezpečnosti, řízení rizik a aktiv, zvládání a hlášení kybernetických incidentů či informování zákazníků o těchto incidentech a dalších hrozbách. Pro vybraná odvětví a strategicky významné služby budou platit také například nová pravidla ohledně plnění povinnosti z mechanismu bezpečnosti dodavatelského řetězce a zajištění dostupnosti z České republiky. A to není ani zdaleka vše. Přečtěte si, jaký je smysl těchto nových pravidel, kdy je můžeme v praxi očekávat, co to znamená pro menší a střední firmy anebo co hrozí v případě jejich nedodržení.
Co je to směrnice NIS2 a zákon o kybernetické bezpečnosti
Cílem směrnice NIS2 (Network and Information Systems 2) je posílit odolnost firem a dalších subjektů vůči kybernetickým hrozbám a zároveň standardizovat tyto povinnosti napříč všemi zeměmi Evropské unie. Vzhledem k tomu, že se jedná o směrnici (a nikoliv nařízení), je v rukou každého členského státu, jak tato nová pravidla zapracuje do svých zákonů. Státy tedy mohou danou regulaci dokonce i zpřísnit, obsah směrnice je však nezbytné minimum, které musí být při přípravě konkrétních zákonů dodrženo. V případě Česka bude výsledkem nový zákon o kybernetické bezpečnosti (ZoKB) z pera Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Samotná směrnice NIS2 byla přijata Radou Evropské unie v prosinci 2022. Veřejná konzultace českého ZoKB probíhá od začátku roku 2023, přičemž implementace konečných legislativních změn musí proběhnout nejpozději v říjnu 2024. Dle průběhu legislativního procesu je předpokládaná účinnost zákona koncem roku 2024. Od té chvíle budou všechny související povinnosti právně vymahatelné. Vzhledem ke komplexnosti pravidel by firmy měly chystaným regulačním novinkám začít věnovat pozornost co nejdříve.
Koho se směrnice NIS2 týká?
Jen v Česku se bude NIS2 (resp. ZoKB) vztahovat na více než 6 000 firem a organizací. Svou kybernetickou bezpečnost si budou muset hlídat firmy poskytující regulované služby ve vybraných odvětvích, které mají 50 a více zaměstnanců a zároveň dosahují ročního obratu 10 milionů eur, anebo bilanční suma roční rozvahy překračuje 10 milionů eur.
Zmíněných vybraných odvětví, na které se regulace vztahuje, je celkem 18 a čítají přibližně 60 služeb. Patří mezi ně:
Služby uvedené v příloze I.
- Energetika
- Doprava
- Bankovnictví
- Infrastruktura finančních trhů
- Zdravotnictví
- Pitná voda
- Odpadní voda
- Digitální infrastruktura (poskytovatelé výměnných uzlů internetu (IXP), cloud computingu, datového centra, služeb vytvářejících důvěru, elektronických komunikací, CDN služeb, registrů TLD, služeb systému doménových jmen (DNS), s výjimkou poskytovatelů root name serverů)
- Poskytovatelé řízených ICT služeb (poskytovatelé řízených ICT služeb a poskytovatelé řízených ICT bezpečnostních služeb, dále subjekty, které pro zákazníky provozují či spravují ICT služby a nástroje, typicky na základě smlouvy o úrovni služeb (SLA))
- Veřejná správa
- Vesmír
Služby uvedené v příloze II.
- Poštovní služby
- Odpadní hospodářství
- Chemický průmysl
- Potravinářství
- Výroba
- Poskytovatelé digitálních služeb (poskytovatelé on-line tržišť, internetových vyhledávačů, platforem a služeb sociálních sítí)
- Výzkum
Jaké změny směrnice NIS2 přináší
Samotných oblastí, které směrnice upravuje, je celá řada. Konkrétní povinnosti podle nového ZoKB se budou lišit podle toho, zda daná firma spadá do režimu nižší, nebo vyšší regulace. Kompletní přehled najdete na webových stránkách NÚKIB, většina nových subjektů bude nicméně nově spadat do zmíněného režimu nižší regulace, a budou se jich proto týkat nová pravidla v následujících oblastech:
- Zavádění a provádění přiměřených bezpečnostních opatření zohledňujících bezpečnostních potřeby organizace
- Bezpečnostní politika a bezpečnostní dokumentace
- Určení osoby odpovědné za kybernetickou bezpečnost
- Bezpečnost lidských zdrojů
- Řízení kontinuity činností
- Řízení přístupu k aktivům
- Řízení identit a jejich oprávnění
- Detekce a zaznamenávání kybernetických bezpečnostních událostí
- Řešení kybernetických bezpečnostních incidentů, včetně hlášení a informování zákazníků
- Bezpečnost komunikačních sítí
- Aplikační bezpečnost
- Kryptografické algoritmy
Současný ZoKB (č. 181/2014 Sb.) velkou část z těchto oblastí upravuje pro společnosti ve vyšším režimu regulace už nyní, a tak mohou být tyto firmy z hlediska budoucí aktualizace a implementace nezbytných řešení mírně napřed. I ony by se však měly mít na pozoru, neboť s novým zněním zákona dojde jak k přijetí nových, tak k úpravě či rozšíření stávajících pravidel a rozsahu regulovaných služeb.
TIP
Projděte si směrnici NIS2 a zjistěte, zda a do jaké míry se mohou/budou chystané regulatorní novinky vaší společnosti týkat. Jakmile dostane v roce 2024 nový český zákona o kybernetické bezpečnosti konkrétnější obrysy, zahajte nezbytné kroky, abyste vyhověli všem jeho požadavkům.
Co hrozí v případě porušení
Nově se také navyšují pokuty za nedodržení povinností stanovených ZoKB. Za přestupek lze uložit pokutu do 250 milionů Kč nebo do výše 2 % čistého celosvětového ročního obratu. Že firmy zákon o kybernetické bezpečnosti dodržují, prověřuje sám NÚKIB.
