Směrnice NIS2 v ČR: Vše, co potřebujete vědět

Směrnice NIS2 (NIS = Network and Information System) navazuje na aktuálně účinnou směrnici NIS (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU), a s ohledem na stále intenzivnější digitalizaci rozšiřuje její působnost. Směrnice NIS2 vstoupila v platnost v polovině ledna 2023 a ukládá ČR stejně jako ostatním členským státům EU do začátku roku 2025 (zde došlo k posunu termínu z původně očekávané poloviny října 2024) upravit národní legislativu.

Zásadní změna oproti NIS je hlavně ve vnímání rizika a kybernetických hrozeb. Provázanost fungování společnosti jako celku a organizací (firem) v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.

Směrnice NIS2 přináší tedy mnoho změn v oblasti zajišťování kybernetické bezpečnosti a významně rozšiřuje množství organizací, které budou do regulace nově spadat.

Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek. S platností tohoto zákona o kybernetické bezpečnosti a souvisejících vyhlášek přijde i lhůta stanovující přechodné období pro organizace, na které se zákon nově vztáhne, a během kterého budou mít čas, aby zavedly potřebná opatření.

Návrhy předpisů se budou ještě upravovat, ale regulovaná odvětví, povinné subjekty a základní povinnosti jsou známé již nyní.

Organizace spadá pod regulaci směrnice NIS2 pokud splňuje tyto 2 podmínky:

• poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice (viz obrázek níže)
• je středním nebo velkým podnikem. Podle velikosti organizace a podle významnosti regulované služby se na ně budou vztahovat vyšší nebo nižší povinnosti.

Bude se vaše společnost řídit novým zákonem? Použijte kalkulačku NÚKIB.

Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Je tedy určitě na místě začít se co nejdřívě zabývat i finančním plánováním, které zohlední splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti.

Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě, zavedení vícefaktorového ověřování. Organizační opatření pak znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, zvládání bezpečnostních incidentů aj.).

Povinné subjekty musí naplňovat kritéria stanovena navrhovanou vyhláškou. Společnosti musí nově provést takzvanou samoidentifikaci = zjistit, zda jsou povinným subjektem regulované služby a do jaké kategorie povinností nově spadají. Následně se musí NÚKIBu sami nahlásit (registrovat) a budou zapsány do evidence. Nesplnění této povinnosti je sankcionováno vysokou pokutou!

Jak vám můžeme pomoci:

• Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají
• Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management
• Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů
• Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů