Nová legislativa Evropské unie zaměřená na kybernetickou bezpečnost přináší zásadní změny. Co je směrnice NIS2 a koho se týká? Zjistěte více v našem blogu.
Co se v tomto blogu dozvíte:
Co je NIS2?
Směrnice NIS2 se snaží posílit celkovou kybernetickou odolnost vnitřního trhu a členských států Evropské unie. Jedná se o evropskou legislativu, dokument definující institucionální a regulační přístup ke kybernetické bezpečnosti, který vyžaduje, aby více veřejných i soukromých subjektů adoptovalo moderní bezpečnostní opatření.
Důvodem jejího vzniku je rostoucí závislost společnosti na informačních technologiích. Energetika, vodní hospodářství, bankovnictví, doprava a mnoho dalších sektorů, tam všude hraje ICT zásadní roli. NIS2 chce minimalizovat riziko dysfunkce některých kritických služeb v těchto odvětvích v důsledku kybernetického útoku, a minimalizovat tak potenciální vážné důsledky pro fungování společnosti.
Platnost NIS2
Směrnice NIS 2 (Network and information security, oficiálně The Directive on measures for a high common level of cybersecurity across the Union) vešla na evropské úrovni v účinnost 16. ledna 2023. Členské státy Unie dostaly necelé dva roky na její transpozici do národní legislativy, tedy do 17. října 2024. V České republice má přípravu národní úpravu na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
NIS2 a nový zákon o kybernetické bezpečnosti v Česku
V České republice bude NIS2 reprezentována novým zákonem o kybernetické bezpečnosti (ZoKB), který připravuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
ZoKB představuje již konkrétní, pro povinné subjekty závazný předpis se specifickými ustanoveními pro český kontext a potřeby.
Dle odhadů dopadne na více jak 6000 subjektů, což je řádově více než předchozí regulace. Vzhledem k počtu dotčených subjektů, ale i rozsahu nových technických a organizačních opatření, je zřejmé, že dopad nového ZoKB bude zcela zásadní.
Oproti GDPR se navíc jedná o natolik složitou problematiku, že k naplnění organizačních a technických požadavků nového zákona o kybernetické bezpečnosti bude potřeba spolupráce advokátů, konzultantů a dodavatelů ICT. V platnost by měl vejít do konce roku 2024.
Hlavní cíle NIS2
Cílem směrnice NIS2 je zlepšení kybernetické bezpečnosti sítí a informačních systémů napříč EU. Směrnice reaguje na neustále se vyvíjející oblast kybernetických hrozeb, a snaží se stanovit pravidla zejména pro sektory, které jsou silně závislé na ICT a jejich napadení by mohlo mít vážné důsledky pro společnost
Podrobnější pohled na směrnici potom ukazuje 5 hlavních pilířů, na kterých stojí:
Větší rozsah – NIS2 zásadně rozšiřuje počet povinných subjektů i regulovaných sektorů. Nově budou regulováni například poskytovatelé veřejných elektronických komunikačních sítí a služeb, digitálních služeb (služeb sociálních sítí, poskytovatelů služeb datových center), subjekty podnikající v odpadovém hospodářství, vodárenství, atd.
Přísnější požadavky – Směrnice NIS2 zavádí řadu technických a organizačních opatření. Jsou mezi nimi například zabezpečení dodavatelského řetězce, kontinuity podnikání, krizového managementu, školení v kybernetické bezpečnosti, nasazení politik řízení přístupu, použití MFA nebo metod neustálé autentizace a další.
Změny sankcí – NIS2 přináší také změny v sankcích. Jednak navyšuje horní hranice finančních sankcí, ale zavádí i tzv. nefinanční sankce.
Posílený dohled – Dojde k posílení dohledu, povinnosti hlášení incidentů a uložení vysokých pokut při nenaplnění souladu se zákonem. Vedení dotčených subjektů může být nyní také přímo odpovědné za porušení právních předpisů.
Spolupráce v rámci EU – NIS2 stanoví postupy pro sdílení informací a zkušeností napříč EU a pro koordinaci v případě velkých útoků. Směrnice pokládá základy pro zřízení sítě Evropské organizace pro řešení kybernetických krizí (EU-CyCLONe), která by měla být centrálním bodem pro koordinované akce proti velkoplošným kybernetickým útokům.
NIS2 - koho se týká?
NIS2 dopadne na firmy a organizace z celkem 18 odvětví, které směrnice uvádí ve svých přílohách. Konkrétně se jedná o energetiku, dopravu, bankovnictví, infrastrukturu finančních trhů, digitální infrastrukturu, veřejná správu, a další sektory. Obecně se jedná o ta odvětví, která poskytují služby důležité pro společnost.
Subjekty v těchto odvětvích navíc směrnice NIS2 klasifikuje na základní (vyšší režim povinností) a důležité (nižší režim povinností). Tato distinkce je založena na míře kritičnosti pro daný sektor, velikosti a typu poskytované služby.
Jak poznám, že se nový ZoKB týká i mojí firmy či organizace?
Nicméně, to že veřejný nebo soukromý subjekt spadá pod uvedené sektory, neznamená automaticky, že se na něj nová směrnice bude vztahovat. Tato povinnost vzniká pouze tehdy, pokud si organizace kladně odpoví na následující dvě otázky:
- Spadá obor mé činnosti do regulace?
Směrnice NIS2 ve svých přílohách 1 a 2 uvádí sektory, na které bude mít dopad. V České republice tyto sektory definují prováděcí právní předpisy k ZoKB, které stanovují regulované služby a kritéria pro stanovení režimu regulace (vyšší a nižší).
- Je má firma či organizace dostatečně velká?
NIS2 se dotkne především středních a velkých podniků a organizací. Kritériem je zaměstnávat 50 a více zaměstnanců, nebo dosahovat ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR. Zjištění, zda organizace splňuje tuto podmínku může být trochu komplikovanější, protože je nutné posuzovat i vztah k tzv. propojeným podnikům.
Směrnice definuje i výjimky. Subjekty poskytující vybrané základní služby budou muset dodržovat povinnosti bez ohledu na jejich velikost (např. poskytovatelé služeb DNS).
Vyšší vs nižší režim povinných organizací podle zákona o kybernetické bezpečnosti
Pokud organizace spadá pod novou regulaci, je třeba si navíc odpovědět na otázku, jaké povinnosti je třeba plnit. Režim povinností (regulace), tedy zda spadá vaše firma do režimu vyšších povinností (základní), nebo nižších povinností (důležitá), bude definováno pomocí kritérií uvedených v prováděcích předpisech, vyhláškách zákona o kybernetické bezpečnosti.
Poskytovatel regulované služby v režimu vyšších povinností (essential) – sem spadají zpravidla nejkritičtější typy regulovaných služeb. Jedná se například o firmy z energetického průmyslu, dopravy, bankovnictví, veřejné správy atd.
Poskytovatel regulované služby v režimu nižších povinností (important) – spadají sem zpravidla střední a velké firmy z oborů jako poštovní služby, potravinářství, chemický průmysl a další.
Detailnější pohled rozdělení na základní a důležité subjekty podává NÚKIB na svých stránkách. Kritéria základních a důležitých organizací přitom mohou doznat dílčích změn (ZoKB je zatím v podobě návrhu).
Kdo je v organizaci zodpovědný za NIS2/ZoKB?
Regulované subjekty by měly mít zaměstnance, nebo dodavatele, kteří budou zajišťovat takzvané bezpečnostní role. Budou řídit a rozvíjet kybernetickou bezpečnost, dohlížet na její stav, navrhovat a implementovat bezpečnostní opatření a komunikovat kybernetickou bezpečnost s vedením.
Za to, že se tak stane, stejně jako za vyčlenění zdrojů na kyberbezpečnost, integraci bezpečnostních principů do všech procesů a za další, přitom bude odpovědný vrcholový management. Nový ZoKB tedy vyžaduje, aby se vrcholový management aktivně podílel na řízení kyberbezpečnosti, a stanovuje sankce v případě, že se tak nebude dít.
Jaké sankce hrozí při neplnění požadavků nového zákona o kybernetické bezpečnosti?
Horní hranice sankcí jsou nastaveny ve výši 2 % obratu v případě vyššího režimu povinností a 1,4 % v případě nižšího režimu povinností. Kromě finančních dopadů ale může nedodržování povinností vést i k pozastavení výkonu řídící funkce statutárního orgánu organizace osobě nebo k odebrání kyberbezpečnostních certifikací.
Do kdy musím mít vše připravené?
Dle současného návrhu zákona o kybernetické bezpečnosti budou mít poskytovatelé regulovaných služeb rok na zavedení technických a organizačních opatření, tedy na zajištění souladu s novým ZoKB od jeho uvedené v platnost. Zákon o kybernetické bezpečnosti je v době psaní tohoto blogu ve stádiu návrhu, dle požadavků Evropské unie by měl být přijat do 17. října 2024.
Proč se vyplatí s přípravou na NIS2 neotálet
S přípravou na NIS2 a nový zákon kybernetické bezpečnosti se vyplatí neotálet zejména ze dvou důvodů.
Zákon uvede v platnost řadu povinností a technických požadavků. Ty nemusí být jednoduché v prostředí větších, ale i středně velkých firem a organizací v požadovaném čase implementovat. Zvláště, pokud subjekt doposud kybernetickou bezpečnost a řízení rizik komplexněji neřešil.
S implementací navíc mohou být spojeny velké investiční a provozní náklady. Na ty je třeba vyčlenit zdroje, naplánovat je, a také najít, případně proškolit experty, kteří se budou o kybernetickou bezpečnost starat.
Samotný NÚKIB uvádí, že zavedení funkčního procesu řízení kybernetické bezpečnosti v organizaci může být otázka několika měsíců až let. Obzvláště, pokud se jedná o organizace spadající do režimu vyšších povinností.
Závěrem
Směrnice NIS2 (Network and information security) a její transpozice do českého práva v podobě nového zákona o kybernetické bezpečnosti postaví před regulované firmy a organizace značné technické, organizační a právní výzvy.
Je jisté, že naplnění souladu s novou regulací Evropské unie nebude vždy jednoduché. Zmapování potřeb firmy ve vztahu k novému zákonu, vypracování strategie, zavedení nových technologií, přizpůsobení vnitřních politik a zavedení nových organizačních procesů, to vše bude vyžadovat čas, úsilí, a také finanční prostředky.
Vyplatí se proto s přípravou neotálet a začít zjišťovat potřebné informace, nebo najít spolehlivé partnery, kteří s naplněním zákona pomohou. V České republice je takovým partnerem například technologická aliance GoodAccess společně s Guardians.cz, ProID a LogManager. Více informací najdete zde.
Konkrétní organizační a technické povinnosti pro vyšší a nižší režim regulace vyplývající z nového zákona o kybernetické bezpečnosti rozebíráme v našem blogu “Jaké organizační a technické povinnosti bude třeba plnit?”.
Všechny informace pohromadě najdete v našem whitepaperu Nový zákon o kybernetické bezpečnosti prakticky.
Důležité odkazy:
Oficiální znění směrnice NIS2, včetně příloh