Připravte svou firmu na směrnici NIS2 a nový zákon o kybernetické bezpečnosti

Mezi hlavní povinnosti chystaného ZoKB patří například zavádění organizačních a technických bezpečnostních opatření, registrace u NÚKIB, stanovení rozsahu řízení kybernetické bezpečnosti, řízení rizik a aktiv, zvládání a hlášení kybernetických incidentů či informování zákazníků o těchto incidentech a dalších hrozbách. Pro vybraná odvětví a strategicky významné služby budou platit také například nová pravidla ohledně plnění povinnosti z mechanismu bezpečnosti dodavatelského řetězce a zajištění dostupnosti z České republiky. A to není ani zdaleka vše. Přečtěte si, jaký je smysl těchto nových pravidel, kdy je můžeme v praxi očekávat, co to znamená pro menší a střední firmy anebo co hrozí v případě jejich nedodržení.

Co je to směrnice NIS2 a zákon o kybernetické bezpečnosti

Cílem směrnice NIS2 (Network and Information Systems 2) je posílit odolnost firem a dalších subjektů vůči kybernetickým hrozbám a zároveň standardizovat tyto povinnosti napříč všemi zeměmi Evropské unie. Vzhledem k tomu, že se jedná o směrnici (a nikoliv nařízení), je v rukou každého členského státu, jak tato nová pravidla zapracuje do svých zákonů. Státy tedy mohou danou regulaci dokonce i zpřísnit, obsah směrnice je však nezbytné minimum, které musí být při přípravě konkrétních zákonů dodrženo. V případě Česka bude výsledkem nový zákon o kybernetické bezpečnosti (ZoKB) z pera Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).

Samotná směrnice NIS2 byla přijata Radou Evropské unie v prosinci 2022. Veřejná konzultace českého ZoKB probíhá od začátku roku 2023, přičemž implementace konečných legislativních změn musí proběhnout nejpozději v říjnu 2024. Dle průběhu legislativního procesu je předpokládaná účinnost zákona koncem roku 2024. Od té chvíle budou všechny související povinnosti právně vymahatelné. Vzhledem ke komplexnosti pravidel by firmy měly chystaným regulačním novinkám začít věnovat pozornost co nejdříve.

QuoteSectionStart:O kyberbezpečnosti pravidelně píšeme i na V-Hubu – přečtěte si například, jak ochránit pracovní zařízení, pokud na nich zaměstnanci používají sociální sítě, nebo jak postupovat při úniku firemních dat.:QuoteSectionEnd

Koho se směrnice NIS2 týká?

Jen v Česku se bude NIS2 (resp. ZoKB) vztahovat na více než 6 000 firem a organizací. Svou kybernetickou bezpečnost si budou muset hlídat firmy poskytující regulované služby ve vybraných odvětvích, které mají 50 a více zaměstnanců a zároveň dosahují ročního obratu 10 milionů eur, anebo bilanční suma roční rozvahy překračuje 10 milionů eur.

Zmíněných vybraných odvětví, na které se regulace vztahuje, je celkem 18 a čítají přibližně 60 služeb. Patří mezi ně:

Služby uvedené v příloze I.

• Energetika

• Doprava

• Bankovnictví

• Infrastruktura finančních trhů

• Zdravotnictví

• Pitná voda

• Odpadní voda

• Digitální infrastruktura (poskytovatelé výměnných uzlů internetu (IXP), cloud computingu, datového centra, služeb vytvářejících důvěru, elektronických komunikací, CDN služeb, registrů TLD, služeb systému doménových jmen (DNS), s výjimkou poskytovatelů root name serverů)

• Poskytovatelé řízených ICT služeb (poskytovatelé řízených ICT služeb a poskytovatelé řízených ICT bezpečnostních služeb, dále subjekty, které pro zákazníky provozují či spravují ICT služby a nástroje, typicky na základě smlouvy o úrovni služeb (SLA))

• Veřejná správa

• Vesmír

Služby uvedené v příloze II.

• Poštovní služby

• Odpadní hospodářství

• Chemický průmysl

• Potravinářství

• Výroba

• Poskytovatelé digitálních služeb (poskytovatelé on-line tržišť, internetových vyhledávačů, platforem a služeb sociálních sítí)

• Výzkum

Jaké změny směrnice NIS2 přináší

Samotných oblastí, které směrnice upravuje, je celá řada. Konkrétní povinnosti podle nového ZoKB se budou lišit podle toho, zda daná firma spadá do režimu nižší, nebo vyšší regulace. Kompletní přehled najdete na webových stránkách NÚKIB, většina nových subjektů bude nicméně nově spadat do zmíněného režimu nižší regulace, a budou se jich proto týkat nová pravidla v následujících oblastech:

• Zavádění a provádění přiměřených bezpečnostních opatření zohledňujících bezpečnostních potřeby organizace

• Bezpečnostní politika a bezpečnostní dokumentace

• Určení osoby odpovědné za kybernetickou bezpečnost

• Bezpečnost lidských zdrojů

• Řízení kontinuity činností

• Řízení přístupu k aktivům

• Řízení identit a jejich oprávnění

• Detekce a zaznamenávání kybernetických bezpečnostních událostí

• Řešení kybernetických bezpečnostních incidentů, včetně hlášení a informování zákazníků

• Bezpečnost komunikačních sítí

• Aplikační bezpečnost

• Kryptografické algoritmy

Současný ZoKB (č. 181/2014 Sb.) velkou část z těchto oblastí upravuje pro společnosti ve vyšším režimu regulace už nyní, a tak mohou být tyto firmy z hlediska budoucí aktualizace a implementace nezbytných řešení mírně napřed. I ony by se však měly mít na pozoru, neboť s novým zněním zákona dojde jak k přijetí nových, tak k úpravě či rozšíření stávajících pravidel a rozsahu regulovaných služeb.

Co hrozí v případě porušení

Nově se také navyšují pokuty za nedodržení povinností stanovených ZoKB. Za přestupek lze uložit pokutu do 250 milionů Kč nebo do výše 2 % čistého celosvětového ročního obratu. Že firmy zákon o kybernetické bezpečnosti dodržují, prověřuje sám NÚKIB.