Směrnice NIS2: Co znamená pro vaši firmu (a jak se připravit)?

March 10, 2024 | By Pietro Dubsky

Digitální prostředí se neustále vyvíjí a s ním i povaha a sofistikovanost kybernetických hrozeb. Pro posílení kybernetické bezpečnosti v celé Evropské unii byla zavedena směrnice NIS2, která výrazně rozšiřuje a posiluje původní směrnici o síťové a informační bezpečnosti (NIS). Co to ale znamená pro vaši firmu a jak můžete zajistit, že jste připraveni?

Co je směrnice NIS2?

NIS2 je nová celoevropská legislativa zaměřená na dosažení vysoké společné úrovně kybernetické bezpečnosti napříč členskými státy. Ruší a nahrazuje první směrnici NIS, rozšiřuje její působnost na více odvětví a subjektů a zavádí přísnější dozorčí opatření a požadavky na vymáhání. Primárním cílem je zlepšit odolnost a schopnost reakce na incidenty jak veřejných, tak soukromých subjektů, které jsou klíčové pro naši ekonomiku a společnost.

Koho se NIS2 týká?

Jednou z nejvýznamnějších změn v NIS2 je rozšíření její působnosti. Směrnice kategorizuje subjekty na „základní“ (essential) a „důležité“ (important) na základě jejich kritičnosti a velikosti.

  • Pokrytá odvětví: Seznam odvětví nyní zahrnuje (ale není omezen na):
    • Základní subjekty: Energetika, doprava, bankovnictví, infrastruktury finančních trhů, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura (propojovací uzly internetu (IXP), poskytovatelé DNS, registry domén nejvyšší úrovně (TLD), poskytovatelé cloud computingu, poskytovatelé datových center, sítě pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru), veřejná správa a vesmír.
    • Důležité subjekty: Poštovní a kurýrní služby, odpadové hospodářství, výroba kritických produktů (např. zdravotnické prostředky, chemikálie), výroba a distribuce potravin, digitální poskytovatelé (online tržiště, online vyhledávače, platformy sociálních sítí).
  • Velikost společnosti: Obecně se NIS2 vztahuje na střední a velké podniky v těchto odvětvích. Některé menší subjekty s vysokým bezpečnostním rizikovým profilem však mohou také spadat do její působnosti bez ohledu na jejich velikost. Členské státy mají určitou flexibilitu při identifikaci menších subjektů klíčových pro jejich společnost nebo specifická odvětví.

Pro podniky je klíčové posoudit, zda spadají do jedné z těchto kategorií.

Klíčové požadavky a povinnosti podle NIS2

NIS2 ukládá řadu opatření pro řízení kybernetických bezpečnostních rizik a ohlašovacích povinností. Dotčené subjekty musí:

  1. Implementovat robustní politiky řízení rizik: To zahrnuje provádění pravidelných hodnocení rizik a stanovení politik týkajících se bezpečnosti informačních systémů, řešení incidentů, kontinuity provozu (jako je správa záloh a zotavení po havárii) a krizového řízení.
  2. Přijmout specifická bezpečnostní opatření: Subjekty musí přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik ohrožujících bezpečnost sítí a informačních systémů. Mezi ně patří:
    • Bezpečnost dodavatelského řetězce (řešení rizik vyplývajících od dodavatelů a poskytovatelů služeb).
    • Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně řešení zranitelností a jejich zveřejňování.
    • Politiky a postupy pro hodnocení účinnosti opatření pro řízení kybernetických bezpečnostních rizik.
    • Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti.
    • Politiky a postupy týkající se používání kryptografie a případně šifrování.
    • Bezpečnost lidských zdrojů, politiky řízení přístupu a správa aktiv.
    • Používání vícefaktorového ověřování nebo řešení kontinuálního ověřování.
  3. Hlásit významné incidenty: Dotčené subjekty musí oznámit příslušným vnitrostátním orgánům (např. CSIRT) jakýkoli významný kybernetický bezpečnostní incident bez zbytečného odkladu, nejpozději však do 24 hodin od okamžiku, kdy se o něm dozvěděly (včasné varování), následované podrobnějším oznámením incidentu do 72 hodin.
  4. Odpovědnost řídících orgánů: Řídící orgány základních a důležitých subjektů musí schvalovat opatření pro řízení kybernetických bezpečnostních rizik a dohlížet na jejich provádění. Mohou být činěny odpovědnými za porušení směrnice.

Jak se připravit na soulad s NIS2

Příprava je klíčová. Zde je postup krok za krokem:

  1. Určete aplikovatelnost: Nejprve zjistěte, zda vaše organizace spadá do působnosti NIS2 na základě vašeho odvětví a velikosti.
  2. Proveďte analýzu nedostatků (Gap Analysis): Posuďte svůj současný stav kybernetické bezpečnosti vůči požadavkům NIS2. Identifikujte oblasti, kde vaše současná opatření nedostačují.
  3. Vypracujte a implementujte rámec řízení kybernetických bezpečnostních rizik: Na základě analýzy nedostatků vypracujte nebo aktualizujte své politiky řízení rizik a implementujte nezbytná technická a organizační opatření.
  4. Posilte postupy hlášení incidentů: Zajistěte, abyste měli jasné postupy pro identifikaci, klasifikaci a hlášení významných incidentů podle časových harmonogramů NIS2.
  5. Zkontrolujte a zabezpečte svůj dodavatelský řetězec: Vyhodnoťte postupy kybernetické bezpečnosti vašich klíčových dodavatelů a poskytovatelů služeb.
  6. Proškolte své zaměstnance: Kybernetická bezpečnost je sdílenou odpovědností. Zajistěte, aby vaši zaměstnanci absolvovali pravidelná školení o kybernetické hygieně a povědomí o incidentech.
  7. Zapojte vedení: Zajistěte, aby si váš řídící orgán byl vědom svých povinností a aktivně se podílel na dohledu nad opatřeními kybernetické bezpečnosti.

Důsledky nedodržení

Nedodržení NIS2 může vést k významným sankcím. Pro základní subjekty mohou pokuty činit až nejméně 10 milionů EUR nebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, která částka je vyšší. Pro důležité subjekty je to až 7 milionů EUR nebo 1,4 % obratu. Kromě finančních sankcí může nedodržení vést k poškození pověsti a ztrátě důvěry zákazníků.

Jak vám mohu pomoci

Orientace ve složitostech NIS2 může být náročná. Jako IT profesionál s odbornými znalostmi v oblasti správy systémů, bezpečnosti webových aplikací a automatizace mohu vaší firmě pomoci:

  • Posoudit vaši současnou IT infrastrukturu vůči technickým požadavkům NIS2.
  • Implementovat osvědčené postupy zabezpečení pro vaše servery a webové aplikace.
  • Poradit se strategiemi zálohování dat a zotavení po havárii.
  • Pomoci automatizovat úlohy monitorování bezpečnosti a hlášení, kde je to proveditelné.

Ačkoli nenabízím kompletní právní poradenství v oblasti souladu s NIS2, mohu vám pomoci posílit technické základy vašeho postoje ke kybernetické bezpečnosti, což je kritická součást plnění požadavků směrnice.

Závěr

Směrnice NIS2 představuje významný krok vpřed v posilování odolnosti vůči kybernetickým hrozbám v celé EU. Ačkoli zavádí přísnější požadavky, poskytuje také podnikům příležitost posílit svou obranu proti neustále se vyvíjejícím kybernetickým hrozbám. Proaktivní příprava a závazek k robustním postupům kybernetické bezpečnosti již nejsou jen dobrým obchodním smyslem – jsou regulačním imperativem.

Prohlášení: Tento článek poskytuje obecný přehled směrnice NIS2 a neměl by být považován za právní poradenství. Podniky by se měly poradit s právními a kyberneticko-bezpečnostními odborníky, aby zajistily plný soulad se specifickými vnitrostátními implementacemi NIS2.

« Back to Blog