NIS2 – větší revoluce než GDPR. Jste připravení?

Až 9000 firem a organizací v ČR bude muset implementovat dopady evropské směrnice NIS2. Ta zhruba v polovině roku 2024 vstoupí v platnost v rámci novely zákona o kybernetické bezpečnosti a souvisejících vyhlášek. S přípravou implementace byste měli začít co nejdříve – podle odhadů se bude jednat o větší „digitální revoluci“, než jakou bylo zavádění GDPR. Pokuty za nedodržení NIS2 jsou navíc likvidační – až do výše 250 milionů korun. Proto vám přinášíme informační přehled, kde přehlednou a srozumitelnou formou nastíníme, co je NIS2, jakých organizací se dotkne, co bude zapotřebí implementovat a proč se začít připravovat už nyní.
Kybernetická bezpečnost
NIS2 – větší revoluce než GDPR. Jste připravení?

Co je směrnice NIS2 a proč jí věnujeme tolik prostoru? Jedná se o jakési „pokračování“ evropské směrnice NIS (zkratka Network and Information Security Directive, tedy směrnice o bezpečnosti sítí a informací). Ta se týká zhruba 600 firem v Česku (pro zajímavost jde o méně než 10% dopad, než jaký bude mít NIS2, která poznamená 6000–9000 subjektů a organizací; s největší pravděpodobností se bude týkat téměř všech středních a velkých podniků) a jejím hlavním smyslem bylo dosažení definované úrovně kybernetické bezpečnosti ve všech státech Evropské unie.

Implementace tohoto právního předpisu se ale v praxi ukázala jako problematická, navíc dostatečně nereflektuje aktuální kybernetické hrozby a další faktory související se současným prudkým rozmachem digitalizace soukromého sektoru i státní a veřejné správy. Proto došlo k vytvoření směrnice NIS2, s jejíž finální verzí jsme se mohli seznámit už koncem roku 2022. Jejím smyslem a cílem je opět definování nového standardu kybernetické bezpečnosti v členských státech EU, ale i zlepšení kybernetické odolnosti zejména takových subjektů, které provozují kritické služby (energetika, zdravotnictví, vodohospodářství apod.). Bude se ale týkat i těch subjektů, které dosud neměly zákonem uloženou povinnost se kybernetickou bezpečností zabývat. Jak už jsme zmínili v úvodu, celkový dopad na firmy a organizace v Česku (ale i celé EU) bude zřejmě masivnější než zavádění GDPR v roce 2018.

 

Byrokratické peklo, nebo smysluplné plošné posílení kyberbezpečnosti?

Zde na blogu TOTAL SERVICE vás dlouhodobě informujeme o narůstajícím počtu kybernetických útoků a přinášíme pravidelně novinky z oblasti informační a kybernetické bezpečnosti. Dobře totiž víme, jak fatální může být zanedbávání (nebo dokonce ignorování) kyberbezpečnosti podniků – řešit následky kybernetických útoků až ex-post může být pro podnik devastující. Jak z hlediska ztráty důvěry zákazníků či obchodních partnerů, tak z hlediska důsledků zpoždění projektů a astronomických nákladů na opravu škod způsobených kybernetickými útočníky.

Z tohoto pohledu s sebou přináší směrnice NIS2 i jakousi osvětu – vrcholový management a majitelé firem si tak „budou muset“ uvědomit, že kybernetická bezpečnost není marketingovým buzz-wordem specializovaných firem, není ani samozřejmostí a už vůbec ne něčím, co je příliš drahé a komplikované na to, aby se „plýtvalo“ prostředky z firemního rozpočtu. Podle průzkumu společnosti Sophos se až 58 % českých manažerů neúčastnilo žádného školení v oblasti kyberbezpečnosti. Ze stejného průzkumu vyplývá i to, že 53 % manažerů považuje za nejzásadnější problém v rámci zajišťování adekvátní úrovně kybernetické bezpečnosti vysokou cenu služeb a bezpečnostních opatření.

Implementace NIS2 bohužel bude znamenat vysoké náklady – u těch největších společností spadajících pod nejpřísnější kritéria (vysvětlíme dále v textu) může jít až o stovky milionů korun, u menších subjektů pak očekáváme náklady v řádech jednotek až nižších desítek milionů. Investice totiž nebudou směřovat jen do hardwaru a softwaru, ale zejména do organizačních procesů, poradenství a lidských zdrojů – podle NIS2 budou muset dotčené subjekty a organizace samy aktivně zavádět organizační a preventivní opatření k posílení vlastní informační a kybernetické bezpečnosti.

Můžeme samozřejmě diskutovat o tom, zda je takto „násilná forma“ osvěty spojená s nutností nemalých investic povinných subjektů tou nejlepší cestou, ale slovy klasika je to tak všechno, co s tím můžeme dělat. Jen dodáme – opět slovy klasika – že se snad nebude opakovat historie implementace NIS, tj. „nápad jistě dobrý; výsledky nebyly dobré“ (přinejmenším ne takové, jaké se očekávaly).

 

Cíl a obsah směrnice NIS2

Hlavní smysl směrnice je jasný – plošné posílení povědomí a úrovně kyberneticko-informační bezpečnosti a vytvoření stabilního bezpečného prostředí v rámci celé EU, a to v soukromém i veřejném sektoru (to souvisí zejména s postupující digitalizací státní a veřejné správy). NIS2 se zabývá ale i klasifikací a řízením rizik a klade důraz na zachování kontinuity dodavatelsko-odběratelských řetězců.

Samotná směrnice NIS2 definuje své vlastní cíle takto (redakčně kráceno):

  • Zvýšení úrovně kybernetické odolnosti podniků působících v EU napříč odvětvími, které plní důležité funkce pro hospodářství a společnost jako celek. Všechny dotčené veřejné i soukromé subjekty budou mít povinnost přijmout přiměřená opatření v oblasti kybernetické bezpečnosti. Změny se budou týkat i zajištění kyberbezpečnosti dodavatelského řetězce ICT. Dále se odstraní rozlišení mezi poskytovateli základní a digitální služby, které v současnosti spadají do tří kategorií (zjednodušeně jde o kategorie on-line tržišť, vyhledávačů a poskytovatelů cloudových služeb).
  • Zlepšení úrovně připravenosti na kybernetické útoky např. sdílením informací a koordinací a stanovením pravidel a postupů v případě rozsáhlé mimořádné události nebo krize. NIS2 předpokládá přijetí plánu na reakci na kybernetické bezpečnostní incidenty a krize na úrovni EU a zřízení jednotných kontaktních míst (SPOC), která by fungovala jako styčná místa s ostatními členskými státy.
  • Snížení nesrovnalosti v odolnosti na vnitřním trhu sladěním faktické oblasti působnosti, požadavků na bezpečnost a hlášení incidentů, ustanovení upravujících prosazování a vnitrostátní dohled a pravomocí příslušných dozorových orgánů členských států. Počítá se s reakcí na incidenty nebo se šifrováním a zveřejňováním zranitelností. Zavádí se minimální seznam správních sankcí vč. správní pokuty (tj. až 10 milionů € nebo 2 % celkového světového obratu subjektů).

 

Kolika společností a subjektů se dopady NIS2 dotknou?

Které subjekty budou pod novou regulaci kybernetické bezpečnosti v ČR spadat nelze v tuto chvíli zcela jednoznačně definovat. Jak už jsme zmínili výše, směrnice NIS2 vstoupí z hlediska českého právního řádu v platnost až po schválení novely zákona o kybernetické bezpečnosti – v tom okamžiku již bude znění definitivní (samozřejmě pouze do doby další novelizace).

Co se návrhu zákona týče, počítá se zjednodušením, a sice zavedením jediného typu „povinné osoby“, kterou označuje jako „poskytovatele regulované služby“. Za regulovanou službu je považovaná taková služba, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských nebo ekonomických činností. Její konkrétní kritéria je pak potřeba hledat ve vyhlášce o regulovaných službách. Jejich přehled je nastíněný v příloze NIS2:

  • poskytovatelé sítí elektronických nebo veřejně dostupných služeb elektronických komunikací,
  • poskytovatelé služeb poskytujících důvěru,
  • registry internetových domén nejvyšší úrovně,
  • orgány veřejné správy,
  • výhradní dodavatelé služeb v členském státě EU,
  • subjekty, u kterých by narušení jimi poskytovaných služeb mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví,
  • subjekty, u kterých by narušení jimi poskytovaných služeb mohlo vyvolat systémová rizika, zejména pro odvětví, kde by takové narušení mohlo mít přeshraniční dopad,
  • subjekty kritické vzhledem ke svému specifickému významu na regionální nebo vnitrostátní úrovni pro konkrétní odvětví nebo druh služby,
  • vzájemně závislá odvětví v členském státě EU,
  • subjekty označené za kritické podle směrnice CER nebo za subjekty rovnocenné kritickým subjektům podle národní úpravy,
  • provozovatelé výroby, skladování a přepravy vodíku,
  • zdravotnictví včetně referenčních laboratoří,
  • cloudy, on-line tržiště, vyhledávače, datová centra, sociální sítě,
  • poskytovatelé služeb vytvářejících důvěru,
  • poštovní a kurýrní služby,
  • odpadové hospodářství,
  • výroba a distribuce chemických látek,
  • výroba a distribuce potravin (potravinářské podniky, které se zabývají velkoobchodní distribucí a průmyslovou výrobou nebo zpracováním),
  • výroba vybraných zařízení a prostředků (zdravotnická zařízení, ICT produkty, automatizace výroby apod.).

V okamžiku, kdy nějaký subjekt uvedenou službu poskytuje, postačí k povinnosti registrace a implementace NIS2 tato podmínka:

  • Jde o střední nebo velký podnik, tzn. 50 a více zaměstnanců nebo roční obrat či rozvaha více než 10 mil. € (do počtu zaměstnanců je ovšem nutné připočítat i pracovníky, kteří spadají pod mateřskou/dceřinou společnost).

Pokud vaše společnost splňuje obě podmínky (poskytujete regulovanou službu a současně patříte mezi střední nebo větší podniky), je vaší povinností provést tzv. registraci, tzn. informovat NÚKIB o skutečnosti, že vaše organizace naplňuje stanovená kritéria. Musíte tak provést do 90 dní od nabytí účinnosti zákona, případně kdykoliv v budoucnu, pokud začnete poskytovat regulovanou službu nebo překročíte daná kritéria.

Registraci rozhodně neberte na lehkou váhu – pokud ji neprovedete, hrozí vám v zásadě likvidační pokuty:

  • pokuta 175 milionů korun pro nižší režim nebo
  • pokuta 250 milionů pro vyšší režim.

Režim odpovídá důležitosti a kritičnosti poskytovaných regulovaných služeb. Rozdíly vycházejí především z rozdílné míry rizika, z odlišností státem kladených požadavků a ze způsobu kontroly jejich dodržování.

 

Jaké můžeme očekávat změny, které přinese NIS2?

Nejdůležitější dopad na fungování organizací budou mít následující změny:

  • Povinné vzdělávání vrcholového managementu a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci.
  • Oznamovací povinnost relevantních incidentů, událostí, hrozeb a zranitelností (zejména takových, které mají závažný dopad na poskytování služeb).
  • Komplexnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů.
  • Zesílení důrazu na sdílení informací mezi povinnými organizacemi.
  • Prohloubení spolupráce mezi regulátorem (tj. NÚKIB) a povinnými organizacemi.

 

Kdy se začít na NIS2 připravovat?

Ačkoliv se očekává přijetí novely zákona o kybernetické bezpečnosti nejpozději v říjnu 2024 (pravděpodobně k němu dojde spíše dříve, odhaduje se červen 2024), pokud máte povinnost registrace (viz výše), měli byste s přípravami začít co nejdříve (text vznikl v srpnu 2023, pozn. red.). Proč v takovém předstihu? Jde především o nedostatek kapacit odborníků v oblasti kybernetické a informační bezpečnosti. O nedostatku expertů na kyberbezpečnost na českém trhu jsme vás informovali např. v článku o vývoji IT outsourcingu.

V případě příprav na NIS2 je ale situace ještě komplikovanější, protože se kromě ČR budou dané změny zavádět na úrovni celé Evropy, což povede ještě k rapidnějšímu nárůstu poptávky po těchto specialistech – a vzhledem k omezené nabídce budou jejich ceny dále stoupat. Bez ohledu na to, zda se rozhodnete vytvořit interní tým, či se opřít o pomoc externích expertů, neměli byste s rozhodnutím příliš dlouho otálet.

 

Co by měla příprava na NIS2 zahrnovat?

Rozhodně byste měli začít u srovnávací analýzy – porovnat současný stav kybernetické bezpečnosti a organizačních opatření vaší společnosti oproti tomu, jaké požadavky klade NIS2 (popř. rovnou celý návrh nového kybernetického zákona) – podle toho, zda vaše organizace spadá pod režim vyšších, nebo nižších povinností. Na základě výsledků analýzy pak definujte rozsah činností pro zajištění požadovaných technických a organizačních opatření.

Druhým okruhem příprav by měla být analýza risk managementu vaší organizace i vašich dodavatelů. Ta by měla zahrnovat vyhodnocení aktiv i rizik a následné přijetí bezpečnostních opatření k určení možných rizik a návrhu jejich pokrytí.

Samotné začlenění bezpečnostních opatření do vašeho systému, včetně vypracování postupů, jejich zanesení do bezpečnostní dokumentace a detailního rozpracování do metodik, záznamů a evidencí, doporučujeme provést až v roce 2024 po přijetí novely zákona o kybernetické bezpečnosti.

 

Na NIS2 nejste sami!

Jsme si vědomi toho, že zejména střední podniky, které dosud neimplementovaly ISMS nebo nespadaly z hlediska stávajícího zákona o kybernetické bezpečnosti mezi povinné subjekty (ale po novele mezi ně patřit budou z důvodu poskytování regulovaných služeb), mohou NIS2 považovat za příliš velké sousto.

Pokud se v problematice neorientujete, rádi vám ji přiblížíme. Vysvětlíme, zda budou mít připravované změny skutečně dopad na vaši organizaci. Pomůžeme s registrací i s vypracováním potřebných analýz a plánu zavádění povinných bezpečnostních opatření. Kontaktujte nás – získáte jistotu, že vaše organizace bude v souladu s legislativou, jakmile bude NIS2 platit v rámci novely zákona o kybernetické bezpečnosti.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Nástup nového vedení: Jaké změny přináší nový CEO do TOTAL SERVICE? 
<--
Předchozí článek
Nástup nového vedení: Jaké změny přináší nový CEO do TOTAL SERVICE? 
TOTAL SERVICE mění technickou divizi – seznamte se se změnami
-->
Další článek
TOTAL SERVICE mění technickou divizi – seznamte se se změnami

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt