Evropská unie zavádí směrnici NIS2 (Network and Information Systems Directive 2), která zpřísňuje požadavky na kybernetickou bezpečnost organizací v celé EU. Tato směrnice nabude účinnosti 18. října 2024, což znamená, že členské státy, včetně České republiky, musí do této doby implementovat potřebné legislativní změny a organizace se musí připravit na dodržování nových pravidel.
Kdo bude ovlivněný směrnicí NIS2 a novým zákonem o kybernetické bezpečnosti?
Nově stanovená pravidla ve směrnici NIS2 se budou týkat všech poskytovatelů regulovaných služeb nejen z EU, ale i těch, kteří v EU operují a splňují kritéria Evropské komise pro střední nebo velké podniky. Jedná se o firmy s více než 50 zaměstnanci a obratem 10 milionů eur nebo více (do počtu zaměstnanců je ovšem nutné připočítat i pracovníky, kteří spadají pod mateřskou/dceřinou společnost).
Jak uvádí Deloitte, v České republice bude směrnice NIS2 ovlivňovat přibližně 9 000 subjektů. A jaké jsou klíčové změny a požadavky NIS2?
1. Rozšířený rozsah působnosti
Nová směrnice NIS2 významně rozšiřuje působnost oproti původní směrnici NIS, což je zásadní změna, která ovlivní mnoho odvětví v České republice. Rozšiřuje působnost z původních 7 na celkem 15 odvětví. Do rozsahu působnosti NIS2 jsou nyní zahrnuté sektory jako:
- energetika,
- doprava,
- bankovnictví,
- zdravotnictví
- a další...
V českém kontextu to znamená, že organizace napříč těmito sektory budou muset provést důkladné audity kybernetické bezpečnosti a aktualizovat své bezpečnostní postupy, aby vyhověly novým požadavkům. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) bude hlavním orgánem, který bude dohlížet na implementaci těchto opatření a poskytovat pokyny pro organizace.
Tip: O směrnici jsme už psali v našem článku NIS2 – větší revoluce než GDPR. Jste připravení?
2. Zvýšené sankce za nedodržení
Jedním z nejvýraznějších prvků směrnice NIS2 jsou přísnější sankce za nedodržení požadavků. Pokud organizace nesplní stanovené požadavky, mohou čelit pokutám až do výše:
- 10 milionů eur nebo 2 % z celosvětového ročního obratu pro základní (essential) entity
- a 7 milionů eur nebo 1,4 % z celosvětového ročního obratu pro důležité (important) entity.
Jaký je rozdíl mezi „základními“ a „důležitými“ entitami podle směrnice NIS2? Například v článku TechRadar se dočtete, že obě kategorie musí splňovat stejné bezpečnostní požadavky, ale rozdíly mezi nimi jsou v dozorových opatřeních a způsobu, jakým jsou kontrolované a sankcionované.
Základní entity
Základní entity jsou ty, které hrají významnou roli v kritických odvětvích a jejichž provoz má zásadní dopad na společnost, ekonomiku nebo bezpečnost. Rozhodovacími parametry jsou počet zaměstnanců 250+ a obrat 50 milionů eur. Typicky zahrnují sektory jako:
- energie (elektrárny, ropné rafinérie, plynovody),
- doprava (letecké, železniční, námořní a silniční společnosti),
- bankovnictví a finanční služby,
- zdravotnictví (nemocnice, zdravotnické informační systémy),
- vodohospodářství (úpravny vody, vodovody a kanalizace),
- veřejná správa,
- vesmír,
- digitální infrastruktura (internetové uzly, datová centra).
Dozor nad základními entitami:
- Podléhají přísnějšímu dohledu a regulaci.
- Musí být v souladu s bezpečnostními opatřeními od začátku implementace NIS2.
- Při nedodržení pravidel mohou čelit vyšším pokutám až do výše 10 milionů eur nebo 2 % z celosvětového ročního obratu.
Důležité entity
Důležité entity jsou subjekty, které také hrají významnou roli v kritických odvětvích, ale jejich provoz není považovaný za stejně zásadní jako u základních entit. Rozhodovacími parametry jsou počet zaměstnanců 50+ a obrat 10 milionů eur. Patří sem například:
- poštovní a kurýrní služby,
- odpadové hospodářství,
- chemický průmysl,
- výzkum,
- potravinářský průmysl,
- poskytovatelé digitálních služeb.
Dozor nad důležitými entitami:
- Podléhají ex-post dohledu, což znamená, že jsou kontrolované až po vzniku podezření na nesoulad nebo incident.
- Při nedodržení pravidel mohou čelit pokutám až do výše 7 milionů eur nebo 1,4 % z celosvětového ročního obratu.
Praktické důsledky pro české organizace
Pro české organizace to znamená, že budou muset identifikovat, do které kategorie spadají, a podle toho přizpůsobit své bezpečnostní politiky a postupy. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) hrál rozhodující roli při určení, které subjekty spadají do těchto kategorií, a při dohledu nad jejich dodržováním NIS2.
Důležité je, aby organizace začaly s přípravou na tyto změny co nejdříve, aby minimalizovaly riziko sankcí a zajistily kontinuitu svých služeb.
Zajímavost: Víte o tom, že 70 % českých firem nedrží krok s aktuálním kyberzabezpečením?
3. Přímá odpovědnost vedení
Jednou z klíčových změn, které směrnice NIS2 přináší, je zvýšená odpovědnost vedení organizací za kybernetickou bezpečnost. Generální ředitelé, členové představenstva a další členové vrcholového managementu budou přímo odpovědní za schválení a dohled nad implementací opatření pro řízení kybernetických rizik. Tato odpovědnost zahrnuje nejen strategické rozhodování, ale také aktivní účast na procesu řízení rizik a zajištění, že organizace splňuje všechny požadavky směrnice NIS2.
V českém právním kontextu to znamená, že vedení organizací musí být důkladně obeznámené s legislativními požadavky NIS2 a musí zavést odpovídající interní procesy a struktury. Osobní odpovědnost může vést k právním postihům v případě, že organizace nesplní své povinnosti v oblasti kybernetické bezpečnosti a zabezpečení počítačových sítí. Pro členy představenstva a vrcholový management je proto nezbytné zajistit, aby byly implementované efektivní kontrolní mechanismy a aby pravidelně probíhala školení v oblasti kybernetické bezpečnosti.
Tip: Přečtěte si náš článek Proškolení zaměstnanci – základ kybernetické bezpečnosti.
4. Požadavky na hlášení incidentů – striktní časové lhůty
Jak se dočtete v článku Dynatrace, podle směrnice NIS2:
- Budou organizace povinné hlásit kybernetické incidenty s významným dopadem do 24 hodin od jejich zjištění.
- Toto počáteční hlášení musí obsahovat úvodní hodnocení incidentu, včetně jeho povahy a potenciálního dopadu.
- Následně do 72 hodin musí organizace předložit podrobnou zprávu, která bude obsahovat hloubkové hodnocení incidentu, včetně analýzy příčin, dopadu a přijatých nápravných opatření.
V českém prostředí to znamená, že organizace budou muset mít zavedené robustní a rychlé komunikační kanály a postupy pro hlášení incidentů. Jak už jsme zmínili, hlavním orgánem, kterému budou incidenty hlášené, bude Národní úřad pro kybernetickou a informační bezpečnost. Organizace musí zajistit, že budou mít personál a technologie potřebné k rychlé detekci a hlášení incidentů, aby splnily tyto přísné časové limity.
5. Zvýšená spolupráce a sdílení informací (spolupráce na evropské úrovni)
Směrnice NIS2 zavádí povinnost pro národní CSIRT týmy (Computer Security Incident Response Team) spolupracovat na evropské úrovni. Cílem je vytvořit efektivní systém pro sdílení informací o zranitelnostech a kybernetických hrozbách mezi členskými státy EU. To zahrnuje vytvoření evropské databáze zranitelností, která umožní rychlou výměnu informací a koordinovanou reakci na kybernetické incidenty.
České organizace budou muset spolupracovat s národními a evropskými CSIRT týmy, aby zajistily, že jsou v souladu s novými předpisy. Spadá sem nejen hlášení incidentů, ale také aktivní účast na společných cvičeních a výměně informací o kybernetických hrozbách a zranitelnostech. Zlepšení spolupráce a sdílení informací je klíčové pro zvýšení celkové kybernetické odolnosti a zabezpečení počítačových sítí České republiky i celé EU.
Tip: Přečtěte si náš článek Maximalizujte kybernetickou obranu: Detailní přehled týmů SOC a CSIRT ve vaší organizaci.
Praktické kroky pro české firmy
1. Proveďte audit kybernetické bezpečnosti
Prvním krokem k přípravě na NIS2 je provést komplexní audit současných bezpečnostních opatření. Tento audit by měl identifikovat slabá místa a oblasti, které vyžadují zlepšení. Spolupráce s odborníky na kybernetickou bezpečnost a externími konzultanty může být užitečná pro získání nezávislého pohledu a doporučení.
V Česku nabízí služby v oblasti kybernetické bezpečnosti řada firem a konzultantů, kteří mohou pomoci s auditem a implementací potřebných opatření.
Tip: Zajímají vás informace přímo od zdroje? Navštivte stránky Národního úřadu pro kybernetickou bezpečnost, kde se dozvíte všechny podrobnosti.
2. Zaveďte komplexní bezpečnostní politiky a postupy
Implementace robustních bezpečnostních opatření je klíčem k dosažení souladu s NIS2. To zahrnuje:
- řízení přístupu,
- šifrování dat,
- pravidelné bezpečnostní testy a monitoring.
Organizace by měly také vypracovat krizové plány pro případ kybernetických útoků, aby byly schopné rychle a efektivně reagovat na incidenty. Informace o tom, jak zavést tyto politiky a postupy, můžete taktéž nalézt například na stránkách NÚKIB, který poskytuje řadu doporučení a metodik.
3. Zajistěte školení a zvyšujte povědomí
Školení zaměstnanců v oblasti kybernetické bezpečnosti je nezbytné pro minimalizaci lidských chyb, které často vedou k bezpečnostním incidentům. Vedení organizací by mělo zajistit, že všichni zaměstnanci jsou si vědomí svých povinností a mají přístup k aktuálním informacím o hrozbách a nejlepších bezpečnostních praktikách. Existuje řada školících programů a kurzů, které nabízejí jak státní instituce, jako je NÚKIB, tak soukromé firmy, jako jsme my v TOTAL SERVICE.
Zajímavost: Víte, že příčinou 95 % případů narušení kybernetické bezpečnosti je lidská chyba? Zajistěte svým zaměstnancům odborné proškolení v oblasti informační bezpečnosti. A nebojte, nestrašíme. Faktem totiž je, že každý čtvrtý zaměstnanec ohrožuje firemní data.
4. Implementujte řešení pro správu identit a přístupu
Řízení přístupu k citlivým informacím a systémům na základě principu minimálních práv je nezbytné. Firmy musí zajistit, aby byly přístupy pravidelně revidované a aktualizované, aby se minimalizovalo riziko neoprávněného přístupu. Využití řešení pro správu identit a přístupu (IAM) je efektivní způsob, jak toho dosáhnout. Na českém trhu je dostupná celá řada IAM řešení, které mohou pomoci zajistit bezpečnostní standardy podle NIS2.
V TOTAL SERVICE nabízíme:
- Integraci a správu bezpečnostních systémů: Spolupracujeme s předními světovými výrobci, jako jsou ESET, Fortinet a Safetica, což nám umožňuje poskytovat robustní bezpečnostní řešení přizpůsobená specifickým potřebám klientů.
- Automatizaci a centralizaci správy identit: To zahrnuje automatizaci rutinních procesů správy uživatelských účtů, což výrazně snižuje administrativní zátěž a náklady spojené s manuálním řízením přístupů.
- Bezpečnostní monitoring a řízení přístupů: Zajišťujeme nepřetržitý dohled nad IT infrastrukturou a poskytuje podporu 24/7, což pomáhá předcházet ztrátám dat a bezpečnostním incidentům.
- Konzultace a audit bezpečnostních politik: Nabízíme posouzení stávajících přístupových práv, revizi neslučitelných rolí a implementaci bezpečnostních politik napříč celou organizací. Tím se zvyšuje bezpečnost informačních systémů a snižuje riziko neoprávněných přístupů k citlivým datům.
Tip: Už jste si nastudovali náš článek NIS2 – větší revoluce než GDPR. Jste připravení?
5. Připravte se na rychlé hlášení incidentů
Jak už jsme několikrát zmínili, NIS2 klade velký důraz na rychlé hlášení kybernetických incidentů. Organizace proto musí mít zavedené procesy pro hlášení incidentů do 24 hodin od jejich zjištění a předložení podrobné zprávy do 72 hodin. To vyžaduje účinnou interní komunikaci a jasně definované postupy.
Systémy jako SIEM (Security Information and Event Management) umožňují automatické sledování a analýzu bezpečnostních událostí v reálném čase, což je důležité pro rychlou detekci a hlášení incidentů. Zabezpečení počítačových sítí je tak díky těmto systémům výrazně efektivnější.
Další inovací, kterou mohou organizace využít, je implementace řešení založených na umělé inteligenci (AI). AI může pomoci s identifikací vzorců a anomálií, které mohou naznačovat kybernetický útok, a tím urychlit reakci na incidenty. Technologie AI také umožňují prediktivní analýzu, což může pomoci organizacím předvídat a předcházet potenciálním hrozbám.
Jedním z nových požadavků je použití silných hesel, dvoufaktorového ověřování nebo certifikátů pro přihlašování uživatelů do kriticky důležitých systémů. Organizace musí také zajišťovat pravidelné penetrační testy a mít připravené plány pro obnovu systémů po incidentu.
Tip: Mohl by vás zajímat náš článek Otestujte bezpečnost firmy pomocí penetračních testů metodou sociálního inženýrství.
Jsme váš partner v kybernetické bezpečnosti a přípravě na směrnici NIS2
Jak se tedy připravit na směrnici NIS2 a vyhnout se tučným pokutám? Kromě již zmíněných kroků se nabízí otázky: Využíváte všechny dostupné zdroje a nástroje k ochraně vaší organizace? Máte připravený krizový plán pro případ kybernetického útoku? A co školení vašich zaměstnanců – jsou dostatečně informovaní o nejnovějších hrozbách?
Jsme tu pro vás, abychom vám pomohli nejen s implementací nezbytných opatření pro splnění požadavků NIS2, ale také s kompletním zabezpečením vaší IT infrastruktury. Nenechávejte nic náhodě a zajistěte, že vaše organizace bude připravená na nové výzvy v oblasti kybernetické bezpečnosti. Kontaktujte nás ještě dnes a zjistěte, jak můžeme pomoci vaší firmě nejen splnit požadavky směrnice NIS2, ale také zvýšit celkovou odolnost proti kybernetickým hrozbám.