Směrnice NIS2 poznamená přes 6000 organizací v ČR

Koncem roku 2022 schválila Rada EU definitivní podobu směrnice NIS2, která nahradí stávající normu NIS. Nová směrnice bude mj. ukládat, aby organizace samy zaváděly preventivní kroky k posílení své kyberbezpečnosti a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se již připravuje na její implementaci. Přinášíme vám proto informační přehled, čeho se nová norma týká, jakých organizací se dotkne a kdy vstoupí v platnost.
Informační technologie
Směrnice NIS2 poznamená přes 6000 organizací v ČR

Smyslem původní směrnice o bezpečnosti sítí a informací (Network and Information Security Directive – NIS) bylo dosáhnout vysoké společné úrovně kybernetické bezpečnosti napříč EU. Její provádění se však ukázalo jako obtížné, a navíc došlo k prudkému nárůstu kybernetických útoků. Obojí by měla významným způsobem napravit nová směrnice NIS2, která si klade za cíl především zvýšení úrovně kybernetické bezpečnosti v EU.

 

Nejvýznamnější změny s dopadem na regulované organizace

Pro stávající a potenciální nové povinné subjekty jsou nejdůležitější následující změny:

  • Rozšíření počtu povinných osob – směrnice NIS2 se bude týkat cca 6 000 soukromých i státních organizací, a to rozšířením regulovaných odvětví i rozšířením stávajících regulovaných odvětví o nové regulované služby. Poslední možností je identifikace povinných osob, kdy primárním kritériem pro zařazení do regulace bude velikost organizace (tj. 50 a více zaměstnanců nebo roční obrat či rozvaha více než 10 mil. €).
  • Povinné vzdělávání vrcholového managementu a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci.
  • Dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností.
  • Komplexnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů.
  • Zesílení důrazu na sdílení informací mezi povinnými organizacemi.
  • Prohloubení spolupráce mezi regulátorem a povinnými organizacemi.
  • Významné zvýšení pokut za nedodržení uložených povinností (nově se stanovuje úroveň pokut až ve výši 2 % celkového obratu společnosti nebo 10 mil. €).

 

Koho se dopady NIS2 dotknou?

Jaké organizace a společnosti budou pod novou regulaci kybernetické bezpečnosti v ČR spadat, není možné do schválení novelizace zákona o kybernetické bezpečnosti definitivně určit, ale pouze typově nastínit. Důležité je, že v okamžiku, kdy daný subjekt relevantní službu poskytuje, stačí, aby naplnil obě unijní kritéria a stává se automaticky povinnou osobou.

Uvedená kritéria pro stanovení povinné osoby jsou následující:

  • Jde o střední nebo velký podnik (to znamená 50 a více zaměstnanců nebo roční obrat či rozvaha více než 10 mil. €) a současně
  • tato organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice NIS2.

Posledním velmi specifickým způsobem určení je propojení směrnice NIS2 s tzv. směrnicí CER, tedy směrnicí Evropského parlamentu a Rady o odolnosti kritických subjektů. Zde platí, že kdo bude budoucí povinnou osobou podle směrnice CER, bude automaticky také povinnou osobou podle směrnice NIS2.

Co se týče typového nastínění povinných osob, oborově půjde o:

  • poskytovatele sítí elektronických nebo veřejně dostupných služeb elektronických komunikací,
  • registry internetových domén nejvyšší úrovně,
  • orgány veřejné správy,
  • výhradní dodavatele služeb v členském státě EU,
  • poskytovatele služeb s vlivem na veřejný pořádek, bezpečnost nebo ochranu zdraví,
  • poskytovatele služeb s vlivem na systémová rizika,
  • subjekty kritické vzhledem ke svému specifickému významu na regionální nebo vnitrostátní úrovni pro konkrétní odvětví nebo druh služby,
  • vzájemně závislá odvětví v členském státě EU.

Přehledně služby uvedené v přílohách směrnice NIS2 zachycuje infografika NÚKIB. Ke shlédnutí rovněž doporučujeme dosud neoficiální dokument od NÚKIB – tzv. Minimální bezpečnostní standard.

 

Kdy změny vstoupí v platnost

Na konkrétní změny zákona a zavedení nových povinností v ČR ještě budeme čekat. NÚKIB na svých stránkách věnovaných směrnici NIS2 i po schválení směrnice stále uvádí termín „od poloviny roku 2024“.

Chtěli byste vědět, zda budou mít připravované změny skutečně dopad právě na vaši společnost? Potřebujete pomoci s registrací vaší organizace do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření? Kontaktujte nás a získejte jistotu, že budete v souladu s legislativou, jakmile bude směrnice NIS2 schválena v ČR.

Řešení pro veřejný i komerční sektor

-
S námi už vám nikdo neohrozí data
-
S námi máte vždy IT náklady pod kontrolou
-
Dostupnost 24/7 a 100% zastupitelnost
-
Vstupní audit zdarma

Máte zájem o vyzkoušení nebo dotaz?

Máte-li nějaké dotazy, nechte nám na sebe kontakt. V pracovní době se vám nejpozději do 24 hodin ozveme. Pokud nemáte kontaktní formuláře rádi, kontaktujte nás na telefonním čísle: (+420) 270 002 811 nebo e-mailu: poptavky@totalservice.cz.
- Vaše data jsou chráněna.
Zaujal vás článek?
Sdílejte ho na sociálních sítích
<-- Zpět na blog
Proč jsou české podniky konzervativní v IT a proč vy byste být neměli
<--
Předchozí článek
Proč jsou české podniky konzervativní v IT a proč vy byste být neměli
Co se změní v GDPR v roce 2023
-->
Další článek
Co se změní v GDPR v roce 2023

Buďte s námi ve spojení

-
TOTAL SERVICE a.s.

Metropolitan Building
U Uranie 954/18
170 00 Praha 7
-

Obchodní divize

Technická divize
-

Help Desk:

helpdesk.totalservice.cz
-

Vzdálená podpora:

get.teamviewer.com/
totalservice
-

Recepce:
(+420) 270 002 811

-

Facebook
TOTAL SERVICE

Linkedin
TOTAL SERVICE

Užitečné stránky
Služby
O nás
Kontakt