NIS 2
Počet kybernetických útoků v zemích Evropské unie každoročně rapidně narůstá. Aktivitu útočníků navíc nyní výrazně stimulovalo zrychlující tempo digitalizace v kontextu pandemie onemocnění COVID-19 nebo také rusko-ukrajinský vojenský konflikt. Nová evropská strategie kybernetické bezpečnosti se proto zaměřuje především na standardizaci zvýšeného zabezpečení u poměrně širokého spektra tržních a vládních subjektů.
Co je NIS 2?
Směrnice NIS 2 má za cíl rozšířit oblast působnosti aktuálně platné legislativy zaměřené na opatření pro odpovídající úroveň bezpečnosti sítí a informačních systémů napříč celou EU. Tato nová legislativa tedy představuje celoevropské řešení pro posílení zabezpečení kyberprostoru.
Nová směrnice poměrně výrazně rozšiřuje oblast působnosti stávající směrnice NIS 1 tím, že zahrnuje povinné bezpečnostní standardy pro další odvětví definované jejich hospodářským a společenským významem nebo velikostí dané firmy. Jinak řečeno, do oblasti působnosti směrnice budou nově zahrnuty všechny střední a velké společnosti v poměrně širokém spektru tržních odvětvích.
Může se to týkat i Vás !
Oproti předešlé působnosti regulace se budou nově evropská pravidla vztahovat také na mnohonásobně větší množství českých společností. Současné odhady hovoří až o 10.000 dotčených subjektů. Směrnice totiž směřuje nejen na samotné společnosti, ale často beze v potaz i jejich dodavatelské řetězce. Posílením bezpečnosti na všech úrovních (vývoj, výroba a distribuce produktu) má na jedné straně dojít ke zvýšení kybernetické odolnosti jako celku, ale na druhé straně také k navýšení administrativních a dalších relevantních nákladů spojených s implementací.
Nově se tedy povinnosti jako jsou například provedení komplexního auditu kybernetické bezpečnosti, vypracování strategie řízení rizik, řešení incidentů a jejich hlášení ENISA, řízení kontinuity provozu a krizové řízení nebo používání kryptografie a šifrování mohou týkat i Vaší společnosti. Zejména pokud podnikáte v oblasti finančnictví, komunikací nebo provozování on-line platforem či tržišť.
Návrh nových pravidel a povinností již v této chvíli s předstihem adaptují nejvýznamnější hráči trhu – prostřednictvím rozsáhlých investic do systému kybernetické bezpečnosti a do dalších souvisejících bezpečnostních prvků.
Na koho nová legislativa bezprostředně dopadne?
Z aktuálně dostupných informací vyplývá, že směrnicí budou dotčeny především subjekty podnikající v oblastech energetiky, dopravy, bankovnictví a finančnictví, zdravotnictví, výrobě farmaceutických výrobků, vodohospodářství, digitální infrastruktuře, dále poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center či sítě pro doručování obsahu, poskytovatelé služeb veřejné sítě elektronických komunikací a mnoho dalších…
Kdy tyto změny očekávat a jaké plynou sankce z porušení pravidel?
Směrnici NIS2 je velmi důležité věnovat s předstihem pozornost nejen proto, že kyberprostor je v dnešní době ohrožován více než kdy dříve, ale také z důvodu že plnění povinností dle návrhu směrnice má přispět k lepšímu zajišťování kybernetické bezpečnosti na národní i nadnárodní úrovni.
Implementaci směrnice NIS2 by se dotčené subjekty měly intenzivně věnovat i kvůli tomu, že za nedodržení některých pravidel může hrozit pokuta ve výši 10.000.000 EUR nebo 2 procenta z celkového celosvětového ročního obratu podniku.
Přesné detaily však doposud nejsou známé, neboť finální verze směrnice bude zveřejněna koncem června nebo začátkem července. Její následná transpozice do tuzemského právního řádu bude posléze úkolem zákonodárce. Účinnost směrnice pak můžeme očekávat s nástupem roku 2024.
S ohledem na dynamický vývoj v této oblasti je proto již v této chvíli velmi důležité soustavně firmy včas připravovat na tuto plánovanou legislativní revoluci.
Nový standard na poli kybernetického zabezpečení
Počet kybernetických útoků v Evropské unii každoročně narůstá. Aktivitu útočníků navíc výrazně stimulovalo zrychlující se tempo digitalizace v kontextu pandemie onemocnění COVID-19 nebo rusko-ukrajinský válečný konflikt. Nová evropská strategie kybernetické bezpečnosti se proto zaměřuje na standardizaci zvýšeného zabezpečení u poměrně širokého spektra tržních a vládních subjektů.
Jaké povinnosti nová legislativa přinese?
Subjektům dotčeným směrnicí NIS 2 vznikne nově povinnost zavést bezpečnostní opatření a programy pro hodnocení rizik v oblasti kyberbezpečnosti. Pro společnosti by to mělo představovat přijmutí vhodných, přiměřených a odpovídajících technických a organizačních opatření určených k řízení bezpečnostních rizik.
Součástí opatření by mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů, a to s přihlédnutím jak k technickým, tak netechnickým faktorům.
Konkrétně bude NIS 2 představovat revoluci v ustanovení o postupech oznamování incidentů. Zavede totiž povinnost neprodleně oznámit každý incident, který má závažný dopad na poskytování služeb dotčeného subjektu, i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí, a která by mohla mít za následek významný incident. Dále zavede přísnější kontrolní opatření pro vnitrostátní orgány a přísnější požadavky na vymáhání povinností.
Stanovená opatření k řízení rizik v oblasti kybernetické bezpečnosti:
• analýza rizik a politika bezpečnosti informačních systémů,
• řešení incidentů (prevence a odhalování incidentů a reakce na ně),
• řízení kontinuity provozu a krizové řízení,
• zabezpečení dodavatelského řetězce,
• zabezpečení pořizování, vývoje a údržby sítě a informačních systémů,
• povinnost informovat dohledový, nebo regulační úřad stanoveným způsobem,
• politiky a postupy (testování a audit v oblasti kybernetické bezpečnosti),
• používání kryptografie a šifrování.
Co je potřeba udělat již nyní?
Abyste sebe a svou společnost nevystavovali zbytečným hrozbám ze strany nenechavých hackerů, ale také abyste ji uchránili před případnými sankcemi ze strany státu. Je zapotřebí připravit Vaši společnost z právního, organizačního i technického hlediska.
K napravení chyb je třeba je odhalit. Provedením komplexního auditu identifikujeme slabiny Vašeho systému kybernetické bezpečnosti, navrhneme a implementujeme správná technická i netechnická opatření a v neposlední řadě Vašim zaměstnancům osvětlíme problematiku kybernetické bezpečnosti tak, aby se stali živou a nejvýkonnější částí cyber security Vaší společnosti. Vaše společnost tak bude připravena čelit kybernetickým hrozbám současnosti a vy se budete moct soustředit na Vaše podnikání.
Kdy můžeme takto zásadní změny očekávat a co Vám hrozí v případě nepodřízení se?
Směrnici NIS 2 je nutné věnovat pozornost nejen proto, že kybernetická bezpečnost je dnes ohrožována více než kdy dříve, a plnění povinností dle návrhu směrnice má přispět k lepšímu zajišťování kybernetické bezpečnosti na národní i nadnárodní úrovni, ale také proto, že za nedodržení některých pravidel stanovených směrnicí může hrozit pokuta ve výši minimálně 10.000.000 eur nebo 2 procenta z celkového celosvětového ročního obratu podniku. Dalším aspektem je přenos odpovědnosti za splnění jí stanovených norem ze společnosti na zástupce jejího statutárního orgánu.
Proč začít s přípravou již dnes?
Finální verze směrnice bude schválena v druhé polovině roku 2022. Její následná transpozice do tuzemského právního řádu je posléze úkolem zákonodárce. Pro nabytí účinnosti, tedy vyvolání kýženého záměru, má Česká republika čas do začátku roku 2024.
Vzhledem k tomu, že kybernetická bezpečnost, hodnocení dodavatelů a implementace 5G toolboxu jsou hlavními prioritami Českého předsednictví v Radě EU. Se přijetí dalších zákonných norem jeví pouze jako otázka času.
Dalším aspektem je současný stav na trhu práce, kdy Česko je dlouhodobě zemí s nízkým zastoupením IT expertů na tomto trhu. Čeští experti jsou navíc, pro svou vysokou kvalitu, často zaměstnáni pro zahraniční a celosvětové firmy. Kapacity společností poskytujících řešení tak budou s jistotou rapidně klesat, a pokud se chceme vyvarovat scénáři, který nastal společně s implementací nařízení GDPR je potřeba začít s přípravou co nejdříve.