Směrnice NIS2: Co znamená pre vaši firmu (a ako se připravit)?

Digitální prostředí se neustále vyvíjí a s ním i povaha a sofistikovanost kybernetických hrozeb. Pre posílení kybernetické bezpečnosti v celé Evropské unii bola zavedena směrnice NIS2, ktorá výrazně rozšiřuje a posiluje původní směrnici o síťové a informační bezpečnosti (NIS). Co to ale znamená pre vaši firmu a ako můžete zajistit, že jste připraveni?

Co je směrnice NIS2?

NIS2 je nová celoevropská legislativa zaměřená na dosažení vysoké společné úrovně kybernetické bezpečnosti napříč členskými státy. Ruší a nahrazuje prvý směrnici NIS, rozšiřuje její působnost na viac odvětví a subjektů a zavádí přísnější dozorčí opatření a požadavky na vymáhání. Primárním cílem je zlepšit odolnost a schopnost reakce na incidenty ako veřejných, tak soukromých subjektů, ktoré sú klíčové pre naši ekonomiku a spoločnosť.

Koho se NIS2 týká?

Jednou z nejvýznamnějších změn v NIS2 je rozšíření její působnosti. Směrnice kategorizuje subjekty na „základní“ (essential) a „dôležité“ (important) na základě ich kritičnosti a velikosti.

• Pokrytá odvětví: Seznam odvětví teraz zahrnuje (ale není omezen na):
  • Základní subjekty: Energetika, doprava, bankovnictví, infrastruktury finančních trhů, zdravotnictví, pitná voda, odpadní vody, digitální infrastruktura (propojovací uzly internetu (IXP), poskytovatelé DNS, registry domén nejvyšší úrovně (TLD), poskytovatelé cloud computingu, poskytovatelé datových center, sítě pre doručování obsahu, poskytovatelé služeb vytvářejících důvěru), veřejná správa a vesmír.
  • Dôležité subjekty: Poštovní a kurýrní služby, odpadové hospodářství, výroba kritických produktů (např. zdravotnické prostředky, chemikálie), výroba a distribuce potravin, digitální poskytovatelé (online tržiště, online vyhledávače, platformy sociálních sítí).
• Velikost společnosti: Obecně se NIS2 vztahuje na střední a velké podniky v těchto odvětvích. Některé menší subjekty s vysokým bezpečnostním rizikovým profilem však mohou tiež spadat do její působnosti bez ohledu na ich velikost. Členské státy mají určitou flexibilitu pri identifikaci menších subjektů klíčových pre ich spoločnosť alebo specifická odvětví.

Pre podniky je klíčové posoudit, či spadají do jedné z těchto kategorií.

Klíčové požadavky a povinnosti podle NIS2

NIS2 ukládá řadu opatření pre řízení kybernetických bezpečnostních rizik a ohlašovacích povinností. Dotčené subjekty musí:

1. Implementovat robustní politiky řízení rizik: To zahrnuje provádění pravidelných hodnocení rizik a stanovení politik týkajících se bezpečnosti informačních systémů, řešení incidentů, kontinuity provozu (ako je správa záloh a zotavení po havárii) a krizového řízení.
2. Přijmout specifická bezpečnostní opatření: Subjekty musí přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik ohrožujících bezpečnosť sítí a informačních systémů. Mezi ně patří:
   • Bezpečnosť dodavatelského řetězce (řešení rizik vyplývajících od dodavatelů a poskytovatelů služeb).
   • Bezpečnosť pri pořizování, vývoji a údržbě sítí a informačních systémů, včetně řešení zranitelností a ich zveřejňování.
   • Politiky a postupy pre hodnocení účinnosti opatření pre řízení kybernetických bezpečnostních rizik.
   • Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti.
   • Politiky a postupy týkající se používání kryptografie a případně šifrování.
   • Bezpečnosť lidských zdrojů, politiky řízení přístupu a správa aktiv.
   • Používání vícefaktorového ověřování alebo řešení kontinuálního ověřování.
3. Hlásit významné incidenty: Dotčené subjekty musí oznámit příslušným vnitrostátním orgánům (např. CSIRT) jakýkoli významný kybernetický bezpečnostní incident bez zbytečného odkladu, nejpozději však do 24 hodin od okamžiku, kdy se o něm dozvěděly (včasné varování), následované podrobnějším oznámením incidentu do 72 hodin.
4. Odpovědnost řídících orgánů: Řídící orgány základních a důležitých subjektů musí schvalovat opatření pre řízení kybernetických bezpečnostních rizik a dohlížet na ich provádění. Mohou být činěny odpovědnými za porušení směrnice.

Ako se připravit na soulad s NIS2

Příprava je klíčová. Tu je postup krok za krokem:

1. Určete aplikovatelnost: Nejprve zjistěte, či vaše organizace spadá do působnosti NIS2 na základě vašeho odvětví a velikosti.
2. Proveďte analýzu nedostatků (Gap Analysis): Posuďte svůj současný stav kybernetické bezpečnosti vůči požadavkům NIS2. Identifikujte oblasti, kde vaše současná opatření nedostačují.
3. Vypracujte a implementujte rámec řízení kybernetických bezpečnostních rizik: Na základě analýzy nedostatků vypracujte alebo aktualizujte své politiky řízení rizik a implementujte nezbytná technická a organizační opatření.
4. Posilte postupy hlášení incidentů: Zajistěte, abyste měli jasné postupy pre identifikaci, klasifikaci a hlášení významných incidentů podle časových harmonogramů NIS2.
5. Zkontrolujte a zabezpečte svůj dodavatelský řetězec: Vyhodnoťte postupy kybernetické bezpečnosti vašich klíčových dodavatelů a poskytovatelů služeb.
6. Proškolte své zaměstnance: Kybernetická bezpečnosť je sdílenou odpovědností. Zajistěte, aby vaši zaměstnanci absolvovali pravidelná školení o kybernetické hygieně a povědomí o incidentech.
7. Zapojte vedení: Zajistěte, aby si váš řídící orgán bol vědom svých povinností a aktivně se podílel na dohledu nad opatřeními kybernetické bezpečnosti.

Důsledky nedodržení

Nedodržení NIS2 môže vést k významným sankcím. Pre základní subjekty mohou pokuty činit až nejméně 10 milionů EUR alebo 2 % celkového celosvětového ročního obratu za předchozí účetní období, podle toho, ktorá částka je vyšší. Pre dôležité subjekty je to až 7 milionů EUR alebo 1,4 % obratu. Kromě finančních sankcí môže nedodržení vést k poškození pověsti a ztrátě důvěry zákazníků.

Ako vám mohu pomoci

Orientace ve složitostech NIS2 môže být náročná. Ako IT profesionál s odbornými znalostmi v oblasti správy systémů, bezpečnosti webových aplikácií a automatizace mohu vaší firmě pomoci:

• Posoudit vaši současnou IT infrastrukturu vůči technickým požadavkům NIS2.
• Implementovat osvědčené postupy zabezpečenie pre vaše servery a webové aplikácia.
• Poradit se strategiemi zálohování dat a zotavení po havárii.
• Pomoci automatizovat úlohy monitorování bezpečnosti a hlášení, kde je to proveditelné.

Ačkoli nenabízím kompletní právní poradenství v oblasti souladu s NIS2, mohu vám pomoci posílit technické základy vašeho postoje ke kybernetické bezpečnosti, což je kritická součást plnění požadavků směrnice.

Závěr

Směrnice NIS2 představuje významný krok vpřed v posilování odolnosti vůči kybernetickým hrozbám v celé EU. Ačkoli zavádí přísnější požadavky, poskytuje tiež podnikům příležitost posílit svou obranu proti neustále se vyvíjejícím kybernetickým hrozbám. Proaktivní příprava a závazek k robustním postupům kybernetické bezpečnosti již nejsou len dobrým obchodním smyslem – sú regulačním imperativem.

---

Prohlášení: Tento článok poskytuje obecný přehled směrnice NIS2 a neměl by být považován za právní poradenství. Podniky by se měly poradit s právními a kyberneticko-bezpečnostními odborníky, aby zajistily plný soulad se specifickými vnitrostátními implementacemi NIS2.