Jaký dopad bude mít směrnice NIS2 na kybernetickou bezpečnost vaší firmy? Stojíme před největší výzvou v oblasti ochrany dat v posledních letech. Směrnice NIS2, zavedená Evropskou unií, přináší přísnější pravidla, která vaše firma musí splnit. Jste připravení na nové legislativní požadavky a sankce za jejich nedodržení? Přečtěte si, co vás čeká a jak se na změny připravit.
Nová směrnice NIS2 (Network and Information Systems Directive 2), zpřísňuje požadavky na kybernetickou bezpečnost organizací napříč celou EU. Tato směrnice má vstoupit v platnost 18. října 2024 (ale legislativní proces narazil na překážky a zdá se, že tento termín nebude dodržený). Organizace se nicméně po zavedení musí připravit na dodržování nových bezpečnostních pravidel.
Nová pravidla stanovená směrnicí NIS2 se vztahují na všechny poskytovatele regulovaných služeb, a to nejen z EU, ale i na ty, kteří v EU operují a splňují kritéria Evropské komise pro střední nebo velké podniky. Tato kritéria zahrnují firmy s více než 50 zaměstnanci nebo s obratem 10 milionů eur a více. Počet zaměstnanců zahrnuje také pracovníky, kteří jsou součástí mateřských nebo dceřiných společností.
Tip: O tom, koho se bude nová směrnice týkat, jsme podrobněji psali v našem článku NIS2 a nový zákon o kybernetické bezpečnosti už ťuká na dveře. Koho se týká?
Rozsah působnosti směrnice NIS2 byl významně rozšířen ve srovnání s původní směrnicí NIS. Nová směrnice se nyní vztahuje na širší okruh poskytovatelů regulovaných služeb, včetně veřejných i soukromých organizací, které splňují kritéria pro střední nebo velké podniky podle doporučení Evropské komise.
NIS2 bude aplikované na různé sektory, jako je:
Základní subjekty, které poskytují kritické služby (např. elektrárny, vodárenské společnosti, zdravotnická zařízení), budou muset dodržovat přísnější bezpečnostní opatření a podléhat pravidelnému dohledu. Důležité subjekty, které poskytují méně kritické služby, budou kontrolované především při nahlášení incidentu.
Pokud vaše společnost splňuje obě podmínky (poskytujete regulovanou službu a současně patříte mezi střední nebo větší podniky), je vaší povinností provést tzv. registraci, tj. informovat NÚKIB o skutečnosti, že vaše organizace naplňuje stanovená kritéria. Musíte tak učinit do 90 dní od nabytí účinnosti zákona, případně kdykoliv v budoucnu, pokud začnete poskytovat regulovanou službu nebo překročíte daná kritéria.
Registraci rozhodně neberte na lehkou váhu – pokud ji neprovedete, hrozí vám vysoké pokuty.
Tip: Pro více informací můžete navštívit stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB).
Praktické důsledky směrnice NIS2 pro české organizace jsou rozsáhlé a zahrnují několik klíčových oblastí, které je třeba zohlednit:
Zajímavost: Z nejnovějšího průzkumu vyplývá, že více než 70 % společností se ještě na přísnější požadavky nepřipravilo. V privátním sektoru se připravenými cítí asi 14 % dotázaných, zatímco ve veřejném sektoru nikdo. Hlavní důvody nepřipravenosti zahrnují:
IT odborníci většinou vnímají větší podporu od NÚKIB než od vlastního managementu. Firmy často neví, že mohou čerpat evropské dotace na zvýšení zabezpečení.
Nová směrnice přináší výrazné zvýšení sankcí za nedodržení kybernetických bezpečnostních opatření. Za porušení této směrnice může být udělená pokuta až do výše 10 000 000 eur nebo 2 % z celkového celosvětového ročního obratu společnosti.
Kromě finančních pokut hrozí také správní tresty, jako je pozastavení platnosti certifikace nebo výkonu řídicí funkce pro jednotlivé fyzické osoby ve vrcholném vedení organizací, které nedodrží stanovené povinnosti. Tato opatření mají za cíl zajistit vyšší úroveň odpovědnosti a motivovat organizace k dodržování požadavků směrnice.
Implementace směrnice NIS2 a její požadavky na kybernetickou bezpečnost budou kontrolované zmíněným Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), který bude provádět pravidelné audity a kontroly plnění povinností.
Horký tip: Potřebujete pomoct s implementací NIS2? V Algotechu poskytujeme komplexní služby v rámci NIS2 – od auditu až po školení zaměstnanců. Outsourcing služeb spojených s NIS2, včetně splnění technických, procesních a administrativních požadavků nové směrnice a zákona o kybernetické bezpečnosti, je levnější a bezpečnější řešení.
Implementace směrnice NIS2 představuje pro české firmy komplexní proces, který zahrnuje technická, organizační i procesní opatření. Zde jsou hlavní kroky, které by firmy měly podniknout:
Firmy by měly začít detailní analýzou současného stavu svých informačních systémů a kybernetické bezpečnosti. Sem spadá:
Na základě analýzy je potřeba vytvořit podrobný plán implementace, který zahrnuje harmonogram, rozpočet a odpovědné osoby. Tento plán musí obsahovat i zavedení technických opatření, jako jsou:
Je důležité zajišťovat bezpečnost celého dodavatelského řetězce – pravidelné hodnocení bezpečnostních opatření dodavatelů a jejich kontrolu. Firmy musí začlenit požadavky na kybernetickou bezpečnost do smluv s dodavateli.
Pravidelná školení v oblasti kybernetické bezpečnosti jsou důležité pro zajištění, že jsou si všichni zaměstnanci vědomí hrozeb a postupů při jejich řešení. Školení musí být zaměřená na prevenci, odhalování a reakci na kybernetické incidenty.
Firmy musí pravidelně testovat a aktualizovat své bezpečnostní opatření a plány obnovy po kybernetických útocích. Jedná se o pravidelné zálohování dat, testování obnovy po incidentech a analýzu dopadů na obchodní procesy.
Jak už jsme zmínili, nabízíme komplexní služby pro zajištění souladu s NIS2, včetně auditů, poradenství, implementace bezpečnostních opatření, školení zaměstnanců a služby manažera kybernetické bezpečnosti. Díky dlouholetým zkušenostem a odborným znalostem pomáháme organizacím efektivně splnit všechny požadavky NIS2 a optimalizovat jejich kybernetickou bezpečnost.
Naše nově vzniklé expertní oddělení pro umělou inteligenci, vedené Vojtěchem Černým, je dalším naším krokem k posílení bezpečnostních opatření. Toto oddělení se specializuje na implementaci AI technologií, které identifikují vzorce a anomálie naznačující kybernetické útoky. AI nástroje tak nejen zrychlují reakci na incidenty, ale i umožňují prediktivní analýzu k předvídání a prevenci potenciálních hrozeb, což významně přispívá nejen k bezpečnosti informačních systémů.
Tímto způsobem nejenže podporujeme své klienty při splnění nových požadavků NIS2. Pokud byste měli o naše služby zájem, neváhejte se na nás obrátit, pomůžeme vám nejen s implementací opatření v souvislosti se směrnicí NIS2.
Copyright © 2024 - Algotech a.s., all rights reserved
| Zpracování osobních údajů |
Všeobecné obchodní podmínky