NIS2 a kybernetická bezpečnost: Jak se připravit na legislativní změny a vyhnout se sankcím?

NIS2 a kybernetická bezpečnost: Jak se připravit na legislativní změny a vyhnout se sankcím?
Články a zajímavosti

Jaký dopad bude mít směrnice NIS2 na kybernetickou bezpečnost vaší firmy? Stojíme před největší výzvou v oblasti ochrany dat v posledních letech. Směrnice NIS2, zavedená Evropskou unií, přináší přísnější pravidla, která vaše firma musí splnit. Jste připravení na nové legislativní požadavky a sankce za jejich nedodržení? Přečtěte si, co vás čeká a jak se na změny připravit. 

Nová směrnice NIS2 (Network and Information Systems Directive 2), zpřísňuje požadavky na kybernetickou bezpečnost organizací napříč celou EU. Tato směrnice má vstoupit v platnost 18. října 2024 (ale legislativní proces narazil na překážky a zdá se, že tento termín nebude dodržený). Organizace se nicméně po zavedení musí připravit na dodržování nových bezpečnostních pravidel. 

Koho se bude směrnice týkat?  

Nová pravidla stanovená směrnicí NIS2 se vztahují na všechny poskytovatele regulovaných služeb, a to nejen z EU, ale i na ty, kteří v EU operují a splňují kritéria Evropské komise pro střední nebo velké podniky. Tato kritéria zahrnují firmy s více než 50 zaměstnanci nebo s obratem 10 milionů eur a více. Počet zaměstnanců zahrnuje také pracovníky, kteří jsou součástí mateřských nebo dceřiných společností. 

 Tip: O tom, koho se bude nová směrnice týkat, jsme podrobněji psali v našem článku NIS2 a nový zákon o kybernetické bezpečnosti už ťuká na dveře. Koho se týká?

Rozsah působnosti směrnice NIS2 byl významně rozšířen ve srovnání s původní směrnicí NIS. Nová směrnice se nyní vztahuje na širší okruh poskytovatelů regulovaných služeb, včetně veřejných i soukromých organizací, které splňují kritéria pro střední nebo velké podniky podle doporučení Evropské komise. 

NIS2 bude aplikované na různé sektory, jako je:  

  • energetika,  
  • doprava,  
  • bankovnictví,  
  • vodní a odpadní hospodářství,  
  • digitální infrastruktura,  
  • zdravotnictví  
  • a další klíčové oblasti.  

Základní subjekty, které poskytují kritické služby (např. elektrárny, vodárenské společnosti, zdravotnická zařízení), budou muset dodržovat přísnější bezpečnostní opatření a podléhat pravidelnému dohledu. Důležité subjekty, které poskytují méně kritické služby, budou kontrolované především při nahlášení incidentu​. 

Pokud vaše společnost splňuje obě podmínky (poskytujete regulovanou službu a současně patříte mezi střední nebo větší podniky), je vaší povinností provést tzv. registraci, tj. informovat NÚKIB o skutečnosti, že vaše organizace naplňuje stanovená kritéria. Musíte tak učinit do 90 dní od nabytí účinnosti zákona, případně kdykoliv v budoucnu, pokud začnete poskytovat regulovanou službu nebo překročíte daná kritéria. 

Registraci rozhodně neberte na lehkou váhu – pokud ji neprovedete, hrozí vám vysoké pokuty. 

Tip: Pro více informací můžete navštívit stránky Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)​.

Praktické důsledky směrnice NIS2 pro české organizace 

Praktické důsledky směrnice NIS2 pro české organizace jsou rozsáhlé a zahrnují několik klíčových oblastí, které je třeba zohlednit: 

  • Zvýšené nároky na dodavatelské řetězce: Organizace budou muset věnovat zvýšenou pozornost bezpečnosti svých dodavatelských řetězců, což zahrnuje prověřování bezpečnostních opatření dodavatelů a zajištění, že dodavatelé splňují stanovené standardy. Toto opatření je reakcí na narůstající počet kybernetických útoků prostřednictvím dodavatelských řetězců​ a je klíčové pro ochranu dat v informačních systémech. 
  • Povinné hlášení incidentů: Organizace budou muset hlásit kybernetické bezpečnostní incidenty do 24 hodin od jejich zjištění, což zvyšuje transparentnost a umožňuje rychlejší reakci na hrozby. Informování uživatelů o incidentech je rovněž součástí povinností​. 
  • Odpovědnost a povinnosti vedení: Vrcholné vedení organizací ponese větší odpovědnost za zajištění kybernetické bezpečnosti. To zahrnuje povinnost zajistit pravidelné školení zaměstnanců a implementaci bezpečnostních politik a postupů. 
  • Zajištění kontinuity a odolnosti: Organizace budou muset pravidelně provádět analýzu dopadů, tvorbu záloh a testování plánů obnovy, aby zajistily kontinuitu svých služeb i v případě kybernetických incidentů. 

Zajímavost: Z nejnovějšího průzkumu vyplývá, že více než 70 % společností se ještě na přísnější požadavky nepřipravilo. V privátním sektoru se připravenými cítí asi 14 % dotázaných, zatímco ve veřejném sektoru nikdo. Hlavní důvody nepřipravenosti zahrnují:  

  • čekání na jasnou legislativu  
  • a nedostatek kvalifikovaných odborníků na kybernetickou bezpečnost. 

IT odborníci většinou vnímají větší podporu od NÚKIB než od vlastního managementu. Firmy často neví, že mohou čerpat evropské dotace na zvýšení zabezpečení

Jaké sankce přináší směrnice NIS2 za nedodržení bezpečnostních opatření? 

Nová směrnice přináší výrazné zvýšení sankcí za nedodržení kybernetických bezpečnostních opatření. Za porušení této směrnice může být udělená pokuta až do výše 10 000 000 eur nebo 2 % z celkového celosvětového ročního obratu společnosti.  

Kromě finančních pokut hrozí také správní tresty, jako je pozastavení platnosti certifikace nebo výkonu řídicí funkce pro jednotlivé fyzické osoby ve vrcholném vedení organizací, které nedodrží stanovené povinnosti. Tato opatření mají za cíl zajistit vyšší úroveň odpovědnosti a motivovat organizace k dodržování požadavků směrnice. 

Implementace směrnice NIS2 a její požadavky na kybernetickou bezpečnost budou kontrolované zmíněným Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB), který bude provádět pravidelné audity a kontroly plnění povinností​. 

Horký tip: Potřebujete pomoct s implementací NIS2? V Algotechu poskytujeme komplexní služby v rámci NIS2 – od auditu až po školení zaměstnanců. Outsourcing služeb spojených s NIS2, včetně splnění technických, procesních a administrativních požadavků nové směrnice a zákona o kybernetické bezpečnosti, je levnější a bezpečnější řešení.

Jak se české firmy mohou připravit na směrnici NIS2? 

Implementace směrnice NIS2 představuje pro české firmy komplexní proces, který zahrnuje technická, organizační i procesní opatření. Zde jsou hlavní kroky, které by firmy měly podniknout: 

1. Analýza stávajícího stavu kybernetické bezpečnosti

Firmy by měly začít detailní analýzou současného stavu svých informačních systémů a kybernetické bezpečnosti. Sem spadá: 

  • posouzení rizik,  
  • identifikace kritických aktiv a zranitelností 
  • a zhodnocení aktuální úrovně bezpečnostních opatření​. 

2. Vytvoření plánu implementace

Na základě analýzy je potřeba vytvořit podrobný plán implementace, který zahrnuje harmonogram, rozpočet a odpovědné osoby. Tento plán musí obsahovat i zavedení technických opatření, jako jsou:  

  • firewally,  
  • antivirové programy a šifrování,  
  • školení zaměstnanců (více v bodu č. 5) 
  • a revizi postupů​ pro bezpečnost IT. 

3. Prověřování a řízení dodavatelského řetězce

Je důležité zajišťovat bezpečnost celého dodavatelského řetězce – pravidelné hodnocení bezpečnostních opatření dodavatelů a jejich kontrolu. Firmy musí začlenit požadavky na kybernetickou bezpečnost do smluv s dodavateli. 

4. Školení zaměstnanců

Pravidelná školení v oblasti kybernetické bezpečnosti jsou důležité pro zajištění, že jsou si všichni zaměstnanci vědomí hrozeb a postupů při jejich řešení. Školení musí být zaměřená na prevenci, odhalování a reakci na kybernetické incidenty​. 

5. Kontinuální zlepšování a testování

Firmy musí pravidelně testovat a aktualizovat své bezpečnostní opatření a plány obnovy po kybernetických útocích. Jedná se o pravidelné zálohování dat, testování obnovy po incidentech a analýzu dopadů na obchodní procesy​. 

Komplexní řešení pro NIS2: audity, školení a bezpečnostní opatření 

Jak už jsme zmínili, nabízíme komplexní služby pro zajištění souladu s NIS2, včetně auditů, poradenství, implementace bezpečnostních opatření, školení zaměstnanců a služby manažera kybernetické bezpečnosti. Díky dlouholetým zkušenostem a odborným znalostem pomáháme organizacím efektivně splnit všechny požadavky NIS2 a optimalizovat jejich kybernetickou bezpečnost

Naše nově vzniklé expertní oddělení pro umělou inteligenci, vedené Vojtěchem Černým, je dalším naším krokem k posílení bezpečnostních opatření. Toto oddělení se specializuje na implementaci AI technologií, které identifikují vzorce a anomálie naznačující kybernetické útoky. AI nástroje tak nejen zrychlují reakci na incidenty, ale i umožňují prediktivní analýzu k předvídání a prevenci potenciálních hrozeb, což významně přispívá nejen k bezpečnosti informačních systémů. 

Tímto způsobem nejenže podporujeme své klienty při splnění nových požadavků NIS2. Pokud byste měli o naše služby zájem, neváhejte se na nás obrátit, pomůžeme vám nejen s implementací opatření v souvislosti se směrnicí NIS2. 

Rozviňte naplno potenciál vašeho IT ještě dnes
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.
MOHLO BY VÁS ZAJÍMAT

Podobné články

Najdeme řešení i pro vás
KONTAKT

Kontaktujte nás

Máte zájem o vyzkoušení našich služeb nebo konzultaci? Zanechte nám na sebe kontakt, ozveme se vám do 3 hodin.
- Ozveme se vám do 3 hodin
- Non-stop podpora v češtině i angličtině
- Předběžnou nabídku máte do týdne
- Garance dostupnosti dat 99,99 %
Zavolejte nám
Nechcete čekat na odpověď?
Zavolejte nám na číslo
+420 225 006 555
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.