Blog

Směrnice NIS2, Network and Information Security 2, známá také jako směrnice o kybernetické bezpečnosti, navazuje na předchozí směrnici NIS a prohlubuje legislativní rámec kybernetické bezpečnosti napříč jednotlivými členskými státy Evropské unie. 

Cílem NIS2 je výrazně posílit ochranu společností a infrastruktury jednotlivých států EU před kybernetickými hrozbami a dosáhnout v rámci celé unie vysoké úrovně společného zabezpečení. 

Před zahájením jakékoliv činnosti, která povede organizaci k zavedení opatření dle NIS2 je vždy nutné provést komplexní audit informační a kybernetické bezpečnosti s cílem zjištění stavu, ve kterém se organizace nachází. 

Podrobný audit stávajících organizačních a technických opatření v oblasti kybernetické bezpečnosti identifikuje slabá místa, na která je nutné aplikovat organizační i technická opatření, která je vhodná zavádět jako celek. Díky tomu nebude docházet k výraznému omezení nebo zdržení během nasazení, správy a provozu. 

Směrnice NIS2 byla uvedena v platnost 16. ledna 2023. Členské státy mají povinnost začlenit směrnici do národní legislativy nejpozději 18. 10. 2024.

Transpoziční lhůta pro „nový“ zákon o kybernetické bezpečnosti je stanovena na dobu 21 měsíců.  

Změny a nové povinnosti, které zákon přináší, začnou v českém prostředí platit až s účinností nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek. Přijetí zákona se předpokládá ve druhé polovině roku 2024. 

Nový zákon o kybernetické bezpečnosti počítá s roční přechodnou lhůtou, to znamená do poloviny roku 2025, aby měly firmy a organizace čas se na nové požadavky připravit.  

Povinné subjekty rozděluje „nový“ zákon o kybernetické bezpečnosti primárně do dvou kategorií, a to s ohledem na velikost podniku a předmět činnosti. 

V základu se tak subjekty či entity dělí na: 

• Poskytovatele regulovaných služeb v režimu nižších povinností, 

• Poskytovatele regulovaných služeb v režimu vyšších povinností, 

a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví. 

Velikost podniku pro účely NIS 2 bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení velikosti podniku: 

• mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo bilanční rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 EUR, 

• malý podnik – má méně než 50 zaměstnanců a roční obrat nebo bilanční rozvahu do 10.000.000 EUR, 

• střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 milionů EUR nebo bilanční rozvahu do 43.000.000 EUR. 

Pozornost je v této souvislosti zapotřebí věnovat i kategoriím tzv. propojených a partnerských podniků. 

Primární úlohou směrnice je, aby subjekty přijaly vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik, kterým čelí sítě a informační systémy, které tyto subjekty používají pro poskytování svých služeb. 

Výše uvedená opatření mají zahrnovat alespoň: 

• analýzu rizik a politiku bezpečnosti informačních systémů; 

• zvládání incidentů; 

• kontinuita činností (tj. business kontinuita), včetně zálohování, zotavení (disaster recovery) a krizové řízení; 

• zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb; 

• zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení; 

• politiky a postupy za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti; 

• základní postupy počítačové hygieny a školení v oblasti kybernetické bezpečnosti; 

• zásady a postupy týkající se používání kryptografie a případně šifrování; 

• bezpečnost lidských zdrojů, zásady kontroly přístupu a správa aktiv; 

• případně použití vícefaktorového ověřování nebo řešení průběžného ověřování, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu. 

Směrnice NIS2, resp. nový zákon o kybernetické bezpečnosti se předběžně dotkne více než 6 000 soukromých i státních společností a organizací.  

Zákon bude mít dopad na 60 služeb v 18 odvětvích. Dotknou se například energetiky, dopravy, vodohospodářství, bankovnictví a finančních služeb, poštovních a kurýrních služeb nebo potravinářství. Návrh zákona v této souvislosti mluví o tzv. regulovaných službách.  

• Veřejná správa
• Energetika
• Výrobní průmysl
• Potravinářský průmysl
• Chemický průmysl
• Vodní hospodářství
• Odpadové hospodářství
• Letecká doprava
• Drážní doprava
• Vodní doprava
• Silniční doprava 
• Digitální infrastruktura a služby 
• Finanční trh 
• Zdravotnictví 
• Věda, výzkum a vzdělávání 
• Poštovní a kurýrní služby 

Režim povinností je určen na základě procesu tzv. samoidentifikace, při kterém organizace má povinnost posoudit, zda režim povinností naplňuje či nikoliv. 

Dále bude Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB) cíleně informovat subjekty spadající pod NIS2. 

Organizacím, které nebudou dodržovat povinnosti plynoucí ze směrnice NIS2, mohou být uloženy velmi vysoké pokuty. 

• V režimu nižších povinností hrozí organizaci pokuta až do výše 175 000 000 Kč nebo do výše 1,4 % celosvětového obratu. 

• V režimu vyšších povinností hrozí organizaci pokuta až do výše 250 000 000 Kč nebo do výše 2 % celosvětového obratu. 

Hlášení kybernetických bezpečnostních událostí a incidentů se vztahuje na subjekty, na které dopadají povinnosti NIS2. 

Bez zbytečného prodlení a v každém případě do 72 hodin poté, co se o incidentu dozvěděl, musí dotčený subjekt podat oznámení o incidentu, které případně aktualizuje. 

Dotčený subjekt může být ze strany NÚKIB nebo případně příslušného orgánu požádán o vyhotovení průběžné zprávy o příslušných aktualizacích stavu. 

Hlásit kybernetické bezpečnostní události a incidenty se vztahuje na subjekty, na které dopadají povinnosti NIS2, a to v souvislosti s povinností Detekce kybernetických bezpečnostních událostí. 

Povinná osoba, tedy subjekt musí používat nástroj pro detekci kybernetických bezpečnostních událostí. Jedná se o tzv. Security Information and Event Management (SIEM). 

SIEM představuje systém, který shromažďuje, ukládá a analyzuje bezpečnostní informace a události z různých zdrojů, aby poskytoval sjednocené rozhraní pro jejich správu a analýzu. 

SIEM je odpovědí na rostoucí potřebu lepší integrace a analýzy bezpečnostních dat v reakci na stále složitější a sofistikovanější kybernetické hrozby. SIEM se postupně stal jedním z klíčových prvků systému řízení kybernetické bezpečnosti. 

Mezi hlavní funkce SIEM patří následující: 

• Sběr a agregace dat: SIEM shromažďuje a konsoliduje auditní záznamy (logy) a další bezpečnostní informace z různých zdrojů v síti organizace. 

• Detekce hrozeb: SIEM analyzuje shromážděná data pro identifikaci podezřelých aktivit a potenciálních bezpečnostních hrozeb. 

• Alarmy a upozornění: V případě detekce potenciální hrozby systém generuje upozornění, aby informoval bezpečnostní tým o možných kybernetických bezpečnostních událostech a incidentech. 

• Sledování a analýza událostí: Systém poskytuje nástroje pro sledování a analýzu kybernetických bezpečnostních událostí, což provozním či bezpečnostním pracovníkům umožňuje včas reagovat. 

• Dodržování předpisů a compliance: SIEM pomáhá organizacím dodržovat bezpečnostní standardy a předpisy tím, že poskytuje potřebná data a reporty.