Zpět na blog

NIS2 a „nový“ zákon o kybernetické bezpečnosti

NIS2 (Network and Information Security 2) je směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v unii. Cílem směrnice je rozšířit platnost stávající legislativy na další subjekty, a to novelizací stávajícího zákona o kybernetické bezpečnosti.

Na jaké organizace NIS2 dopadne?  

Koncem roku 2024 začne platit „nový“ zákon o kybernetické bezpečnosti, a to spolu s řadou prováděcích vyhlášek. Českou republiku tak čeká novela vyhlášky a zákona o kybernetické bezpečnosti. 

„Přijetí nového zákona o kybernetické bezpečnosti se očekává nejpozději do 18. října 2024.“ 

Nově směrnice NIS2 dolehne na stovky organizací, které poskytují regulované služby (odvětví v seznamu níže). Další kritéria (například velikost podniku) jsou u každé regulované služby uvedeny ve vyhlášce. Podle nich bude organizace muset plnit tzv. vyšší či nižší povinnosti. 

  • Veřejná správa 
  • Energetika 
  • Výrobní průmysl 
  • Potravinářský průmysl 
  • Chemický průmysl 
  • Vodní hospodářství 
  • Odpadové hospodářství 
  • Letecká doprava 
  • Drážní doprava 
  • Vodní doprava 
  • Silniční doprava 
  • Digitální infrastruktura a služby 
  • Finanční trh 
  • Zdravotnictví 
  • Věda, výzkum a vzdělávání 
  • Poštovní a kurýrní služby 
  • Vojenský průmysl 
  • Vesmírný průmysl 

Jaké NIS2 přináší povinnosti? 

Organizace, na které dopadá NIS2, musí přijmout organizační a technická opatření. A to podle režimu povinností, ve kterém se bude organizace nacházet (povinnosti v seznamu níže). Režim povinností je určen na základě procesu tzv. samoidentifikace, při kterém má organizace povinnost posoudit, zda režim povinností naplňuje nebo ne. 

Režim nižších povinností 

  • ​​Zajišťování kybernetické bezpečnosti 

  • Povinnosti vrcholného vedení 

  • Řízení aktiv 

  • Řízení rizik 

  • Bezpečnost lidských zdrojů 

  • Řízení kontinuity činností 

  • Řízení přístupu 

  • Řízení identit a jejich oprávnění 

  • Detekce a zaznamenávání kybernetických bezpečnostních událostí 

  • Řešení kybernetických bezpečnostních incidentů 

  • Bezpečnost komunikačních sítí 

  • Aplikační bezpečnost  

  • Kryptografické algoritmy

Režim vyšších povinností 

  • Systém 
  • Povinnosti vrcholového vedení
  • Bezpečnostní role
  • Řízení bezpečnostní politiky a bezpečnostní dokumentace
  • Řízení aktiv 
  • Řízení rizik 
  • Řízení dodavatelů 
  • Bezpečnost lidských zdrojů 
  • Řízení změn 
  • Akvizice, vývoj a údržba 
  • Řízení přístupu 
  • Zvládání kybernetických bezpečnostních událostí a incidentů 
  • Řízení kontinuity činností  
  • Audit kybernetické bezpečnosti 
  • Fyzická bezpečnost 
  • Bezpečnost komunikačních sítí 
  • Správa a ověřování identit 
  • Řízení přístupových práv a oprávnění 
  • Detekce kybernetických bezpečnostních událostí 
  • Zaznamenávání událostí 
  • Vyhodnocování kybernetických bezpečnostních událostí 
  • Aplikační bezpečnost 
  • Kryptografické algoritmy 
  • Zajišťování dostupnosti regulované služby  
  • Zabezpečení průmyslových, řídících a obdobných specifických technických aktiv 

Jaké jsou pokuty za neplnění NIS2? 

Organizacím, které nebudou dodržovat povinnosti plynoucí ze směrnice NIS2, mohou být uloženy znatelné pokuty. 

  • V režimu nižších povinností hrozí organizaci pokuta až do výše 175 000 000 Kč nebo do výše 1,4 % celosvětového obratu. 

  • V režimu vyšších povinností hrozí organizaci pokuta až do výše 250 000 000 Kč nebo do výše 2 % celosvětového obratu. 

Pro všechny organizace je v případě vyměření pokuty použito vždy vyšší číslo u obou výše uvedených pokut.