NIS2. Co přináší na český trh?

Michaela Látalová

Michaela Látalová
09. 12. 2022

NIS2. Co přináší na český trh?

SDÍLET

V roce 2024 se do české legislativy propíše nová směrnice Evropské unie, označovaná jako NIS2. Na tisíce českých firem a dalších organizací vznese nové povinnosti v oblasti kybernetické bezpečnosti. A to jak z pohledu kybernetického zabezpečení systémů a dat, tak i hlášení případných bezpečnostních incidentů.

Směrnice NIS2 navazuje na předchozí regulaci z roku 2016, která stanovuje pravidla kybernetické bezpečnosti v organizacích důležitých pro chod státu – tedy například v klíčových podnicích z oblasti energetiky, telekomunikací, bankovnictví či zdravotnictví. Zatím se jednalo o poměrně úzkou skupinu několika stovek organizací se zásadním dopadem na celou společnost.

Koho se týká?

Podle nové směrnice bude od roku 2024 podléhat regulaci v oblasti kyberbezpečnosti výrazně více subjektů, které zatím žádné povinnosti z hlediska kybernetické bezpečnosti nařízené neměly. Konkrétně zatímco dnes se jedná o nižší stovky firem a organizací, dle NIS2 půjde o více než 6 000 tzv. povinných subjektů.

Zásadní rozšíření okruhu povinných subjektů vychází z faktu, že dnes prakticky nenajdeme odvětví, kde by informační technologie nehrály významnou roli, a kde by tedy úspěšný kybernetický útok nezpůsobil dalekosáhlé škody. Proto budou muset kyberbezpečnostní opatření zavést například i menší nemocnice či elektrárny, poskytovatelé ICT služeb, dopravci, výrobci chemických látek a mnoho organizací veřejné správy.

Podle NIS2 se tedy neřeší jen kompletní systémy, ale definují se i jednotlivé služby s klíčovým dopadem na celou společnost. A nově se povinné subjekty budou určovat i podle jejich velikosti a odvětví působnosti.

Příloha směrnice NIS2 vyjmenovává více než 60 služeb, roztříděných do 18 odvětví. Nicméně, zdaleka ne všichni poskytovatelé těchto služeb budou i povinnými subjekty. Pro stanovení, zdali soukromá nebo veřejná organizace pod novou regulaci spadá, je nutné zvážit dvě hlavní podmínky:

  • Organizace poskytuje alespoň jednu ze služeb uvedených v příloze směrnice.
  • Jedná se o podnik s nejméně 50 zaměstnanci, nebo s ročním obratem alespoň 10 milionů eur.

Ale pozor – v některých případech budou pod regulaci NIS2 spadat i organizace bez ohledu na jejich velikost. Jde například o poskytovatele služeb elektronických komunikací, poskytovatele služeb vytvářejících důvěru a poskytovatelé služeb DNS.

Další výjimky, kdy se bude regulace vztahovat i na subjekty, které nesplňují kritérium velikosti, určí národní legislativa. Může jít například o poskytovatele jedinečných služeb se zásadním dopadem na společnost z hlediska bezpečnosti nebo zdraví.

Kdo to všechno hlídá?

Na dodržování podmínek kyberbezpečnosti dohlíží Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který může kontrolovat stav bezpečnostních opatření a procesů a kterému je nutné hlásit bezpečnostní incidenty.

Na přesné formě vyžadovaných opatření NÚKIB stále pracuje, ale už nyní je jisté, že pro mnoho povinných subjektů budou zákonné požadavky na kybernetickou bezpečnost novinkou. Národní legislativa také stanoví konkrétní předpisy pro bezpečnostní opatření, stanovená směrnicí NIS2. Ta zahrnují především následující okruhy:

  • Analýza rizik a pravidel bezpečnosti informací
  • Zvládání incidentů, zajištění kontinuity činnosti a krizové řízení
  • Kyberbezpečnost v rámci dodavatelského řetězce, stejně jako při pořizování, vývoji a údržbě systémů
  • Pravidla auditování bezpečnostních opatření
  • Vzdělávání zaměstnanců v kybernetické bezpečnosti
  • Bezpečnost z hlediska lidských zdrojů – řízení přístupu a protokolování aktivit
  • Kryptografie, vícefaktorové ověřování, zabezpečení komunikace a nouzová komunikace

Nově i hlášení bezpečnostních incidentů

Mimo to musí povinné subjekty hlásit významné bezpečnostní incidenty určenému týmu CERT (CSIRT). Půjde o incidenty, které způsobily nebo mohly způsobit vážné provozní narušení služby nebo finanční ztráty organizace, stejně jako incidenty s vlivem na jiné fyzické nebo právnické osoby a incidenty způsobující značné materiální i nemateriální ztráty,

Protože NIS2 přináší řadu zásadních změn a týká se velkého množství subjektů, připravil NÚKIB speciální webovou stránku. Zde najdete ucelené informace o změnách v zákonných požadavcích a způsobu, jakým je směrnice NIS2 promítnuta do národní legislativy.

Zajímá vás, jak je na tom s kyberbezpečnostní vaše firma? Zjistěte to hned teď a ZDARMA prostřednictvím naší webové aplikace, která vychází z bezpečnostních doporučení NÚKIB.
Michaela Látalová Michaela Látalová
Marketingový specialista pro B2B
Míša se v O2 stará o to, aby české firmy měly vždycky dost informací o trendech v cyberscurity a ICT. Plní blog články, natáčí podcasty a firmy zásobí e-mailingy se žhavými novinkami.

Byl pro vás článek užitečný?

SDÍLET

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Analýza rizik

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?

S NIS2 se už bez analýzy rizik neobejdete. Jak identifikovat hrozby pro vaše podnikání?
Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?

Deepfake útoky silně na vzestupu. Co to je a jak je poznat?
SOC 2 cloud

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost

Jak vybrat cloud pro vaši firmu? Myslete hlavně na bezpečnost
O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb

O2 Security report za rok 2023: odvrátili jsme více než 1,5 miliardy hrozeb
Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?

Operační systémy a bezpečnost: Je macOS opravdu nedotknutelný?
Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost

Blíží se doba bezheslová? Jak technologie passkeys mění bezpečnost
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding

Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?

5 největších kybernetických hrozeb roku 2023. A jak je řešit v tom dalším?