NIS2: Nový zákon o kybernetické bezpečnosti. Na co se připravit?

Nový zákon o kybernetické bezpečnosti (ZoKB) představuje aplikaci směrnice Evropského parlamentu a Rady EU s číslem 2022/2555, kterou ale známe spíše pod označením NIS2 (z anglického Network and Information Security). Směrnice NIS2 vstoupila v platnost 16. ledna 2023 a členské státy EU mají na její přenos do své legislativy 21 měsíců. To znamená nejpozději do 17. října příštího roku. Jak se dotýká vaší firmy? 

NIS2 navazuje na předchozí směrnici NIS1 z roku 2016 a reaguje na rychlý vývoj v oblasti kybernetické bezpečnosti. Ukazuje se totiž, že rizika spojená s digitalizací jsou tak rozsáhlá, že mohou zásadním způsobem narušit chod státu a ovlivnit životy, bezpečnost i zdraví lidí. I proto se s NIS2 významně rozšiřuje okruh firem a organizací, jejichž kybernetické zabezpečení bude muset splňovat zákonem stanovené parametry. 

Tím zákonem bude právě nový ZoKB a související vyhlášky vznikající pod taktovkou Národního úřadu pro kybernetickou bezpečnost (NÚKIB). Schválenou podobu nového ZoKB bychom měli znát v létě 2024, ale základní obrysy nových povinností v kyberbezpečnosti jsou už jasné. Český zákon totiž musí vycházet z již schválené směrnice NIS2 a může být pouze přísnější, nikoli požadavky směrnice zmírňovat. 

Nové povinnosti pro tisíce firem a organizací 

První podstatnou změnou oproti aktuálně platné legislativě je zásadní rozšíření okruhu firem a organizací, které budou muset splňovat zvýšené nároky na kybernetickou bezpečnost svého provozu. Okruh těchto subjektů vyjmenovává Vyhláška o regulovaných službách, která stanovuje, že tzv. povinnými osobami jsou především: 

• poskytovatelé služeb elektronických komunikací a souvisejících sítí, 
• významné sítě, 
• kritická informační infrastruktura, 
• významné informační systémy, 
• provozovatelé základních služeb,
• poskytovatelé digitálních služeb, 
• orgány veřejné moci využívající služeb poskytovatelů cloud computingu. 

Velmi zjednodušeně jde o provozovatele informačních a komunikačních systémů, stejně jako organizace z oboru bankovnictví a finančních služeb, energetiky, zdravotnictví, vodohospodářství, dopravy nebo chemického průmyslu. V rámci každého oboru je stanoven proces určení, zdali je subjekt povinnou osobou popsanou na webu NÚKIB. 

Organizace poskytující regulované služby (viz výše) jsou v návrhu zákona podle své velikosti rozděleny do dvou úrovní (v originále important a essential) a platí pro ně režim nižších a vyšších povinností. Organizace v nižším režimu (important) si mohou vystačit s určením jedné osoby odpovědné za řízení a rozvoj kybernetické bezpečnosti a vytvořením dokumentace k souvisejícím opatřením (rozsah řízení kybernetické bezpečnosti, školení uživatelů, pravidla pro řízení přístupových oprávnění, tvorbu hesel atd.). 

Pro větší podniky v režimu vyšších povinností (essential) ale představuje splnění nových povinností vytvoření výboru pro řízení kybernetické bezpečnosti a sestavení nového týmu. Výbor musí mít nejméně tři členy: dva zástupce vrcholného vedení společnosti a manažera kybernetické bezpečnosti. Výbor pak určuje obsazení čtyř bezpečnostních rolí: manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanta aktiva a auditora kybernetické bezpečnosti.   

Ačkoli se klasifikace povinných osob liší podle odvětví, zjednodušeně lze říci, že se nový zákon vztahuje na společnosti označené jako „základní subjekty“ a „důležité subjekty“, kdy základními subjekty jsou organizace s 250 a více zaměstnanci a obratem 50 milionů eur nebo rozvahou 43 milionů eur. Mezi důležité subjekty patří společnosti s více než 50 zaměstnanci a ročním obratem nebo rozvahou 10 milionů eur. Současně je ale možné, že bude i menší firma či organizace spadat do kategorie vyšších povinností z důvodu povahy své činnosti. 

Velikost se navíc posuzuje v rámci celé skupiny, tedy po zahrnutí mateřské i dceřiných společností. Bezpečnostní opatření se navíc nevztahují jen přímo na poskytované služby, ale i na související informační systémy nebo databáze, což znamená nové povinnosti i pro subdodavatele, respektive jejich výběr. 

V praxi to znamená nutnost prověřovat a zajišťovat bezpečnost v rámci celého dodavatelského řetězce – u každého přímého dodavatele a poskytovatele služeb. Používá firma, na kterou se regulace vztahuje, cloudové CRM od externího dodavatele? Pak musí prověřit i jeho zabezpečení. Nechává si vyvíjet vlastní aplikace a systémy na míru? Pak jedině dodavatelem, který také splňuje požadavky na kyberbezpečnost.  

Z vyhlášky o regulovaných službách vyplývá, že zatímco dnes platí povinnost zavést opatření v oblasti kyberbezpečnosti pro několik stovek podniků, od příštího podzimu se bude regulace týkat několika tisíc firem a organizací. 

Osobní odpovědnost managementu 

Regulace NIS2 zavádí hned několik nových kyberbezpečnostních opatření povinných osob, které se navíc budou muset samy přihlásit do registru vedeného NÚKIB. Mezi tyto základní povinnosti patří: 

Nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů.

Zavedení zákonem stanoveného minimálního standardu kyberbezpečnostních opatření včetně bezpečnosti dodavatelského řetězce, řízení zranitelností a hodnocení řízení rizik kybernetické bezpečnosti.  

Vytvoření týmu, který bude schvalovat opatření v oblasti kyberbezpečnosti a dohlížet na jejich dodržování.

Klasifikace používaných aplikací a systémů včetně vytvoření plánu jejich obnovy a provádění penetračních testů. 

Používání silných hesel, dvoufaktorového ověřování nebo certifikátů pro přihlašování uživatelů do kriticky důležitých systémů. 

Bezodkladné aplikování bezpečnostních aktualizací vydaných výrobci softwaru. 

Lokalizace dat – tedy primární ukládání dat na území České republiky s možností ukládat data v šifrované podobě v rámci dalších zemí EU, NATO nebo Organizace pro ekonomickou spolupráci. ZoKB přitom definuje kategorie dat, na které se lokalizace vztahuje. 

Hlášení kyberbezpečnostních incidentů NÚKIB a provádění pravidelných aktualizací a revizí procesů na zajištění kybernetické bezpečnosti včetně vytváření souvisejících zpráv. 

Zásadní novinkou je zavedení osobní odpovědnosti managementu společnosti za dodržování nařízení ZoKB, což je opatření jasně směřující ke zvýšení povědomí o rizicích a kyberbezpečnosti na úrovni nejvyššího vedení podniků a organizací.  

Dodržování opatření stanovených novým zákonem o kybernetické bezpečnosti může kdykoli zkontrolovat NÚKIB a v případě pochybení jsou stanoveny i sankce. Finanční postih může dosáhnout výše až 10 milionů eur nebo až 2 % z celosvětového čistého obratu společnosti. Osobní odpovědnost manažerů znamená, že jim může být pozastaven podíl na řízení společnosti.  

Nejvyšší čas začít 

Povinnosti firem a organizací spadajících do režimu vyšších povinností podle nového ZoKB budou výrazně náročnější než v případě splnění požadavků regulace GDPR. Zavedení všech požadovaných opatření bude ve velkých podnicích trvat několik měsíců nebo i let. Proto je už nyní nejvyšší čas nastudovat si návrh zákona o kybernetické bezpečnosti a souvisejících vyhlášek a vytvořit si akční plán splnění nových požadavků. 

Firmy a organizace spadající pod vyhlášku o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností požadavky nového zákona obvykle splní vydáním a kontrolou dodržování bezpečnostních směrnic a proškolením odpovědných osob. I tato příprava ale zabere čas. 

NÚKIB průběžně aktualizuje informace o převedení směrnice NIS2 do české legislativy na svých speciálních webových stránkách.  

Barbora Nováková
Marketingový specialista pro B2B