Evropský parlament a Rada se schválily novou směrnici, která má zvýšit kybernetickou bezpečnost v EU. Tak zvaná směrnice NIS2 zavede nové povinnosti a dotkne se i firem, na něž se současná pravidla ještě nevztahují.
Motivace pro zpřísnění dosavadních požadavků je zřejmá – enormní nárůst kyberútoků na veřejné instituce i soukromé společnosti ohrožuje fungování životně důležitých služeb, přináší významné finanční ztráty a může ohrozit i bezpečnost státu.
Problematika kybernetické bezpečnosti se dotýká každého podnikatele i organizace. Průzkumy ukázaly, že mnohé firmy, které čelily masivní ztrátě dat, se z události už nevzpamatovaly a podnikání ukončily.
Směrnice Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii byla zveřejněna v Úředním věstníku Evropské unie 27. prosince 2022, platná je od 16. ledna 2023.
Členské státy nyní mají 21 měsíců na to, aby opatření uvedly do praxe. Do našeho právního řádu tedy musí být obsah směrnice zanesen do října 2024. Lhůta, od které potom pro firmy nastanou povinnosti podle nové směrnice, bude teprve stanovena při přijímání změn zákona o kybernetické bezpečnosti.
Cílem směrnice je přimět významné organizace, aby zaváděly preventivní opatření k posílení své kybernetické bezpečnosti. Zahrnuje prevenci ohrožení způsobených nezákonnou činností i škody způsobené lidským faktorem z nedbalosti, nebo dokonce přírodními katastrofami.
Koho se nová směrnice dotkne
NIS2 zvyšuje počet společností a odvětví, na něž se budou povinnosti vztahovat. Podle všeho to nově bude více než 6000 subjektů jen v tuzemsku. Jak poznáte, že tam spadáte právě vy?
- Obor. Prvním kritériem je, že podnik nabízí alespoň jednu službu vymezenou v přílohách směrnice. V nich je stanoveno 60 služeb rozdělených do 18 odvětví. Zahrnují například výrobu elektřiny, výrobu a rozvod dálkového tepla, zdravotní péči, poskytování služeb elektronické komunikace či cloudových služeb, veřejnou správu, bankovnictví, odpadové hospodářství včetně zpracování odpadních vod, výrobu léčiv a očkovacích látek, výrobu pitné vody, ale také dopravu, poštovní a kurýrní služby a další.
- Velikost. Vedle oboru je druhým kritériem velikost. Povinnosti připadnou institucím velkým a středním. V některých případech, jako třeba poskytování služeb elektronické komunikace, však velikost nehraje roli a směrnice se na tyto podniky bude vztahovat vždy.
Dalším možným vodítkem je čerstvě přijatá evropská směrnice CER (o odolnosti kritických subjektů). Pokud se podle ní budete muset řídit, bude se na vás automaticky vztahovat i NIS2.
Není ale třeba panikařit, ne všechny společnosti totiž budou mít stejný rozsah povinností. Budou ještě rozděleny na režimy essential (tzv. základní subjekty) a important (tzv. důležité subjekty). V přísnějším režimu essential se ocitnou společnosti poskytující služby v příloze I směrnice, a současně jsou to velké společnosti. Všichni ostatní budou v mírnějším režimu important.
Z tabulky existují výjimky, a to některé obory, jako např. veřejná správa, kde pro zařazení do režimu essential není podstatná velikost organizace. Státy mohou určit i další výjimky.
Nejste si jisti, jestli na vaši organizaci povinnosti dopadnou? NÚKIB plánuje povinné subjekty jednotlivě oslovovat. Pokud ale nechcete čekat a raději byste se připravili s předstihem, můžete tuto otázku zkonzultovat s našimi odborníky. Nejen, že vám umíme říci, jestli se na vás směrnice bude vztahovat, ale především pomůžeme s uvedením opatření do praxe.
Jaká témata směrnice řeší
Mezi okruhy, kterými se směrnice zabývá, a tedy v nich stanovuje organizacím povinnosti, patří například:
- zvládání incidentů
- kontinuita činností (business kontinuita), zálohování, zotavení (disaster recovery) a krizové řízení
- bezpečnost v rámci dodavatelského řetězce
- bezpečnost v rámci pořízení, vývoje a údržby systémů
- hodnocení účinnosti bezpečnostních opatření (audity)
- základní počítačová hygiena a vzdělávání v oblasti kyberbezpečnosti
- využívání kryptografie a šifrování
- využívání vícefaktorového ověření a bezpečných komunikačních nástrojů a další oblasti
Jaké povinnosti a sankce směrnice ukládá
Především je to komplexní posílení či v některých případech zavedení politik kybernetické bezpečnosti a řízení rizik. To znamená, že se podniky budou muset svou kybernetickou bezpečností aktivně zabývat. Budou muset například vyhodnocovat rizika, hlídat zranitelná místa pro dodavatele v rámci dodavatelského řetězce, využívat šifrování, bezpečné zálohování dat či vícefaktorové ověřování. Samozřejmostí je školení vedoucích pracovníků i zaměstnanců v kyberbezpečnosti.
Rozšiřuje se také oznamovací povinnost vůči státnímu orgánu (u nás NÚKIB) o kybernetických hrozbách a incidentech.
Tomu, kdo své povinnosti podle směrnice poruší, budou hrozit pokuty:
- 10 milionů eur nebo 2 % z celkového celosvětového ročního obratu provinilé společnosti, pokud je v režimu essential,
- 7 milionů eur nebo 1,4 % z celkového celosvětového obratu pro společnosti v režimu important.
Směrnice a Česká republika
ČR má ve vztahu ke směrnici jistou výhodu v tom, že celou řadu pravidel, která směrnice nově ukládá, obsahuje náš zákon o kybernetické bezpečnosti, mnoho aktivit také již realizuje NÚKIB. Implementace směrnice by tedy neměla dělat větší potíže jak na legislativní úrovni, tak i na úrovni jednotlivých společností, zejména těch, které už teď pod zákon o kybernetické bezpečnosti spadají.