Nová pravidla pro lepší kybernetickou bezpečnost podle NIS2 se blíží. Co vše budou muset firmy hlásit úřadům?

Evropská směrnice NIS2 ukládá firmám celou řadu povinností k lepší ochraně kybernetické bezpečnosti. Patří k nim mimo jiné různá hlášení. Co vše tedy budete muset evidovat a oznamovat, v jakém rozsahu a komu?

Od října by měla v Česku platit nová pravidla pro firmy podle NIS2. Už teď je jasné, že zákon o kybernetické bezpečnosti, který povinnosti do našeho práva zavádí, se v této lhůtě přijmout nepodaří. Malé pokroky ale přece jsou.

Návrh zákona je po komplikovaném připomínkovém řízení konečně v Poslanecké sněmovně. Schválen by tak mohl být na začátku příštího roku a potom budou mít firmy celý rok na to, aby nové povinnosti splnily.

Mezi důležité povinnosti patří oznamování a hlášení různých skutečností.

Co musíte oznámit

Jak už z našeho blogu víte, základem je nahlásit sami sebe jako povinný subjekt. To znamená, že musíte sami zjistit, jestli se na vás zákon bude vztahovat, a pokud ano, musíte se sami registrovat na NÚKIB.

Přečtěte si, jak na to.

Dále je třeba na úřad zaslat:

Kontaktní údaje na konkrétní osoby jednající za firmu v oblasti upravené zákonem. Čili takového styčného důstojníka pro kyberbezpečnost. A to do 30 dnů od potvrzení registrace.

Informace o vlastnících firmy, do 30 dnů od potvrzení registrace.

Technické údaje týkající se regulované služby (to je vaše činnost, kvůli které pod zákon o kyberbezpečnosti spadáte).

Území, na kterém působíte, případně jestli poskytujete služby i přes hranice – to vše také do 30 dnů od potvrzení registrace.

Dále je třeba informovat o změnách těchto údajů, tentokrát na to máte lhůtu 14 dnů od provedení změny. Výjimkou jsou změny kontaktních osob, které se propisují do veřejných rejstříků.

Nutné je také hlásit změny ve vaší činnosti, které mohou vést ke změně režimu. Například, pokud vyrostete, ze střední firmy se stanete velkou a dostanete se do přísnějšího režimu essential. Nebo si přiberete podnikání v oboru, kde je firma v režimu essential bez ohledu na velikost. Tuto změnu musíte nahlásit do 60 dnů.

A pokud vám NÚKIB uloží provést nějaké opatření k vyřešení hrozícího nebo už aktuálně probíhajícího incidentu, ke zlepšení ochrany preventivně nebo v důsledku vyřešeného incidentu (tzv. reaktivní protiopatření), jste povinni úřad informovat, že jste jeho pokyn splnili a opatření provedli.

Hlášení kybernetických bezpečnostních incidentů

Zvláštní pozornost si pochopitelně zaslouží hlášení kybernetických incidentů.

Co se hlásí:

Kybernetické incidenty v určeném rozsahu, které jsou úmyslné. To znamená, že pokud se do 24 hodin potvrdí, že incident vznikl například z nedbalosti nebo nezáměrné chyby, hlásit ho nemusíte. Mělo by tedy jít o nějakou formu úmyslného útoku.

Společnosti v přísnějším režimu hlásí veškeré tyto úmyslné incidenty.

Společnosti v mírnějším režimu pouze úmyslné incidenty, které mají významný dopad na jejich poskytovanou službu či činnost.

Dobrovolně ale můžete hlásit veškeré incidenty, ale i hrozby a zranitelnosti.

Výjimkou jsou firmy působící v oblasti digitální infrastruktury (např. provozovatelé DNS serverů, cloudových služeb, datových center, on-line tržišť nebo vyhledávačů a další). Ti musí hlásit všechny incidenty s významným dopadem na poskytovanou službu, bez ohledu na úmysl při zavinění.

Komu a kde ohlašujete:

Společnosti v přísnějším režimu je hlásí přímo na NÚKIB.

Společnosti v mírnějším režimu národnímu týmu koordinace a zvládání kybernetických bezpečnostních incidentů, událostí a hrozeb (Národní CERT).

Pro ohlašování bude k dispozici jednotné místo, a to Portál NÚKIB.

Jak postupovat:

Pokud vyhodnotíte, že se jedná o incident, který jste povinni hlásit, pak do 24 hodin od jeho vzniku musíte předložit prvotní hlášení. To bude obsahovat vaše identifikační údaje, základní údaje o kybernetickém bezpečnostním incidentu, jestli byl podle vás způsobený nezákonným zásahem a jestli by mohl mít dopad do zahraničí.

Pokud se jedná o incident s významným dopadem, po 72 hodinách musíte doplnit: aktualizaci informací z prvotního hlášení, prvotní posouzení incidentu, jeho dopad a indikátory kompromitace.

Pokud vás příslušný úřad vyzve, musíte podávat i průběžné zprávy o zvládání incidentu.

A konečně, do 30 dnů od vzniku (nebo , pokud by incident trval déle, tak od jeho vyřešení) předkládáte ještě závěrečnou zprávu. může Microsoft vaši žádost schvalovat déle, a to až 1 měsíc.

Tápete v množství povinností, které s na vás chystají? Netušíte, do jaké míry už teď naplňujete požadavky zákona a kde máte rezervy? Neodkládejte odpovědi na poslední chvíli. Obraťte se na nás, rádi vám zákoutí kyberbezpečnostního zákona a směrnice NIS2 osvětlíme. Provedeme audit vaší bezpečnosti, navrhneme – a pokud budete chtít, tak i zrealizujeme – potřebná opatření. Stačí nás kontaktovat.

Mohlo by vás zajímat

Microsoft 365 Education: Nabídněte svým žákům i učitelům nástroje a podporu k efektivnějšímu vzdělávání

Cyber Security

Cybersecurity minimum: Co jsou to penetrační testy a proč by je vaše firma měla chtít

Na obchodní cestu i na dovolenou: Jak zajistit kybernetickou bezpečnost během cestování

Celosvětový výpadek IT způsobila chyba jediné aktualizace. Je možné předejít opakování?

Smysluplný kancelářský software se vyplatí i neziskovým organizacím. Microsoft nabízí možnosti přímo pro ně

Microsoft Places. Nová aplikace, s kterou bude vždycky jasné, kdo má být v zasedačce. A umí toho mnohem víc

Novinky přicházejí také do Maců. Apple na WWDC 2024 odhalil, co chystá pro macOS 15 Sequoia

Počítače navržené pro umělou inteligenci jsou tady. Microsoft rozjíždí koncept Copilot+ PC

Bezpečnost nebo jednoduchý provoz? Nemusíte dělat kompromisy. Využívejte jednotné přihlašování, alias single sign-on

Nečekejte s aktualizací: Proč je iOS 18 klíčový pro bezpečnost vašeho zařízení