Týká se vás nová směrnice NIS2?

V dnešní době jsou pro firmy data jedním z nejcennějších aktiv a klíčovým prvkem pro úspěšné podnikání. S rozvojem digitalizace však exponenciálně roste riziko kybernetických hrozeb, které mohou business kontinuitu narušit.

Mezi ně patří například ransomware, který vám zašifruje data nebo DDoS útoky, způsobující přehlcení a následné výpadky online služeb. Kyberútoky se neomezují pouze na soukromé firmy. Výrazně zasahují také do veřejného a státního sektoru i do kritické infrastruktury.

V České republice jsme v nedávné době byli svědky řady rozsáhlých útoků. Zasaženo bylo několik bankovních domů včetně ČNB (léto 2023). Tento fakt jasně ilustruje naléhavou potřebu posílení kybernetické bezpečnosti a prevence proti těmto stále sofistikovanějším hrozbám.

Vyspělejší rámec ochrany EU kyberprostoru

Původní směrnice o kybernetické bezpečnosti označovaná jako NIS (Network and Information Security) z roku 2016 je vzhledem k rychlému vývoji technologií již zastaralá, a to zejména vzhledem k nedostatečné reakci na výše zmíněné nové kybernetické hrozby.

Dáme si k tomu pár zásadních čísel. Americká společnost Cybersecurity Ventures uvádí, že světová účtenka za kyberkriminalitu bude v roce 2023 přes 8 bilionů USD (přes 181 bilionů Kč). ENISA (Evropská agentura pro kybernetickou bezpečnost) potom dodává, že objem dat zcizených při kyberútocích v roce 2021 přesáhl 260 terabytů, přičemž průměrné náklady na jeden případ dle odhadů IBM činí téměř 4,5 milionu dolarů (přes sto milionů Kč).

Tyto trendy, které poslední roky nabírají na intenzitě, byly rovněž impulzem pro Evropskou unii, která v prosinci 2020 představila aktualizovanou verzi NIS2. Tato nová a rozšířená směrnice si dala za cíl posílit bezpečnost evropského kyberprostoru, a členské státy EU jsou povinny tuto směrnici zahrnout do svého právního řádu. V ČR se aktuálně nacházíme v režimu transpozice, přičemž nová legislativa by měla vejít v platnost během roku 2024. O rok později již bude platit povinnost samoidentifikace. Spoustu firem tedy čeká velká řada nových povinností a dodatečných nákladů. Svým rozsahem a závažností zde dalece přesahujeme např. GDPR. Ve hře jsou taktéž značné pokuty za neplnění povinností.

Režim vyšších a nižších povinností

Nad rámec směrnice NIS2 se návrh nového zákona o kybernetické bezpečnosti (který transponuje směrnici NIS2) počítá s „dvouúrovňovým“ dělením poskytovatelů na poskytovatele s vyšší a nižší úrovní povinností.

Konkrétní podmínky pro určení míry povinností obsahují vyhlášky, jejíchž návrhy již byly taktéž zveřejněny spolu s návrhem samotného zákona. Kritériem pro určení míry povinností je zpravidla velikost podniku, rozsah poskytované služby případně také to, zda se jedná o zákonem regulovanou službu.

V obecné rovině jsou podmínky pro poskytovatele služeb v režimu vyšších povinností podrobněji rozpracované a některé povinností se vztahují výlučně na tyto poskytovatele. Specifickou podmínkou pro poskytovatele v režimu vyšších povinností je například systém řízení dodavatelů, dle kterého budou povinni řídit a kontrolovat svůj dodavatelský řetězec a bezpečností standardy smluvními ujednáními na své významné dodavatele přenést. Na poskytovatele ve vyšším režimu povinností se budou vztahovat také vyšší sankce.

Oliver Matoušek, Geetoo Legal Counsel

Pro společnosti tak nebude důležité jen to, do jaké úrovně povinností sami spadají, ale také, komu své služby dodávají, protože Poskytovatelé s vyšší úrovní povinností je mohou k některým povinnostem, vyplývajícím z vyššího režimu, smluvně zavázat.

Jaké povinnosti tedy nový zákon o kybernetické bezpečnosti stanovuje?

  • vypracovat robustní systém řízení bezpečnosti informací včetně související dokumentace (analyzovat významnost bezpečnostní politiky, disaster recovery plány, plány kontinuity provozu atp.)
  • zapojit vrcholný management do systému bezpečnosti informací
  • nahlašovat bezpečnostní incidenty NÚKIBU
  • provádět pravidelné audity
  • zajistit řízení přístupu k informacím (evidence přístupu, MFA, pravidelný audit přístupů)
  • zajistit bezpečnost dodavatelského řetězce
  • zajistit bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně odhalování zranitelností
  • vyhodnocovat účinnost opatření pro řízení rizik v oblasti kybernetické bezpečnosti
  • zajistit pravidelná školeni v oblasti kybernetické bezpečnosti

Koho se bude nový zákon týkat?

Nová úprava značně rozšiřuje okruh povinných subjektů. Předpokládá se, že jich v ČR bude kolem 6000. S ohledem na povinnost řízení dodavatelského řetězce bude mít nová úprava ve výsledku vliv na celá regulovaná odvětví, ve kterých se stane plnění bezpečnostních standardů de facto nutností.

Okruh povinných subjektů je specifikován ve vyhláškách a je rozdělen do 22 odvětví (např. veřejná správa, energetika, chemický průmysl, digitální infrastruktura, finanční trhy, vojenský průmysl). Pro nás v Geetoo se nic zásadního nemění, jelikož v onom „přísnějším“ režimu již nějakou dobu fungujeme. Rádi vám proto s implementací nových opatření poradíme.