Koho a jak se týká NIS2 a zákon o kybernetické bezpečnosti?
Barbora Koďousková
·18/09/2024
·10 min.
Rozvoj moderních technologií přináší nejen zvýšenou efektivitu a nové možnosti, ale také výzvy v oblasti kybernetické bezpečnosti. Mezi aktuálními tématy v této oblasti bezpochyby vyniká přijetí směrnice NIS2 a chystaná novela zákona o kybernetické bezpečnosti. V dnešním článku se podíváme na to, co je směrnice NIS2, jaké požadavky klade na organizace a koho se týká.
Co je NIS2?
NIS2 (Network and Information Security) je aktualizovaná verze směrnice zaměřené na bezpečnost počítačových sítí a ochranu přenášených informací, vydaná Evropským parlamentem a Radou EU. Tato nová verze směrnice byla přijata jako reakce na rostoucí počet kybernetických útoků, dlouhodobé výpadky systémů a související finanční ztráty.
Hlavním cílem NIS2 je zvýšit úroveň kybernetické bezpečnosti napříč státy Evropské unie. Toho má být dosaženo prostřednictvím správného nastavení interních procesů a pravidel, která umožní organizacím efektivně reagovat na aktuální hrozby. Požadavky směrnice NIS2 se nesoustředí pouze na technická opatření, jako je nákup hardwaru nebo nasazení bezpečnostního softwaru, kladou důraz také na rozvoj soft skills, například proškolení zaměstnanců v oblasti kyberbezpečnosti.
V České republice jsou požadavky směrnice NIS implementovány prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti. Tento zákon zatím odpovídá požadavkům původní směrnice NIS1, a proto je připravována jeho novela, která by měla vstoupit v platnost ve druhé polovině října 2024 (viz níže).
Srovnání NIS2 a NIS1
Směrnice NIS1, která vstoupila v platnost v roce 2016, se vztahovala na relativně úzkou skupinu organizací (několik stovek subjektů). NIS2 tento rámec rozšiřuje o nové kategorie – novela zákona o kybernetické bezpečnosti se pravděpodobně dotkne více než 6 000 subjektů. Tyto subjekty jsou dále rozděleny do dvou kategorií – základní a důležité, přičemž každá z kategorií má stanovený odlišný rozsah povinností.
Směrnice NIS2 také zavádí přísnější požadavky. Ty se ovšem vztahují spíše na subjekty, kterých se předchozí legislativa (NIS1) netýkala. Další klíčové rozdíly mezi požadavky NIS2 a NIS1 zahrnují:
- intenzivnější spolupráce mezi organizacemi a NÚKIB (Národní úřad pro kybernetickou a informační bezpečnost)
- rozšířené pravomoci NÚKIB (vydávání varování, opatření a provádění auditů)
- vyšší sankce za nedodržení vydaných nařízení
Pokuty za nedodržení požadavků směrnice NIS2
Výše sankce za nedodržení požadavků směrnice NIS2 se liší v závislosti na kategorii, do které subjekt spadá.
Pro základní subjekty, tj. organizace s vyšší úrovní povinností, se pokuta může vyšplhat až do výše 10 milionů eur nebo až 2 % celkového ročního celosvětového obratu.
V případě důležitých subjektů, tj. organizací s nižší úrovní uložených povinností, mohou být pokuty až ve výši 7 milionů eur nebo až 1,4 % celkového ročního celosvětového obratu.
Platnost směrnice NIS2
Směrnice NIS2 vstoupila v platnost na začátku roku 2023. Od té doby běží lhůta, během níž musí jednotlivé členské státy EU směrnici implementovat do národní legislativy. V České republice je tato implementace řešena prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti, jehož novela musí být schválena do 17. 10. 2024.
První opatření související s NIS2 tak budou vyžadována nejdříve na konci roku 2024. Nejpozději v lednu 2025 se organizace, na které se směrnice vztahuje, budou muset registrovat přes portál NÚKIB. Do 12 měsíců od registrace pak platí povinnost implementace požadovaných bezpečnostních kroků. Vzhledem k časové a finanční náročnosti zavedení těchto kroků je však vhodné začít s přípravami co nejdříve.
Co je portál NÚKIB a k čemu slouží?
Webový portál NÚKIB je komunikační nástroj Národního úřadu pro kybernetickou a informační bezpečnost. V současnosti slouží jako dobrovolná platforma pro organizace, na které se vztahují požadavky NIS1.
Po přijetí novelizovaného zákona o kybernetické bezpečnosti se portál stane primárním komunikačním kanálem, přes který subjekty mohou provádět následující úkony:
- registrace regulovaných služeb
- hlášení kontaktních údajů
- hlášení bezpečnostních incidentů
- hlášení provedených protiopatření
- hlášení informací o dodavatelích
Vyjma administrativních úkonů obsahuje portál také edukační sekci s materiály vydanými NÚKIB a informační sekci s upozorněními na aktuální opatření.
Koho se týká směrnice NIS2 a zákon o kybernetické bezpečnosti?
Požadavky směrnice NIS2 a novelizovaného zákona o kybernetické bezpečnosti dopadnou na poskytovatele regulovaných služeb, jejichž výčet je uvedený v příloze vyhlášky o regulovaných službách (od str. 6). Jedná se o tyto kategorie:
- digitální infrastruktura a služby
- doprava (letecká, drážní, vodní, silniční)
- energetika (elektřina, ropa a ropné produkty, plynárenství, teplárenství, vodík)
- finanční trh
- chemický průmysl
- obranný průmysl
- odpadové hospodářství
- poštovní a kurýrní služby
- potravinářský průmysl
- věda, výzkum a vzdělávání
- veřejná správa a výkon veřejné moci
- vesmírný průmysl
- vodní hospodářství
- výrobní průmysl
- zdravotnictví
Subjekty, které poskytují pouze jednu službu spadající do některé z uvedených kategorií, budou následně rozděleny do dvou skupin (režim nižších povinností a režim vyšších povinností) dle velikosti organizace a kritérií specifických pro jednotlivá odvětví. Tato kritéria jsou blíže specifikována ve zmíněné příloze vyhlášky o regulovaných službách.
K posouzení velikosti organizace slouží zaměstnanecký a finanční ukazatel, přičemž si podnik může vybrat ten, který je pro něj výhodnější. Podklady k definici malých a středních podniků, praktické příklady a výčet výjimek najdete v Uživatelské příručce k definici malých a středních podniků, vydané Evropskou komisí. Postup také zjednodušeně demonstruje níže umístěný diagram.
V případě partnerských a propojených podniků (koncerny, dceřiné společnosti, …) se do velikosti podniku počítá i mateřská společnost. Subjekt se tak může stát středním nebo velkým podnikem. Výpočet pro tento případ popisuje materiál NÚKIB.
Základní a důležité subjekty podle vyhlášky zákona o kybernetické bezpečnosti
NIS2 a upravený zákon o kybernetické bezpečnosti cílí na velké a střední podniky. Pokud tedy vaše organizace podniká v odvětvích definovaných vyhláškou a splňuje kritéria středního či velkého podniku, s velkou pravděpodobností zasáhne i vás.
Zařazení některých subjektů se může lišit v návaznosti na speciální kritéria pro jednotlivé oblasti. Stejně tak existují výjimky, pro které plynou povinnosti z NIS2, ale nespadají do základních ani důležitých subjektů. Jedná se o následující odvětví:
- poskytovatelé služeb elektronické komunikace
- poskytovatelé služeb vytvářejících důvěru
- poskytovatelé služeb DNS
- subjekty spravující registr internetových domén nejvyšší úrovně (TLD)
Základní subjekty (režim vyšších povinností)
Do skupiny základních subjektů patří velké podniky, které zajišťují některou ze služeb uvedených v příloze I:
- bankovnictví
- digitální infrastruktura
- doprava
- energetika
- infrastruktura finančních trhů
- odpadní voda
- pitná voda
- poskytovatelé řízených ICT služeb
- veřejná správa
- zdravotnictví
Pokud subjekt poskytuje více služeb spadajících do uvedených kategorií a alespoň jedna z nich spadá do režimu vyšších povinností, pak tento režim platí pro celou organizaci.
Důležité subjekty (režim nižších povinností)
Do skupiny důležitých subjektů patří střední podniky, které zajišťují některou ze služeb uvedených v příloze I:
- bankovnictví
- digitální infrastruktura
- doprava
- energetika
- infrastruktura finančních trhů
- odpadní voda
- pitná voda
- poskytovatelé řízených ICT služeb
- veřejná správa
- zdravotnictví
A subjekty identifikované jako velké a střední podniky, které zajišťují některou ze služeb uvedených v příloze II:
- chemický průmysl
- odpadní hospodářství
- poskytovatelé digitálních služeb
- poštovní služby
- potravinářství
- výroba
- výzkum
Požadavky NIS2 a povinnosti vyplývající z kybernetického zákona
Ve chvíli, kdy subjekt splňuje kritéria vymezená NIS2 a souvisejícím zákonem o kybernetické bezpečnosti, musí naplnit následující požadavky:
- registrace do webového portálu NÚKIB
- nahlášení kontaktních údajů
- stanovení rozsahu řízení kybernetické bezpečnosti
- zavádění organizačních a technických bezpečnostních opatření
- provádění protiopatření ke snížení rizik
- hlášení kybernetických bezpečnostních incidentů
- informování zákazníků o incidentech a hrozbách
- řízení dodavatelského řetězce
- zajištění dostupnosti aktiv umístěných v zahraničí
Jak se připravit na NIS2
NIS2 a zákon o kybernetické bezpečnosti s sebou přináší mnoho změn a nabízí relativně dlouhý časový rámec pro nasazení souvisejících opatření. Implementace těchto opatření však může být (v návaznosti na konkrétní subjekt) finančně i časově náročná. Odborníci na kybernetickou bezpečnost se proto shodují, že se splněním základních požadavků není nač čekat – přesto, že dosud nebyla schválena novela zákona o kybernetické bezpečnosti a požadavky se mohou změnit.
Zjistěte, zda vaše firma spadá pod NIS2
V první řadě je nutné ověřit, zda se vás týkají požadavky NIS2 a zákona o kybernetické bezpečnosti. Za tímto účelem je nutné identifikovat velikost vaší organizace a rozsah povinností v návaznosti na vyhlášku o regulovaných službách, viz výše.
Proveďte audit informační a kybernetické bezpečnosti
Pokud se na vás NIS2 vztahuje, je důležité začít bezpečnostním auditem. Pomůže vám zmapovat aktuální stav organizace, identifikovat potenciálně slabá místa a následně vymezit aktiva, kterým je nutné věnovat zvláštní pozornost.
Díky auditu získáte také odhad časové i finanční náročnosti implementace opatření a podklad pro vytváření metodiky a směrnic, jež jsou součástí požadavků NIS2.
Určete bezpečnostní role
Vedle auditu kybernetické bezpečnosti je nutné stanovit pravidla pro určení odpovědných osob (manažer a architekt kybernetické bezpečnosti apod., viz výše) a tyto osoby najmout či jmenovat, aby mohly korigovat implementaci všech opatření vymezených zákonem o kybernetické bezpečnosti.
Začněte připravovat technické řešení
Ještě před schválením novely zákona o kybernetické bezpečnosti je pak na místě zvážit implementaci alespoň základních opatření, která by měla pomoci se zabezpečením klíčových aktiv. Mimo jiné se může jednat o následující kroky:
- zajištění bezodkladné instalace ověřených aktualizací softwaru
- nastavení pravidel pro tvorbu silných hesel
- řízení počtu neúspěšných pokusů o přihlášení
- požadování opětovného ověření identity po stanovené době nečinnosti
- použití vícefázového ověření identity
Za zvážení pak také již nyní stojí nasazení nákladnějších prostředků ochrany, jako jsou:
- perimetrové firewally, které kontrolují a filtrují příchozí a odchozí síťový provoz
- EDR antiviry, které v reálném čase detekují, analyzují a reagují na kybernetické hrozby
- automatizované zálohovací platformy, které podporují šifrování dat
Zajistěte školení pro zaměstnance a vrcholové vedení
NIS2 a zákon o kybernetické bezpečnosti neklade požadavky pouze na hardware a software, ale i na lidské zdroje. Všichni zaměstnanci by proto měli projít základním školením na téma kybernetické bezpečnosti a školením na seznámení se s metodikou nastavenou organizací (poučení o povinnostech apod.).
Odbornějším školením by pak měl projít vrcholový management, administrátoři a další odpovědné osoby zastávající bezpečnostní role.
Požadavky NIS2 a zákona o kybernetické bezpečnosti s sebou, zejména pro subjekty, které do NIS dříve nespadaly, přináší řadu změn a úkonů. Pokud hledáte řešení, jak všechny související povinnosti obsáhnout co nejjednodušeji, vyzkoušejte náš nástroj NIS2 Ochrana. Pomůže vám zorientovat se v celé problematice, nasměruje vás při plnění jednotlivých požadavků a zpřehlední všechny související činnosti.
Máte nápad na nový projekt?
Popište nám ho! Rádi odpovíme na všechny vaše dotazy, nebo rovnou domluvíme termín schůzky.
Ozvěte se Vítovi! Vše s vámi projedná a probere.
Vít Uličný
Zakladatel & CEO