Evropská směrnice NIS 2, která zavádí nová pravidla při řešení kybernetické bezpečnosti uvnitř firem, je v České republice na spadnutí. Odhaduje se, že se dotkne nejméně 6 000 soukromých a státních firem a bude mít značný dopad na jejich vnitřní fungování. Oproti její předchůdkyni NIS významně rozšiřuje okruh subjektů, na které se budou nová pravidla vztahovat. Ta by měla pomoci zvýšit celkovou úroveň kybernetické odolnosti v Evropě, a zabránit tak hackerským útokům, které mohou ochromit nejen soukromé firmy, ale i celou státní infrastrukturu. Již v průběhu tohoto roku bude nová směrnice implementována do našeho právního systému a firmy mají tak nejvyšší čas se začít o novou směrnici více zajímat.
Hlavní cíle NIS 2
Nová směrnice by měla posílit bezpečnost sítí a informačních systémů v celé EU a to tak, že provozovatelé infrastruktury a základních služeb budou povinni zavést vhodná bezpečnostní opatření a hlásit případné incidenty. Oproti své starší verzi rozšiřuje NIS 2 bezpečnostní požadavky na celou EU, stejně tak seznam organizací a odvětví, kterých se nový kybernetický zákon dotkne. Cílem směrnice je zlepšit bezpečnost dodavatelských řetězců před hackerskými útoky, zjednodušit oznamovací povinnosti a prosadit přísnější opatření a sankce. Podle nových kritérií se dotkne středních a velkých firem v oblastech jako jsou kurýrní služby, výroba a distribuce potravin a digitálních služby.
První krok, který by měly tedy lokální firmy učinit, je zjistit si, jestli se jich nová směrnice bude týkat a podniknout příslušné kroky. Firmám, které se o novou směrnici nebudou zajímat, můžou hrozit sankce v řádu až desítek milionů korun. Požadavky směrnice budou do české legislativy implementovány ve druhé polovině roku 2024, ale čas na zahájení příprav je již nyní. O jaké dopady se bude jednat?
1) Zlepšení kybernetické bezpečnosti
Především provozovatelé kritické infrastruktury a poskytovatele základních služeb v České republice budou muset zvýšit svá opatření v oblasti kybernetické bezpečnosti. K přísnějším opatřením kybernetické bezpečnosti patří například identifikace všech primárních aktiv v celé instituci, bezpečnostní dokumentace, komplexnější přístup k řízení rizik, mezi které se řadí povinnost identifikovat rizika, přijímat a vyhodnocovat opatření zaměřená na jejich zmírnění či vyhodnocovat plnění plánu řízení rizik.
2) Dodržování právních předpisů
Organizace identifikované v rámci NIS 2 budou muset splňovat požadavky směrnice, jako je hlášení incidentů a dodržování bezpečnostních opatření, což povede ke standardizaci přístupu ke kybernetické bezpečnosti napříč odvětvími. Organizace budou povinné sdílet informace s Národním úřadem pro kybernetickou a informační bezpečnost, což zahrnuje podání hlášení obsahující registrační, kontaktní a další potřebné údaje.
Národní úřad pro kybernetickou a informační bezpečnost bude mít za úkol dohlížet na dodržování povinností a provádění právních předpisů. Taktéž bude zajišťovat provádění nápravných opatření v případě nedostatků či porušení předpisů. Bude sledovat dodržování upozornění, závazných pokynů a příkazů vydávaných subjektům ke korekci nalezených nedostatků či porušení pravidel. Přímá odpovědnost za implementaci těchto pravidel v podnicích bude náležet statutárním orgánům. Proto by členové vedení měli předem absolvovat vhodná školení.
S čím vám můžeme pomoci?
- Dodáme vám kvalifikované IT odborníky, kteří vám s implementací nové směrnice pomohou.
- Poskytneme vám poradenství ohledně prvních kroků, jak se k nové směrnici postavit.
3) Efektivnější reagování na incidenty
Směrnice dává organizacím v České republice jasný signál, že mají posílit své schopnosti odhalování, reagování a minimalizace rizik kybernetických útoků. Tyto organizace budou také povinny urychleně hlásit kybernetické incidenty do 24 hodin od jejich objevení a spolupracovat na sdílení důležitých informací o kybernetických hrozbách.
4) Přeshraniční spolupráce
Ustanovení směrnice o přeshraniční spolupráci mezi členskými státy EU bude vyžadovat aktivní zapojení České republiky do spolupráce v oblasti kybernetické bezpečnosti s ostatními státy. To přispěje k efektivnějšímu sdílení informací a koordinované reakci na kybernetické hrozby. Očekává se, že přijetí NIS 2 v České republice zvýší standardy kybernetické bezpečnosti a odolnosti kritické infrastruktury a poskytovatelů základních služeb.
Je důležité zdůraznit, že společnosti budou povinny začlenit ustanovení směrnice o bezpečnosti sítí a informací do svých provozních procesů, a to co nejdříve.
Pokud se cítíte nejistí ohledně implementace těchto opatření nebo nevíte, kde začít, neváhejte a kontaktujte nás. Jsme odborníci v oblasti kybernetické bezpečnosti a s radostí vám poskytneme konzultace v této oblasti. Pro jakékoli dotazy a poradenství se obraťte na Martinu Pavlíkovou z Manpower IT.
