Členské země Evropské unie včera dokončily schvalování normy upravující požadavky na kybernetickou bezpečnost ve firmách a státní správě. Směrnice rozšiřuje povinnosti na nové sektory, včetně energetiky nebo zdravotnictví a má za cíl také zlepšit spolupráci příslušných národních orgánů. Státy definitivně schválily také zpřísnění podmínek, za nichž mohou banky a další finanční společnosti ukládat data na cloudová úložiště provozovaná velkými technologickými firmami.
První opatření se zkratkou NIS2 nahrazuje šest let starou směrnici o bezpečnosti sítí a informačních systémů. Na jeho konečné podobě se Rada EU s vyjednavači Evropského parlamentu dohodla v květnu, europoslanci pak tuto dohodu potvrdili v první polovině listopadu. Dnešní souhlas unijních ministrů byl posledním krokem v přijímání normy. Na uvedení nových pravidel do praxe mají státy a zasažené podniky necelé dva roky.
Směrnice zavádí povinnost mapovat kybernetické hrozby a hlásit potíže pro firmy v mnoha sektorech. Nově se bezpečnostní požadavky vztahují na energetiku, dopravu, zdravotnictví, banky či poskytovatele poštovních a kurýrních služeb. Společnosti se musí aktualizovaným pravidlům přizpůsobit do 21 měsíců po jejich vstupu v platnost, který by měl nastat příští měsíc.
Podle českého Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) se budou unijní pravidla od roku 2024 týkat zhruba 6000 českých firem, což by znamenalo více než desetinásobek oproti současnému stavu. Nová směrnice se vztahuje na všechny velké a středně velké společnosti ve vybraných odvětvích nebo poskytující daný typ služeb. Pod její působnost nespadají obrana ani veřejná bezpečnost, centrální banky, soudy ani parlamenty.
NIS2 nicméně vytváří povinnosti i pro orgány veřejné správy na národní a regionální úrovni. Kromě sjednocení pravidel a postihů napříč EU je cílem posílit spolupráci mezi členskými zeměmi, mimo jiné zřízením koordinační skupiny pod hlavičkou Agentury EU pro kybernetickou bezpečnost (ENISA).
Podle místopředsedy vlády ČR pro digitalizaci a ministra pro místní rozvoj Ivana Bartoše EU přijetím nové směrnice učinila další krok k navýšení odolnosti vůči kybernetickým útokům. „Není pochyb o tom, že kybernetická bezpečnost zůstane v příštích letech klíčovou výzvou. Rizika pro naše ekonomiky a naše občany jsou obrovská,“ uvedl v tiskové zprávě Rady EU.
Druhá dnes schválená norma je označena zkratkou DORA a upravuje podmínky, za nichž využívají banky, pojišťovny či investiční společnosti cloudové služby provozované firmami jako Amazon, Google či Microsoft. Finanční společnosti budou mít povinnost dokládat, jak efektivně jsou schopny zareagovat na případný hackerský útok, který by zasáhl úložiště s jejich daty.
Podle unijních institucí mají pravidla ochránit finanční sektor před situací, kdy budou mít například banky uloženy citlivá data u jedné z velkých cloudových firem, která se stane terčem kybernetického útoku. „Pokud dojde k rozsáhlému útoku na evropský finanční sektor, budeme na něj připraveni,“ uvedl k normě za české předsednictví Rady EU ministr financí Zbyněk Stanjura. Banky již podle něho určitá pravidla prevence kyberútoků mají, unie však musí zajít ještě dál.