27. prosince bylo zveřejněno finální znění nové strategie pro kybernetickou bezpečnost EU, známé jako směrnice NIS 2. Ta zásadně ovlivní fungování více než 6000 českých firem a organizací. Je mezi nimi i ta vaše? A víte, jaké povinnosti z toho pro vás vyplývají?
Kybernetické útoky nejsou v současné době bohužel ničím výjimečným a dokáží zcela ochromit nejen soukromé subjekty, ale i klíčovou infrastrukturu kteréhokoliv státu. Staly se právoplatnou součástí válečných konfliktů, hybnou silou teroristických i ekonomických útoků a nebezpečným nástrojem manipulace. Není proto divu, že se EU rozhodla pro ještě účinnější regulaci, díky které chce zvýšit celkovou úroveň kybernetické odolnosti v Evropě.
Starší a pečlivější sestra NIS
Evropská unie v rámci nové regulace zavádí řadu pravidel pro zajištění bezpečnosti a odolnosti kyberprostoru proti hackerským útokům. Ty mají zaručit lepší schopnost důležitých firem a organizací reagovat na případné incidenty. Nejde při tom o nic nového – NIS 2 má rozšířit působnost již existující a platné směrnice NIS, která se ale díky stále rychlejší digitální transformaci ukázala být nedostačující. Úkolem její starší sestry je tak mimo jiné i sjednocení přístupu ke kybernetické bezpečnosti napříč členskými státy EU.
Koho se nová směrnice dotkne?
Jestli se sami sebe ptáte, zda se vás tato regulace týká, vězte, že pravděpodobnost je poměrně vysoká. Nová legislativa totiž významně rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti, a mění i zavedenou terminologii. Původní směrnice NIS se totiž týkala jen provozovatelů takzvaných základních a digitálních služeb, ve směrnici NIS 2 se ale subjekty nově dělí na základní a důležité. Do “základní” skupiny byli při tom přeřazeni nejen původní provozovatelé základních služeb, ale i mnoho nováčků – mezi nimi i státní správa. Důležité subjekty pak reprezentují poštovní a kurýrní služby, výroba a distribuce potravin nebo digitální služby. NIS 2 navíc přidává oproti původní směrnici ještě jedno kritérium – velikost firmy. Nová pravidla se tak budou týkat pouze středních a velkých podniků v daných odvětvích. Je opravdu důležité zjistit si včas, zda vaše firma do dotčené oblasti spadá, a provést příslušné kroky. V opačném případě by se vám to totiž mohlo prodražit.
Pravidla, které se nevyplatí ignorovat
Směrnici NIS 2 totiž rozhodně nelze brát jen jako pouhé doporučení. Tisícům soukromých společností a orgánům veřejné správy díky ní vzniknou nové povinnosti, za jejichž nedodržení mohou být vyměřeny desetimilionové pokuty.
Firmy budou muset mimo jiné provést podrobnou analýzu rizik, zavést efektivní systém řízení, prevence a detekci incidentů, nebo zabezpečit kontinuitu provozu a krizové řízení. Vybrané subjekty navíc budou mít nově oznamovací povinnost, v rámci které musí Národnímu úřadu pro kybernetickou a informační bezpečnost neprodleně oznámit každý závažnější kyberbezpečnostní incident. Přímá odpovědnost za zavedení těchto pravidel při tom bude ležet na statutárních orgánech daných firem. Členové vedení by proto měli s předstihem absolvovat příslušná školení.
Připravte se na změny včas
Jde vám z toho všeho hlava kolem? Veškeré potřebné informace o pravidlech a povinnostech spojených s novou směrnicí se dozvíte na bezplatné virtuální konferenci NIS 2: Procesy a technologie, která se koná ve čtvrtek 26. ledna od 9:00 do 12:30. Tato bezplatná konference vám pomůže zorientovat se v nové evropské legislativě o kybernetické bezpečnosti a otevře hned několik praktických témat s ní spojených.
Zaregistrovat se můžete na webu www.nis2.tech