Přinášíme vám informace, které potřebujete pro lepší rozhodování a růst vašeho podnikání.

Spojte se s námi ještě dnes a objevte, jak může Scaut posílit důvěryhodnost a bezpečnost vašich pracovníků.

Naplánovat schůzku
Všechny příspěvky

Jste připraveni na NIS 2? Měli byste být

Dne 16. ledna 2023 začalo 21měsíční období implementace pro začlenění NIS2 do národní legislativy. Členské státy EU mají čas do 17. října 2024 na transpozici směrnice do svých národních zákonů. V rychle se vyvíjející oblasti předpisů kybernetické bezpečnosti stanovuje Směrnice o síťové a informační bezpečnosti (NIS) 2 přísné standardy pro organizace v EU na ochranu kritické infrastruktury. Tato směrnice, aktualizace původní Směrnice NIS, si klade za cíl řešit rostoucí hrozby pro kybernetickou bezpečnost tím, že nařizuje přísnější kontroly, včetně důkladného prověřování personálu. Nesplnění těchto standardů může mít za následek významné právní důsledky, vysoké pokuty a poškození pověsti, což činí důkladné prověřování zázemí důležitějším než kdy jindy.

Publikováno dne:

October 7, 2024

Právní důsledky nedodržení předpisů

NIS 2 ukládá společnostem právní povinnosti zajistit, že mají zavedeny adekvátní bezpečnostní opatření, včetně prověřování zaměstnanců, kteří mají přístup k citlivým systémům a datům. Organizace, které se ukáží jako nedbalé při prověřování minulosti, riskují přísné sankce, které mohou zahrnovat pokuty až do výše 10 milionů eur nebo 2 % z celosvětového ročního obratu, podle toho, která částka je vyšší. Nedodržení předpisů může také vést k dalším sankcím, jako je vyloučení z veřejných zakázek nebo povinné hlášení regulačním orgánům. Směrnice se vztahuje na širší okruh sektorů než její předchůdce, pokrývající odvětví jako zdravotnictví, energetika, doprava a finance. Tato odvětví jsou považována za nezbytná pro fungování společnosti, což znamená, že jakákoli vnitřní hrozba – ať už zlovolná nebo neúmyslná – by mohla mít devastující důsledky.

Příklady trestních opatření ze skutečného světa

Nedávné případy po celé EU ukázaly možné důsledky nedodržení bezpečnostních standardů, včetně nedostatečného prověřování minulosti. Například v roce 2023 čelil významný dodavatel energie v Německu významným právním krokům poté, co dodavatel s kriminální minulostí kompromitoval citlivá data zákazníků. Organizace neprovedla důkladné prověření minulosti, což vedlo k finančním pokutám i dlouhodobému poškození pověsti.

Podobně ve Spojeném království byla finanční společnost těžce pokutována za to, že zaměstnala osobu s historií podvodů, která později zneužila svůj přístup k systémům firmy. Tento incident zdůrazňuje, jak nedodržení robustního prověřování minulosti nejenže porušuje právní povinnosti, ale také vytváří zranitelnosti, které mohou být zneužity zlovolnými vnitřními osobami.

Trendy v prověřování zaměstnanců a kybernetické bezpečnosti

S nárůstem sofistikovaných kybernetických útoků a rostoucí závislostí na kritické infrastruktuře v digitálním prostoru se prověřování minulosti stalo klíčovým zaměřením organizací. Podle nedávných studií nyní vnitřní hrozby představují více než 30 % všech incidentů kybernetické bezpečnosti, z nichž mnohé by mohly být zmírněny důkladnými prověřovacími procesy. Odborníci na kybernetickou bezpečnost stále více prosazují průběžné, nikoli jednorázové, prověřování minulosti. S tím, jak kyberzločinci využívají techniky jako sociální inženýrství a deepfake technologie, je zajištění integrity a spolehlivosti zaměstnanců v průběhu času klíčové. Navíc nárůst práce na dálku, zejména po pandemii, rozšířil povrch útoku pro kybernetické hrozby, což činí potřebu přísného prověřování minulosti u vzdálených pracovníků ještě naléhavější. Pracovníci, kteří přistupují ke kritické infrastruktuře z externích míst, představují nová rizika, a důkladné ověření jejich pověření může pomoci tato rizika zmírnit.

Proč jsou prověrky minulosti nezbytné pro dodržování NIS 2

Pro organizace působící v rámci EU není dodržování NIS 2 volitelné – je to právní povinnost. Vzhledem ke kritické povaze sektorů pokrytých směrnicí, včetně zdravotnictví, energetiky a dopravy, nelze integritu pracovní síly ponechat náhodě. Prověrky minulosti slouží jako zásadní nástroj k ověření, že zaměstnanci pověřeni citlivými systémy jsou kvalifikovaní, spolehliví a důvěryhodní. Prováděním robustního a důkladného prověřování minulosti mohou organizace:

  • Zajistit, že splňují právní požadavky podle NIS 2.
  • Snížit riziko vnitřních hrozeb, které by mohly ohrozit citlivou infrastrukturu.
  • Chránit se před finančními pokutami a poškozením pověsti.
  • Podporovat kulturu bezpečnosti v rámci organizace, což je klíčové pro udržení souladu a provozní odolnosti.

Prověřování minulosti již není jen nejlepší praxí – je to kritická součást jakékoli strategie kybernetické bezpečnosti organizace, zejména podle NIS 2. Organizace, které tento aspekt dodržování zanedbávají, nejenže ohrožují své operace, ale také se vystavují přísným právním a finančním důsledkům.

Daniel Butler

autor článku

S více než 10 lety zkušeností v oblasti marketingu v bezpečnostních sektorech APAC a EU věří Daniel v analytický přístup, strategický pohled a má vášeň pro spolupráci. Ať už jde o zkoumání tržního potenciálu, kvantifikaci geopolitických rizik nebo poskytování důvěryhodného poradenství, které formuje strategii - vždy ho najdete, jak si užívá složitosti bezpečnostního prostředí.