NIS2 přichází
Co je směrnice NIS2?
Jedná se o novou směrnici Evropské unie, která bude rozvíjet a doplňovat stávající pravidla pro zajištění kybernetické bezpečnosti.
Text směrnice NIS2 již byl politicky dohodnut a měl by být oficiálně vyhlášen do konce roku 2022. Členské státy EU, včetně České republiky, jsou povinny transponovat nová ustanovení do svých zákonů nejpozději do poloviny roku 2024.
Dopad NIS2 v České republice
Český zákon o kybernetické bezpečnosti bude poměrně výrazně novelizován. Stejně tak jeho prováděcí vyhlášky. A Národní úřad pro kybernetickou a informační bezpečnost (NUKIB) začne určovat nové povinné osoby, které budou povinny komplexně řídit bezpečnostní rizika.
Bude jich hodně. Bezpečnostních rizik a nových povinných osob.
Tři hlavní změny NIS2
Hlavní změny zavedené směrnicí NIS ve srovnání se stávajícím zákonem o kybernetické bezpečnosti lze rozdělit do tří skupin:
- Výrazně se zvýší rozsah subjektů v soukromém a veřejném sektoru, které budou muset systematicky řešit kybernetickou bezpečnost
- Bezpečnost, kterou budou muset povinné subjekty zavést, bude rozšířena a upřesněna
- Pokuty za porušení zákona o kybernetické bezpečnosti se zvýší
Z 400 na 6 000!
V České republice dnes existuje přibližně 400 povinných subjektů a organizací, které musí podle zákona a vyhlášky o kybernetické bezpečnosti komplexně řídit kybernetickou bezpečnost.
NIS2 toto číslo výrazně zvýší! NUKIB odhaduje, že ze 400 se dostaneme někam k 6 000 povinným subjektům jak z veřejné, tak soukromé sféry.
Co je příčinou tohoto? Kombinace dvou faktorů, rozšíření sektorů, které budou dotčeny povinnostmi kybernetické bezpečnosti, a rozšíření rozsahu podniků v každém sektoru, které budou pokryty novou regulací.
Dnešní zákon o kybernetické bezpečnosti se vztahuje na následující sektory:
- Energetika
- Doprava
- Bankovnictví
- Infrastruktura finančních trhů
- Zdravotnictví
- Vodní hospodářství
- Digitální infrastruktura
- Chemický průmysl
Žádný z těchto sektorů z NIS2 nezmizí. Naopak, přidávají se nové oblasti činnosti, kde bude také třeba systematicky řešit kybernetickou bezpečnost:
- Výroba, zpracování a distribuce potravin
- Poštovní a kurýrní služby
- Odpadové hospodářství
- Veřejná správa - ústřední orgány, kraje a větší obce
- Výroba některých produktů, např. zdravotnických prostředků, počítačů, elektrických zařízení, motorových vozidel atd.
- Poskytovatelé digitálních služeb online tržišť, internetových vyhledávačů a sociálních sítí
Kromě rozšíření sektorů se také sníží práh, při kterém bude muset organizace řešit kybernetickou bezpečnost. Podle NIS2 by to měl být jakýkoli podnik, který má více než 50 zaměstnanců nebo má roční obrat přes 10 milionů eur.
Jinými slovy, organizace, která se zabývá distribucí potravin, poskytováním zdravotní péče, výrobou vozidel nebo poskytováním kurýrních služeb a má více než 50 zaměstnanců, bude muset zavést poměrně komplexní systém řízení kybernetické bezpečnosti. A odpovídající organizační a technická opatření.
NIS2: technická a bezpečnostní opatření
Stávající směrnice NIS o kybernetické bezpečnosti popisuje povinná bezpečnostní opatření. Pouze uvádí, že by to měla být vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik.
NIS2 je mnohem konkrétnější. Stanoví názvy a typy opatření, která budou muset povinné osoby zavést. Patří sem například provedení analýzy kybernetických rizik, přijetí politiky kybernetické bezpečnosti, řízení kybernetických incidentů, zajištění bezpečnosti dodavatelského řetězce, pravidla pro provoz a rozvoj informačních systémů atd.
Kromě toho bude mít Evropská komise možnost vydávat prováděcí právní akty k upřesnění, rozvoji nebo přizpůsobení obsahu jednotlivých opatření s ohledem na technologický vývoj a aktuální hrozby.
Český zákon, zejména vyhláška o kybernetické bezpečnosti, již podrobněji popisuje nezbytná bezpečnostní opatření, včetně například požadavků na personální bezpečnost. Po oficiálním zveřejnění směrnice NIS2 však budou tyto části naší regulace jistě revidovány a upraveny tak, aby byly více relevantní k požadavkům NIS2 a aktuální bezpečnostní situaci.
Pokuty za porušení NIS2?
A co když povinná osoba nesplní požadavky na řízení kybernetické bezpečnosti? Nebo je splní jen částečně, neúplně, nebo jen na oko? Stejně jako dnes, bude za to čelit pokutám. Ale i tyto pokuty se výrazně zvýší.
Porušení dnešního zákona o kybernetické bezpečnosti je trestáno pokutou až do výše 5 milionů korun. Po zavedení NIS2 však bude horní hranice pokuty za nejzávažnější porušení stanovena na 10 milionů eur (zhruba 250 milionů korun) nebo 2 % z celosvětového obratu dotčené společnosti.
To je přibližně 50násobné zvýšení.
Kybernetická bezpečnost a lidské zdroje
Nejčastějším důvodem kybernetických incidentů je lidské selhání. Nedbalost, neznalost nebo dokonce zlý úmysl zaměstnance. Proto žádný systém kybernetické bezpečnosti nemůže být úplný bez dostatečných opatření personální bezpečnosti.
Jste pokryti zákonem o kybernetické bezpečnosti?
Bude se na vás vztahovat nová směrnice NIS2?
Chcete zabezpečit své majetky, citlivé informace a informační a komunikační systémy a nástroje?
Pak byste se měli také zabývat důvěryhodností svých zaměstnanců a uchazečů o zaměstnání.
Příště se podíváme na to, jak chytře, systematicky a efektivně prověřovat uchazeče o zaměstnání. Kdo je zodpovědný za výběr správného nebo problematického zaměstnance v organizaci a jaké jsou právní limity pro ověřování uchazečů o zaměstnání?
