Co je směrnice NIS2 a kdy vstupuje v platnost?
NIS2 je modernizovaná verze směrnice NIS (Network and Information Security) z roku 2016. Rozšiřuje dosah stávající legislativy a přináší nové opatření k posílení a zabezpečení evropského kyberprostoru. Členské státy EU musí tuto směrnici začlenit do svých právních systémů.
Tvůrcem Zákona o kybernetickéé bezpečnosti (ZoKB) je Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který počítá s roční přechodnou lhůtou do poloviny roku 2025, aby měly firmy a organizace dostatek času na přípravu a splnění nových požadavků.
Směrnice NIS2 je účinná od ledna 2023. Členské státy EU musí tuto směrnici implementovat do své národní legislativy nejpozději do 17. října 2024.
Koho se NIS2 směrnice dotkne?
Nový Zákon o kybernetické bezpečnosti, ovlivní více než 6 500 soukromých i státních společností a organizací, které budou mít nové povinnosti. Nesplnění těchto povinností může vést k vysokým pokutám až 250 milionů Kč nebo 2 % z ročního obratu organizace.
Směrnice NIS2 zasáhne 60 služeb v 18 různých odvětvích, jako jsou veřejná správa, doprava, energetika, vodohospodářství, bankovnictví a finanční služby, poštovní služby, potravinářství nebo výzkum. Návrh zákona hovoří o tzv. regulovaných službách, jejichž kompletní seznam je uveden ve Vyhlášce o regulovaných službách. https://osveta.nukib.gov.cz/local/dashboard/
Subjekty samy posuzují, jestli naplňují kritéria poskytovatele regulované služby při tzv. sebeurčení. Pokud je naplňují musí se registrovat u NÚKIB.
Jako pomůcku pro sebeurčení můžeme použít dvě základní kritéria:
- Organizace poskytuje alespoň jednu z regulovaných služeb uvedených v zákonu.
- Organizace má roční obrat 250 a víc milionu nebo zaměstnává alespoň 50 zaměstnanců.
Jaké změny směrnice NIS2 přináší?
- Definuje širší rámec regulovaných služeb: Nový zákon se vztahuje na nové regulované subjekty a současně rozšiřuje svou působnost na další systémy a služby organizací, které již spadají pod stávající kybernetický zákon z roku 2014.
- Hlášení incidentů: Hlášení kybernetických incidentů NÚKIB nebo národnímu CERT je ošetřeno již v současné právní úpravě, ale nyní se tato povinnost vztahuje na širší okruh společností. Navíc se přidává povinnost informovat o incidentu také uživatele dané služby.
- Ukládaní dat: Pro organizace v režimu vyšších povinnost NÚKIB požaduje primární ukládání dat na území ČR, s možností šifrovaného ukládání dat v dalších zemích EU, NATO nebo OECD.
- Zvýšené nároky na bezpečnost dodavatelského řetězce: Návrh zákona ukládá povinnost aktivně řídit kyberbezpečnost při výběru dodavatelů, stanovuje požadavky na obsah smluv, vyhodnocení bezpečnostních opatření a pravidelnou kontrolu dodavatelů.
- Pokuty: Návrh zákona zpřísňuje pokuty, které mohou dosáhnout až 250 milionů nebo 2 % z čistého obratu za poslední účetní období.
- Povinnosti a odpovědnost vedení: NIS2 zvyšuje odpovědnost vrcholového vedení organizace za kyberbezpečnost a dodržování zákona.
- Zavedení minimálního bezpečnostního standardu: Zřízení týmu odpovědného za schvalování a dohled nad opatřeními v oblasti kyberbezpečnosti.
Jak Vám může Evenir pomoct připravit se na NIS2?
- Analýza dopadu směrnice na organizaci a zmapování současného stavu
- Prověříme IT infrastrukturu, aplikace anebo síťové systémy
- Zpracujeme plán implementace opatření a provedeme jejich nasazení
- Poskytneme podporu při komunikaci s NÚKIB a registraci regulované služby a oznamování incidentů
- Vypracujeme dokumentaci a pomůžeme nastavit přidružené procesy