NIS 2: Na koho dopadá a jaké povinnosti ukládá?

Přísnější směrnice EU o kybernetické bezpečnosti NIS 2 se v Česku podle odhadů dotkne nejméně 6 000 soukromých i státních subjektů. Uloží jim rozsáhlé povinnosti, za jejichž nesplnění budou hrozit pokuty ve výši desítek milionů korun. Do českého zákona o kybernetické bezpečnosti se požadavky NIS 2 promítnou během roku 2024. S přípravami ale doporučujeme začít už teď.

NIS 2 je aktualizovanou verzí evropské směrnice Network and Information Security (NIS) o kybernetické bezpečnosti z roku 2016. Její požadavky musí každý stát EU promítnout do své národní legislativy. Do českého zákona o kybernetické bezpečnosti (ZoKB) se požadavky a povinnosti vyplývající z nové směrnice promítnou nejpravděpodobněji v druhé polovině roku 2024.

Původní směrnice se zaměřovala na zabezpečení úzkého výběru organizací s velkým dopadem na společnost. Nová si klade za cíl zabezpečit všechny poskytovatele služeb důležitých pro fungování společnosti. Dotčené služby zpřesní příloha vyhlášky o regulovaných službách. Pouze poskytovat jednu z uvedených služeb ale nestačí.

„Primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné splnění následujících dvou pravidel:

• organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
• je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK),“ uvádí NÚKIB na svém webu o dopadech NIS 2. 

Zpřísnění pravidel pro řízení kybernetické bezpečnosti

• Identifikace všech primárních aktiv v rámci celé organizace (včetně jejich evidence)
• Určení, která primární aktiva souvisejí s poskytováním regulované služby, a určení jejich podpůrných aktiv
• Řízení přístupu k aktivům
• Stanovení rozsahu systému řízení bezpečnosti
• Tvorba/aktualizace bezpečnostních politik a bezpečnostní dokumentace
• Komplexnější přístup k řízení rizik, povinnost identifikovat rizika, vyhodnocovat a přijímat opatření ke snížení rizik, posuzovat naplňování plánu zvládání rizik
• Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů
• Důraz na bezpečnost lidských zdrojů, pravidelná školení a kybernetická hygiena
• Prosazování politik a postupů týkajících se používání kryptografie, případně šifrování
•  Využívání vícefaktorového ověření identity
•  Zajištění provedení auditu kybernetické bezpečnosti

Sdílení informací

• Hlášení registračních, kontaktních a dalších doplňujících údajů NÚKIBu
• Hlášení kybernetických bezpečnostních incidentů (prvotní hlášení do 24 hodin)
• Informování uživatelů regulované služby (v případě kybernetického informačního incidentu)
• Vzájemné sdílení podstatných informací o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů

Zajištění bezpečnosti dodavatelů

• Prověřování a zajišťování bezpečnosti celého dodavatelského řetězce
• Zohledňování zranitelných míst i kvality postupů v oblasti kyberbezpečnosti u každého přímého dodavatele a poskytovatele služeb

Realizace protiopatření

• Povinnost provádění výstrah, varování a reaktivních opatření
• Následné oznámení o provedení a výsledku opatření NÚKIBu

Větší důraz na management incidentů

• Důraz na řešení incidentů (prevence a odhalování kybernetických bezpečnostních incidentů a reakce na ně) a stanovení nutných bezpečnostních opatření
• Prošetření a určení příčin kybernetického bezpečnostního incidentu
• Vedení záznamů o kybernetických bezpečnostních incidentech a o jejich zvládání

Kontrola vykonávaná NÚKIBem

• Kontroly plnění povinností a dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti
• Povinnost provést uložená nápravná opatření
• Dodržování vydaných varování, závazných pokynů či příkazů, aby subjekty napravily zjištěné nedostatky nebo porušení povinností

Řízení kontinuity

• Analýza dopadů
• Pravidelná tvorba záloh
• Pravidelné testování kontinuity a plánů obnovy

Fáze 1 – analýza

V první fázi zanalyzujeme váš systém řízení kybernetické bezpečnosti včetně interních předpisů, plánů a jednotlivých procesů. Zhodnotíme váš aktuální stav kybernetické bezpečnosti a dopady nové legislativy na vaši činnost. Následně stanovíme další kroky včetně harmonogramu.

Fáze 2 – návrh

V této fázi navrhneme celkový koncept řízení kybernetické bezpečnosti podle nového ZoKB včetně vhodných procesů, kontrolních systémů, plánů, metrik a technologií. Navrhneme strategické iniciativy vedoucí k souladu s legislativou, určíme priority, potřebné zdroje a podpůrné technologie.

Fáze 3 – řešení

V poslední fázi vám pomůžeme se zavedením funkčního procesu řízení kybernetické bezpečnosti. Provedeme úpravu dokumentů, procesů, nastavení reportingu, aktualizujeme analýzu rizik, business impact analýzu a plán zvládání rizik, vyškolíme vaše zaměstnance. Dále můžeme pomoci se zavedením Security Operations Centra či s obsazením bezpečnostních rolí.