NIS2: Jak se připravit na nové povinnosti v oblasti kybernetické bezpečnosti?

Evropská unie představila novou směrnici o kybernetické bezpečnosti, známou jako NIS2, která bude mít výrazný dopad na více než 6 000 subjektů v České republice – od soukromých až po státní organizace. Nová legislativa ukládá rozsáhlé povinnosti a možné pokuty za jejich nedodržení dosahují desítek milionů korun. Očekává se, že požadavky NIS2 se do českého zákona o kybernetické bezpečnosti promítnou během roku 2024, s přípravami proto „není čas ztrácet čas“. Co nás se směrnicí NIS2 čeká? A co to v praxi bude znamenat pro firmy?

Co je NIS2?

NIS2 představuje aktualizovanou verzi směrnice NIS (Network and Information Security) z roku 2016, která rozšiřuje oblast působnosti a poskytuje nová opatření k posílení evropského kyberprostoru. Členské státy EU mají povinnost tuto směrnici začlenit do svého právního řádu. V České republice na to reagoval Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) návrhem nového Zákona o kybernetické bezpečnosti (ZoKB), který by měl nahradit současný zákon. V tomto případě tedy NÚKIB navrhl nevyužít cestu novelizace současného zákona, ale vytvořit zcela nový právní rámec. Přesto však některé aspekty zůstanou podobné.

Koho by se nová legislativa měla dotknout?

Nová směrnice postihne subjekty, které působí v klíčových odvětvích, mezi která patří:

• Veřejná správa
• Energetika
• Doprava
• Zdravotnictví
• Pitná a odpadní voda
• Digitální infrastruktura
• Poskytovatelé řízených ICT služeb a vesmírný průmysl

NIS2 se však dotkne i dalších odvětví, jako jsou poštovní a kurýrní služby, odpadní hospodářství, chemický průmysl, potravinářství, výroba a výzkum.

Podle NÚKIB je hlavním kritériem pro určení, zda soukromá nebo veřejná organizace podléhá regulaci směrnice, současné splnění dvou následujících pravidel:

• Organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice.
• A zároveň je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy alespoň 10 milionů EUR (přibližně 250 milionů CZK)

Jak jsou na tom české firmy?

Mnoho velkých tuzemských společností již většinu požadavků směrnice NIS2 splňuje. Konkrétně se jedná asi o 70 procent ze 6 000 dotčených firem, na které nová regulace od příštího roku dopadne. Ty mají výhodu díky dřívějším investicím do kybernetické bezpečnosti a dodržování stávajících standardů.

Naopak malé a střední podniky nyní čelí novým výzvám, neboť musí začít sbírat data a zavádět bezpečnostní opatření, která pro ně doposud nebyla povinná. Pro tyto firmy představuje směrnice NIS2 novou a finančně náročnou povinnost, i když budou fungovat v nižším režimu.

Implementace NIS2

Přijetí české verze zákona implementujícího směrnici NIS2, kterou připravil Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), provázely od začátku těžké komplikace. Ať už jde o od­mít­nu­tí podoby zákona v roce 2022 premiérem Fialou, přerušení vládního jednání o implementaci směrnice či nejasnost právních definicí, pro české firmy a podniky celý legislativní proces nebudil důvěru.

Díky implementaci národních předpisů, jako je předchozí Zákon o kybernetické bezpečnosti, mají větší společnosti solidní základ pro plnění nových evropských standardů. Firmy v kritických sektorech, jako jsou energetika, finance nebo zdravotnictví, dlouhodobě uplatňují bezpečnostní politiky a postupy, které odpovídají požadavkům NIS2. Přesto i pro ně platí, že by neměly sedět se založenýma rukama. Současný zákon o kyberbezpečnosti je totiž, co se týče požadavků NIS2, zanedbatelný. Některé české firmy, na které se bude NIS2 vztahovat, už mají zavedené systémy řízení bezpečnosti informací podle mezinárodních standardů, jako je ISO/IEC 27001, a pravidelně provádějí hodnocení rizik. To znamená, že již implementují technická a organizační opatření pro zajištění kybernetické bezpečnosti a mají zkušenosti s hlášením incidentů příslušným orgánům.

Nižší režim povinností se týká firem, které do NIS2 budou spadat nově právě od příštího roku. Velkou část povinností sice budou mít stejné jako firmy ve vyšším režimu, odpadají jim ale takové záležitosti, jako je audit kybernetické bezpečnosti, řízení rizik a vyhodnocování kybernetických bezpečnostních událostí. Obecně platí, že od přijetí zákona mají firmy 60 dní na sebeidentifikaci a reportování, zda a v jakém rozsahu se jich NIS2 týká, a následně rok na implementaci potřebných opatření.

Jaký je první krok?

Co nejdříve by měly firmy provést GAP analýzu (analýza současného stavu a současných opatření), která jim pomůže zjistit, jaké požadavky směrnice již splňují a v jakých oblastech musí ještě posílit své kybernetické bezpečnostní opatření.

Investice do kybernetické bezpečnosti v nižším režimu

V následující tabulce uvádíme hrubý odhad toho, jak by mohly vypadat investice do bezpečnostních opatření v nižším režimu ve společnosti o 100 uživatelích. Samozřejmě jde pouze o příklady a reálné náklady se mohou lišit v každé společnosti a stejně tak s ohledem na použité technologie. Zároveň se nejedná o kompletní výčet požadavků zákona. Pokud jde o vyšší režim, náklady, které budou muset společnosti vynaložit, jsou výrazně vyšší ve srovnání s nižším režimem.

Časový postup implementace NIS2