Směrnice NIS2 (Network and Information Security) byla aktualizována a vydána 27. prosince 2022 s dvouletou lhůtou zavedení do národní legislativy.  Národní úřad pro informační a kybernetickou bezpečnosti (NÚKIB) předpokládá dopad na více než 6000 subjektů v ČR.

Dopad na podniky v ČR

Pro začátek je důležité zmínit, že nový zákon bude automaticky dopadat na podniky v tzv. regulovaných službách, přičemž doteď musely být jednotlivé podniky určeny přímo NÚKIBem.

Směrnice NIS2 se bude vztahovat na všechny poskytovatele služeb, které jsou uvedeny v přílohách směrnice (tzv. regulovaných službách) a zároveň splňují kritéria středního nebo velkého podniku. To znamená, že zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK). Mezi regulované služby patří například veřejná správa, energetika, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, drážní, vodní a silniční doprava, digitální infrastruktura a služby, finanční trhy, zdravotnictví, věda, výzkum a vzdělávání, poštovní služby, vojenský a vesmírný průmysl a další.

Jaké povinnosti směrnice NIS2 přináší?

Směrnice NIS2 ukládá povinným subjektům řadu opatření, procesů a technických nástrojů k zajištění informační a kybernetické bezpečnosti v rámci jejich organizace. Mezi ně patří například:

• Identifikace a evidence primárních aktiv (sítí a informačních systémů) souvisejících s poskytováním regulované služby,
• Řízení přístupu k aktivům a používání vícefaktorového ověření identity,
• Stanovení rozsahu systému řízení bezpečnosti (ISMS) a tvorba bezpečnostních politik a dokumentace,
• Důraz na bezpečnost lidských zdrojů, pravidelná školení zaměstnanců a dodavatelů,
• Zajištění provedení auditu kybernetické bezpečnosti,
• Sdílení informací o kybernetické bezpečnosti mezi povinnými subjekty a s Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB),
• Hlášení registračních, kontaktních a dalších doplňujících údajů NÚKIBu,
• Hlášení kybernetických bezpečnostních incidentů do 24 hodin,
• Aj.

Jaké jsou sankce za nedodržení směrnice NIS2?

Směrnice NIS2 stanovuje maximální výši pokut za nedodržení uložených povinností na 2 % celkového obratu společnosti nebo 10 milionů EUR, podle toho, která částka je vyšší. Pokuty budou ukládat příslušné dozorové orgány členských států, v České republice tedy NÚKIB. Pokuty budou záviset na závažnosti porušení, jeho trvání, dopadu na poskytovanou službu a uživatele, míře spolupráce s dozorovým orgánem a dalších okolnostech.

Jak se na směrnici NIS2 připravit?

Směrnice NIS2 je velkou výzvou pro podniky v České republice, které budou muset zavést řadu opatření a procesů k zajištění informační a kybernetické bezpečnosti. Je proto vhodné začít s přípravami co nejdříve, abyste se vyhnuli možným sankcím a zvýšili svou kybernetickou odolnost. Mezi doporučené kroky patří:

• Zjistit, zda spadáte pod regulaci směrnice NIS2 podle poskytovaných služeb a velikosti vaší organizace
• Provést analýzu současného stavu vaší kybernetické bezpečnosti a identifikovat mezery a rizika
• Vytvořit strategii a plán implementace opatření a procesů vyplývajících ze směrnice NIS2
• Zajistit dostatečné zdroje (finanční, personální, technologické) pro realizaci plánu
• Pravidelně monitorovat a hodnotit pokrok a účinnost implementace
• Komunikovat s vašimi dodavateli, partnery a zákazníky o vašich aktivitách v oblasti kybernetické bezpečnosti

S čím vám můžeme pomoci?

Pokud potřebujete pomoc s přípravou na směrnici NIS2, můžete se obrátit na odborníky z naší společnosti, kteří vám pomohou s analýzou, strategií, implementací i auditováním vaší kybernetické bezpečnosti a pomoci se efektivně zorientovat v této složité problematice.