top of page

Co je NIS2? (a další často kladené otázky)

Aktualizováno: 29. 3. 2023



Od GDPR k NIS2


GDPR bylo pravděpodobně nejvýznamnější regulační normou, která změnila způsob fungování firem. Jednalo se o právní předpis vydaný EU, nicméně organizace a firmy po celém světě si uvědomily rozsah této regulační normy a rozhodly se, že má smysl dodržovat GDPR, i když má společnost v EU jen minimální působnost.


V rámci GDPR bylo třeba zajistit soukromí, bezpečnost, ochranu a práva na úrovni uživatelů a zákazníků. Nařízení bylo navrženo tak, aby uživatelé měli větší kontrolu a přehled o údajích, které o nich společnosti shromažďují. Ačkoli od zavedení zákona uplynulo jen několik málo let, změnil se způsob, jakým organizace s údaji uživatelů nakládají.


Jsme přesvědčeni, že se objevil nový standard pro dodržování právních předpisů, který může mít stejně velký dopad jako GDPR, a přesto se o něm zatím diskutuje jen minimálně. Jedná se o směrnici NIS2, která navazuje na původní směrnicí NIS, a má dopad na mnohem širší okruh organizací.


NIS2 je novou směrnici o kybernetické bezpečnosti, jejímž cílem je zavést standardní hlášení incidentů, řízení rizik v oblasti kybernetické bezpečnosti a řízení rizik v dodavatelském řetězci, a ukládá vysoké pokuty za jejich nedodržování. Tam, kde GDPR usilovalo o zlepšení standardů ochrany soukromí a bezpečnosti na úrovni uživatelských údajů, se NIS2 snaží zlepšit standardy ochrany soukromí a bezpečnosti pro společnosti a organizace jako celek.


Přestože bude platit směrnice NIS2 až od podzimu 2024, je důležité, aby se na ni firmy připravily raději dříve než později, protože zajištění souladu s těmito předpisy může vyžadovat značné množství práce a nákladů, v závislosti na současných kontrolních mechanismech a strategii kybernetické bezpečnosti, které společnosti uplatňují. Pokud se firmy a organizace začnou zaměřovat na splnění souladu s NIS2 už nyní, získají dostatek času na její splnění a vyhnou se případným sankcím za její nesplnění.


V tomto článku se budeme zabývat nejčastějšími otázkami, které vás mohou v souvislosti s NIS2 napadnout.


NIS2 - často kladené otázky


Co je to směrnice NIS?

Nová směrnice Network and Information Security (NIS2) je celoevropským právním předpisem o kybernetické bezpečnosti a je rozšířenou podobou původní směrnice NIS.


NIS2 rozšiřuje okruh společností, na které se vztahuje. Zasahuje větší počet oblastí a definuje konkrétnější a přísnější požadavky na kybernetickou bezpečnost a řízení rizik, a zároveň zvyšuje pokuty a sankce za jejich nedodržení.


NIS2 od společností mimo jiné vyžaduje:

  • Řízení rizik v rámci svých sítí a informačních systémů.

  • Zavést minimální standard bezpečnostních opatření, která se týkají bezpečnosti dodavatelského řetězce, řízení zranitelností, hodnocení řízení rizik kybernetické bezpečnosti a dalších.

  • Zaměřit se více na řízení kritických rizik dodavatelského řetězce.

  • Vytvoření řídícího týmu, který dohlíží na opatření v oblasti kybernetické bezpečnosti, schvaluje je a je pro ně vyškolen.

  • Dodržovat konkrétní lhůtu pro reakci na incident, která se může pohybovat od 24 hodin do 72 hodin od zjištění incidentu, a vydat závěrečnou zprávu měsíc po podání oznámení o incidentu.


Plné znění NIS2 najdete v českém překladu zde, v anglickém originále zde.


Proč jsem ještě nikdy neslyšel o směrnici NIS1?

NIS1 (nebo jen NIS) byla původně přijata v roce 2016, ale počet organizací, na které se vztahovala, byl omezený. NIS měla také minimální možnosti vymáhání a mnohem méně přísné sankce za nedodržení předpisů.


Na koho bude mít NIS2 dopad?

Vzhledem k tomu, že NIS2 je směrnice EU, vztahuje se na všechny společnosti se sídlem v členském státě EU.


Nová směrnice se vztahuje na společnosti označené jako "Základní subjekty" a " Důležité subjekty". Ačkoli se hranice velikosti liší podle odvětví, mezi základní subjekty patří společnosti s 250 a více zaměstnanci, obratem 50 milionů EUR nebo rozvahou 43 milionů EUR. Mezi důležité subjekty patří společnosti s více než 50 zaměstnanci a ročním obratem nebo rozvahou 10 milionů EUR.


Příslušná odvětví v rámci "Základních subjektů" zahrnují:

  • Energie

  • Doprava

  • Bankovnictví a finanční trhy

  • Pitná voda a odpady

  • Digitální infrastruktura a správa ICT služeb, včetně poskytovatelů služeb cloud computingu

  • Veřejná správa

  • Vesmír


Příslušná odvětví v rámci "Důležitých subjektů" zahrnují:

  • Všechna odvětví v rámci základních subjektů, ale s limitem velikostí pro "Důležité subjekty".

  • Poštovní a kurýrní služby

  • Nakládání s odpady

  • Výroba, produkce a distribuce chemických látek

  • Výroba

  • Poskytovatelé digitálních služeb

  • Výzkumné organizace


Pokud subjekt nesplňuje tyto požadavky, ale je pro společnost nebo ekonomiku v členském státě "jediným poskytovatelem", může být označen jako základní nebo důležitý subjekt. Členské státy ovšem musí dokončit svůj seznam základních a významných subjektů do dubna 2025.


Jaké jsou hlavní rozdíly mezi NIS a NIS2?

Kromě toho, že nová směrnice výrazně rozšiřuje okruh společností, které musí splňovat požadavky NIS2, přináší také mnohem přísnější pokuty a podrobně popisuje přísnější pravidla a donucovací opatření, které mají mít regulační orgány k dispozici, aby zajistily dodržování požadavků směrnice NIS2.


Patří sem vyšetřovací a kontrolní pravomoci, jako jsou:

  • Kontroly na pracovišti

  • Bezpečnostní audity

  • Požadavky na další informace k posouzení opatření kybernetické bezpečnosti organizace.

  • Bezpečnostní skenování

  • Vyžádání důkazů a informací k posouzení politik pro řízení rizik a kybernetickou bezpečnost, vyžádání potřebných podkladů, dat, dokumentace a dalších informací.


Základní subjekty podléhají auditům a kontrolám prakticky kdykoli. Naproti tomu důležité subjekty mohou být kontrolovány až poté, co dojde k incidentu.


Mám se zajímat o NIS2, i když nepatřím do EU?

Předpokládá se, že dojde ke změnám směrnice NIS2, ale domníváme se, že se tato směrnice bude vztahovat na všechny společnosti podnikající v EU.


Jaké jsou pokuty nebo sankce, pokud se organizace nebude řídit směrnicí NIS2?

Organizacím, které směrnici NIS2 nebudou dodržovat, mohou být uloženy vysoké pokuty.

  • Základním subjektům hrozí až 10 milionů EUR nebo 2 % celosvětového obratu.

  • Důležitým subjektům hrozí až 7 milionů EUR nebo 1,4 % celosvětového obratu.


Pro všechny subjekty bude v případě vyměření pokuty použito vyšší číslo obou výše zmíněných. Organizacím, které nesplní stanovené požadavky, mohou být uloženy další nepeněžní sankce. Patří sem nařízení ke splnění požadavků, závazné pokyny, požadavky na oznamování a podávání zpráv dotčeným stranám, a implementační opatření, která mohou vyplynout ze zjištění bezpečnostního auditu.


Kdy bude směrnice NIS2 implementována?

NIS2 byla oficiálně zveřejněna 27. prosince 2022, a vstoupila v platnost 16. ledna 2023. Členské státy EU jsou povinny začlenit NIS2 do své legislativy do 18. října 2024. Dotčené organizace se musí touto směrnicí rovněž začít řídit nejpozději do 18. října 2024.


Jak se mohu ujistit, že dodržuji směrnici NIS2?

Přestože se v NIS2 stále provádějí změny, neočekáváme, že se toho příliš změní, a firmy by měly začít mobilizovat svá oddělení, aby byly schopny tuto novou směrnici splnit. Zde je několik doporučených kroků.

  • Identifikujte, které firemní složky, oddělení a dceřiné společnosti spadají do oblasti působnosti NIS2.

  • Zhodnoťte současný stav řízení rizik a kybernetické bezpečnosti ve vaší organizaci, a odhalte nedostatky, které je třeba odstranit, abyste dosáhli souladu s legislativními požadavky.

  • Projednejte s právním oddělením časový plán a strategii pro zajištění souladu s NIS2.

  • Kontaktujte svůj dodavatelský řetězec a nezávislé smluvní strany, abyste se ujistili, že i ony vědí o směrnici NIS2, a že budete muset spolupracovat na řešení nových požadavků na dodavatelský řetězec a řízení rizik třetích stran podle směrnice NIS2.

  • Spolupracujte s vedoucími oddělení a zainteresovanými osobami, abyste se ujistili, že se shodnou na strategii a mohou včas mobilizovat svá oddělení, systémy a zdroje.


Dodržování směrnice NIS2


Způsob, jakým organizace dosáhnou souladu se směrnicí NIS2, se bude lišit podle konkrétního prostředí, stávajících bezpečnostních opatření a zásad, a aktuální strategie řízení rizik. Pokud má organizace spolehlivou strategii kybernetické bezpečnosti a kybernetické odolnosti, může se stát, že nebude třeba měnit téměř nic. Pro menší organizace nebo oddělení s menšími zdroji však může jít o větší výzvu.


Analytická oddělení Bitdefenderu jsou neustále informována o všech nových regulačních rámcích a předpisech tak, aby naše řešení a dostupná partnerství pomohly zajistit soulad se směrnicí NIS2 s dostatečným předstihem.



Chcete-li se dozvědět více o tom, jak můžete svou organizaci připravit na splnění požadavků směrnice NIS2, spojte se s námi.



1 594 zobrazení0 komentářů

Comments


Commenting has been turned off.
bottom of page