Co je NIS2 a zákon o kybernetické bezpečnosti

NIS2 je "upgrade" původní směrnice NIS z roku 2016. Svět kybernetické bezpečnosti se za tu dobu hodně změnil, a proto bylo potřeba pravidla aktualizovat a zpřísnit. NIS2 se vztahuje na mnohem širší okruh subjektů než původní směrnice. Zahrnuje nejen poskytovatele základních služeb (energie, doprava, zdravotnictví atd.), ale i subjekty v odvětvích jako je výroba, poštovní služby, správa odpadních vod a digitální služby. Nově se pravidla vztahují i na státní správu a samosprávu. NIS2 zdůrazňuje důležitost bezpečnosti v celém dodavatelském řetězci. Organizace musí zajistit, aby i jejich dodavatelé splňovali požadavky na kybernetickou bezpečnost.

Členské státy měly povinnost transponovat NIS2 do svých národních právních řádů do 17. října 2024. Česká transpozice směrnice ve formě nového zákona o kybernetické bezpečnosti se nyní nachází ve schvalovacím řízení. Očekávaný termín účinnosti nového ZoKB je podzim roku 2025.

V dnešní době, kdy jsou data a informační systémy naprosto klíčové pro fungování každé organizace, je kybernetická bezpečnost absolutní nutností. A právě NIS2 a nový zákon o kybernetické bezpečnosti nám ukazují cestu, jak se v tomto digitálním světě efektivně chránit.

Zde je několik důvodů, proč byste se o NIS2 a ZoKB měli zajímat:

• Vyhnete se pokutám: Nedodržení ZoKB, který zavádí požadavky NIS2 do českého práva, může mít nepříjemné důsledky. Hrozí vám pokuty, které můžou dosáhnout až 10 milionů EUR nebo 2 % z celosvětového obratu.

• Ochrana před útoky: Kybernetické útoky jsou čím dál sofistikovanější a častější. NIS2 a ZoKB vám poskytnou návod, jak se bránit proti útokům hackerů, ransomwaru, phishingu a dalším hrozbám. Dodržování těchto pravidel vám pomůže minimalizovat riziko úspěšného útoku a ochránit vaše data i reputaci.

• Zvýšíte důvěru zákazníků: V dnešní době si zákazníci pečlivě vybírají, komu svěří své osobní údaje. Dodržování zásad kybernetické bezpečnosti a implementace NIS2 a ZoKB vám pomůže vybudovat si důvěru zákazníků a ukázat jim, že berete ochranu jejich dat vážně.

• Zlepšíte odolnost organizace: Kybernetický útok může mít zásadní dopad na fungování vaší organizace. Může vést k výpadkům systémů, ztrátě dat, finančním ztrátám a poškození reputace. Implementace NIS2 a ZoKB vám pomůže posílit celkovou odolnost vaší organizace vůči těmto incidentům a minimalizovat jejich negativní dopady.

• Získáte konkurenční výhodu: V mnoha odvětvích se stává kybernetická bezpečnost klíčovým faktorem při výběru dodavatelů. Dodržování NIS2 a ZoKB vám může poskytnout konkurenční výhodu a otevřít dveře k novým obchodním příležitostem.

Je důležité si uvědomit, že kybernetická bezpečnost není jen o technologii, ale i o lidech a procesech. NIS2 a ZoKB vám pomohou vytvořit komplexní systém kybernetické bezpečnosti, který bude chránit vaši organizaci před rostoucími hrozbami v digitálním světě.

Na koho se bude nový ZoKB implementující požadavky NIS2 vztahovat?

Nový ZoKB se bude vztahovat na poskytovatele tzv. regulované služby. Seznam těchto služeb je uveden v návrhu Vyhlášky o regulovaných službách, která ZoKB doplní. Mezi regulované služby budou spadat například energetika, doprava, zdravotnictví, bankovnictví, digitální služby a další kritické sektory. Dalším kritériem pro posouzení, zda se ZoKB bude vztahovat na danou organizaci, je velikost podniku.

Nový zákon o kybernetické bezpečnosti přináší řadu povinností pro organizace, které spadají do jeho působnosti. Důležité je, že rozsah těchto povinností se liší podle toho, zda organizace spadá do tzv. vyššího, nebo nižšího režimu povinností. Toto rozdělení určuje Vyhláška o regulovaných službách.

Mezi další požadavky patří například:

• Ohlásit se NÚKIB: Každá organizace, na kterou se ZoKB vztahuje, musí ohlásit poskytování regulované služby Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a sdělit mu kontaktní údaje. 

• Vypracovat strategii: Organizace musí mít strategii kybernetické bezpečnosti, která zahrnuje plán, jak chránit svá data a systémy. 

• Hodnotit rizika: Organizace musí pravidelně vyhodnocovat rizika kybernetických útoků a přijímat opatření k jejich minimalizaci. Například: 

• Zálohovat data: Pravidelně zálohovat důležitá data.

• Používat silná hesla: Používat silná hesla a vícefaktorovou autentizaci.

• Aktualizovat software: Pravidelně instalovat bezpečnostní aktualizace.

• Hlásit incidenty: V případě kybernetického útoku je organizace povinna ho ohlásit NÚKIB.

Důležité: Rozsah povinností se liší podle toho, do jakého režimu povinností organizace spadá.

Nedodržení požadavků zákona o kybernetické bezpečnosti se nevyplácí. NÚKIB může uložit poměrně vysoké pokuty, a to až do výše 250 milionů Kč nebo 2 % z čistého celosvětového ročního obratu organizace – podle toho, která částka je vyšší.

Další sankce:

Kromě pokut může NÚKIB uložit i další sankce, zejména poskytovatelům regulovaných služeb v režimu vyšších povinností:

• Pozastavení platnosti certifikace: NÚKIB může dočasně pozastavit platnost certifikace, kterou organizace získala pro prokazování souladu se ZoKB.

• Dočasný zákaz výkonu funkce člena statutárního orgánu: V krajních případech může NÚKIB uložit dočasný zákaz výkonu funkce člena statutárního orgánu organizace (například člena představenstva).

Další informace lze nalézt na oficiálních stránkách Evropské komise, NÚKIB a odborných organizací zaměřených na kybernetickou bezpečnost.

• Oficiální stránky Evropské komise: Na stránkách Evropské komise najdete kompletní znění směrnice NIS2, průvodce k její implementaci a další důležité dokumenty.

• Web NÚKIB: Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) je hlavním orgánem pro kybernetickou bezpečnost v České republice. Na jeho webu najdete informace o ZoKB, metodiky, vzory dokumentů, často kladené dotazy a mnoho dalšího.

• Odborné organizace: Existuje řada odborných organizací, které se zabývají kybernetickou bezpečností a poskytují informace, školení a konzultace k NIS2 a ZoKB. EY nabízí širokou škálu služeb v oblasti kybernetické bezpečnosti, včetně pomoci s implementací NIS2 a ZoKB, řízení rizik, ochrany dat a reakce na incidenty.

• Odborné konference a semináře: Účast na odborných konferencích a seminářích vám umožní získat aktuální informace o NIS2 a ZoKB a setkat se s experty v oblasti kybernetické bezpečnosti. EY pořádá řadu takových akcí, kde se můžete dozvědět více o nejnovějších trendech a nejlepších praxích v oblasti kybernetické bezpečnosti.

Společnost EY vám může nabídnout následující služby:

• Hodnocení rizik: Provádíme komplexní posouzení rizik, abychom identifikovali potenciální slabá místa ve vaší interní síti a informačních a telekomunikačních systémech. Poté poskytujeme doporučení pro úspěšné pokrytí identifikovaných rizik.

• Hodnocení souladu: Zhodnotíme, do jaké míry vaše organizace splňuje požadavky směrnice NIS2 a ZoKB a nabídneme doporučení, jaké oblasti je třeba zlepšit.

• Plánování reakce na incidenty: Pomůžeme vám vypracovat efektivní plán reakce na kybernetické incidenty, který odpovídá požadavkům NIS2 a ZoKB.

• Testování kybernetické bezpečnosti: Provedeme testování vaší kybernetické bezpečnosti, abychom zhodnotili účinnost vašich bezpečnostních opatření a identifikovali případná slabá místa, u kterých je potřeba zajistit nápravná opatření.

• Školení a osvěta v oblasti kybernetické bezpečnosti: Poskytneme vašim zaměstnancům školení a osvětu zaměřenou na zajištění kybernetické bezpečnosti vašich informačních systémů.

• Řízení rizik spojených s třetími stranami: Pomůžeme vám řídit rizika spojená s vašimi dodavateli a poskytovateli služeb, společně s vámi připravíme metodiku pro provádění zákaznických auditů a následně vám pomůžeme i s auditem samotným.
• Právní poradenství: Nabízíme komplexní právní poradenství v oblasti kyberbezpečnosti, které zahrnuje široké spektrum služeb, včetně asistence při samoidentifikaci regulovaných služeb a registračním procesu, analýzu rizik v rámci smluvní dokumentace s dodavateli, školení a vzdělávání statutárních orgánů a zaměstnanců, a také zastupování v řízeních před orgány veřejné správy, včetně řízení o přestupcích.