Co je NIS2 a nový zákon o kybernetické bezpečnosti

NIS2 navazuje na původní směrnici z roku 2016 a reaguje na nové sofistikovanější kybernetické hrozby. Hlavní rozdíly jsou:

• Rozšířený rozsah: NIS2 dramaticky rozšiřuje okruh regulovaných subjektů o další odvětví (např. e-commerce, odpady, výroba) a veřejnou správu.
• Zpřísnění požadavků: Kladou se vyšší nároky na řízení rizik a povinné bezpečnostní prvky.
• Dodavatelský řetězec: Klade se důraz na bezpečnost v celém dodavatelském řetězci – subjekty musí zajistit, že požadavky splňují i jejich klíčoví dodavatelé a poskytovatelé služeb.

Česká transpozice ve formě nového ZoKB je účinná od 1. listopadu 2025.

V době, kdy jsou data a IT systémy zásadní pro fungování každé organizace, je kybernetická bezpečnost nezbytností.

Důvody, proč byste se o NIS2 a nový ZoKB měli aktivně zajímat:

• Vyhnete se pokutám: Nedodržení nového zákona o kybernetické bezpečnosti může znamenat pokutu až 10 mil. eur nebo 2 % z obratu.
• Zajistíte odolnost proti útokům: Implementace opatření nového ZoKB nemají zajistit, že se útok nikdy nestane, ale zásadně posílí schopnost vaší organizace útok přežít. Zaměříte se na minimalizaci škod a rychlé obnovení provozu po ransomwaru a dalších hrozbách.
• Posílíte digitální odolnost a důvěru: Díky ZoKB zvýšíte odolnost vůči výpadkům a ztrátám dat. Dodržování přísných pravidel kybernetické bezpečnosti také prokazuje partnerům a zákazníkům, že ochranu dat berete vážně.

Nový zákon o kybernetické bezpečnosti se vztahuje na poskytovatele tzv. regulovaných služeb.

Jejich přehled uvádí Vyhláška o regulovaných službách, která nový ZoKB doplňuje.

Do této skupiny patří například energetika, doprava, zdravotnictví, bankovnictví, digitální služby a další kritické sektory.

Při posuzování, zda se zákon vztahuje i na vaši organizaci, se navíc zohledňuje velikost podniku – tedy počet zaměstnanců, roční obrat nebo bilanční suma rozvahy.

Nový zákon přináší řadu povinností. Důležité je, že se jejich rozsah liší podle toho, zda organizace spadá do tzv. vyššího, nebo nižšího režimu povinností. Toto rozdělení určuje Vyhláška o regulovaných službách.

Mezi další požadavky patří například:

• Organizace spadající pod nový zákon o kybernetické bezpečnosti musí nahlásit poskytování regulované služby a předat kontaktní údaje NÚKIB.
• Mít strategii kybernetické bezpečnosti s plánem ochrany dat a systémů.
• Pravidelně vyhodnocovat rizika kybernetických útoků a přijímat preventivní opatření.
• Pravidelně zálohovat důležitá data.
• Zavést silná hesla a vícefaktorovou autentizaci.
• Pravidelně instalovat bezpečnostní aktualizace.
• Kybernetické útoky a incidenty neprodleně hlásit NÚKIB.

Důležité: Rozsah povinností se liší podle toho, do jakého režimu povinností organizace spadá.

Nedodržení požadavků zákona o kybernetické bezpečnosti se nevyplácí. NÚKIB může uložit poměrně vysoké pokuty, a to až do výše 250 mil. Kč nebo 2 % z čistého celosvětového ročního obratu organizace – podle toho, která částka je vyšší.

Další sankce:

Kromě pokut může NÚKIB uložit i další sankce, zejména poskytovatelům regulovaných služeb v režimu vyšších povinností:

• Pozastavení platnosti certifikace: NÚKIB může dočasně pozastavit platnost certifikace, kterou organizace získala jako doklad souladu se novým ZoKB.
• Dočasný zákaz výkonu funkce člena statutárního orgánu: V krajních případech může NÚKIB uložit.

Další informace lze nalézt na oficiálních stránkách Evropské komise, NÚKIB a odborných organizací zaměřených na kybernetickou bezpečnost.

• Oficiální stránky Evropské komise: Na stránkách Evropské komise najdete kompletní znění směrnice NIS2, průvodce k její implementaci a další důležité dokumenty.
• Web NÚKIB: Národní úřad pro kybernetickou a informační bezpečnost je hlavním orgánem kybernetické bezpečnosti v ČR. Na jeho webu jsou informace o novém ZoKB, metodiky, vzory dokumentů i časté dotazy.
• Odborné organizace: Existují odborné organizace, které se kybernetickou bezpečností zabývají a poskytují informace, školení a konzultace k NIS2 a novému ZoKB. EY nabízí širokou škálu služeb v oblasti kybernetické bezpečnosti, včetně pomoci s implementací NIS2 a nového ZoKB, řízení rizik, ochrany dat a reakce na incidenty.
• Odborné konference a semináře: Účast na odborných konferencích a seminářích přináší aktuální informace o NIS2 a novém ZoKB a příležitost setkat se s odborníky na kybernetickou bezpečnost. EY pravidelně pořádá akce zaměřené na nejnovější trendy a osvědčené postupy v této oblasti.

Společnost EY vám může nabídnout následující služby:

• Hodnocení rizik: EY provádí komplexní analýzu rizik a identifikuje slabá místa v IT a síťové infrastruktuře, včetně doporučení k jejich odstranění.
• Hodnocení souladu: Posuzujeme, jak vaše organizace splňuje požadavky NIS2 a nového ZoKB a navrhujeme konkrétní kroky ke zlepšení.
• Plánování reakce na incidenty: Pomáháme připravit efektivní plán reakce na kybernetické incidenty podle požadavků legislativy.
• Testování bezpečnosti: Provádíme testování a simulace útoků k ověření účinnosti vašich bezpečnostních opatření.
• Školení a osvěta: Školíme zaměstnance a vedení v oblasti kybernetické bezpečnosti a zvyšujeme povědomí o hrozbách.
• Řízení rizik třetích stran: Pomáháme řídit rizika dodavatelů, nastavujeme metodiku auditů a zajišťujeme jejich provedení.
• Právní poradenství: Poskytujeme právní podporu v oblasti NIS2 a nového ZoKB – od registrace služeb po smluvní a compliance agendu.