NIS2 a Zákon o kybernetické bezpečnosti

Posílení kybernetické bezpečnosti v Evropě.

V době rostoucí digitální závislosti a zvyšujících se kybernetických hrozeb revidovala Evropská unie směrnici o bezpečnosti sítí a informací, čímž vznikla směrnice NIS2.

Tato směrnice, která se nejpozději do října 2024 stane součástí národních právních předpisů v celé Evropské unii, přináší společnostem a organizacím nová pravidla a požadavky. 

Co je NIS2?

Regulace NIS2 vznikla jako reakce Evropské unie na prohlubující se digitalizaci společnosti a s tím související rostoucí kybernetické hrozby v evropském prostoru. Navazuje na dosavadní rámec NIS (Network and Information Security), který byl přijat v roce 2016.

NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a představuje nové řešení pro posílení a zabezpečení evropského kyberprostoru. 

Česká republika má oproti některým členským státům výraznou výhodu, jelikož má implementovaný a kvalitně zpracovaný Zákon o kybernetické bezpečnosti (ZKB)

  • 17. října 2027
    • Každých 36 měsíců Komise přezkoumá fungování směrnice NIS2.
  • 17. dubna 2025
    • Členské státy vytvoří seznam základních a důležitých subjektů.
  • 18. října 2024
    • Směrnice NIS1 je s okamžitou platností zrušena.
  • 17. října 2024
    • Předpokládaná lhůta pro převedení směrnice NIS2 do vnitrostátního práva.
  • 28. listopadu 2022
    • Směrnice NIS2 přijata.
  • 16. prosince 2020
    • Směrnice NIS2 navržena Evropskou komisí.
  • 9. května 2018
    • Lhůta pro transpozici směrnice NIS1 do vnitrostátního práva členských států EU.
  • 6. července 2016
    • Přijetí směrnice NIS1.

Co je ZKB?

Smyslem Zákona o kybernetické bezpečnosti (ZKB) č. 181/2014 Sb. je zejména zvýšení bezpečnosti kybernetického prostoru a snaha státu ochránit tu část infrastruktury, jejíž narušení by vedlo k poškození či ohrožení zájmů České republiky. 

Změny, které směrnice NIS2 přináší, jsou zásadní a budou mít dopad i na společnosti, které dosavadním regulacím nepodléhaly. NÚKIB proto k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, které by měly být v roce 2024 schváleny.

Jaký je účel směrnice NIS2?

Cílem směrnice NIS2 je harmonizovat a posílit kybernetickou bezpečnost členských států napříč odvětvími a klíčovými podniky EU.

Přináší přísnější normy na nakládání s kybernetickou a informační bezpečností a požadavky na hlášení incidentů pro střední a velké organizace, které tvoří páteř společnosti. Jakékoli narušení činnosti těchto organizací může mít závažné důsledky na celém vnitřním trhu, včetně významného dopadu na hospodářství a veřejné zdraví. Údržba jejich sítí a bezpečnosti informací je proto nezbytná pro normální fungování společnosti a ekonomiky. 

Na koho se směrnice vztahuje?

NIS2 podléhají podniky, které v rámci Evropské unie poskytují služby uvedené v přílohách I. a II. této směrnice. Podle nových pravidel jsou dotčené subjekty pod dohledem především jurisdikce členského státu, v němž mají své sídlo. Má-li subjekt provozovny ve více než jednom členském státě, měl by přijmout jurisdikci všech dotčených členských států a tyto státy by měly jednat koordinovaně, zejména pokud jsou nezbytná společná opatření v oblasti dohledu.

Směrnice se obecně vztahuje na střední a velké organizace, tj. subjekty s 50 a více zaměstnanci a ročním obratem vyšším než 10 milionů EUR (cca 250 milionů CZK).

Významně je oproti starší směrnici NIS rozšířen počet zahrnutých služeb a odvětví. Zhruba 60 služeb v 18 odvětvích je rozděleno do kategorií:

    • Vysoce kritická odvětví
    • Další kritická odvětví

Organizace budou kategorizovány jako "základní" nebo "důležité" na základě faktorů jako je velikost a míra kritické důležitosti.

Odhadem se bude v ČR jednat o více než 6000 podniků.


Výjimky

Mikropodniky a malé podniky nejsou obecně touto směrnicí ovlivněny. Existují však určité výjimky, kdy jsou požadavky na velikost a obrat upozaděny:

  • povaha činností subjektu je kritická;
  • organizace je jediným poskytovatelem dané služby v členském státě;
  • narušení služby poskytované subjektem by mohlo vést k významnému riziku s přeshraničním dopadem.

NIS2 se zaměřuje na celý dodavatelský řetězec. Nová směrnice se dotkne i organizací, které samy o sobě nelze označit za základní, ale které se základními subjekty obchodují. V důsledku toho se povinnosti vyplývající ze směrnice NIS2 mohou dotknout i malých dodavatelů.

* Překrývání se zákonem o digitální provozní odolnosti (DORA) 

Evropská komise vydala v zájmu zajištění harmonického provádění pokyny, které objasňují vynětí subjektů, na něž se vztahují odvětvové právní akty, ze směrnice NIS2. V těchto pokynech se výslovně uvádí, že směrnice DORA má přednost před ustanoveními směrnice NIS2 týkajícími se řízení rizik v oblasti IKT, hlášení kybernetických incidentů, testování digitální provozní odolnosti, sdílení informací, rizik třetích stran v oblasti IKT, dohledu a prosazování.

Směrnice DORA obsahuje ustanovení známé jako "lex specialis", které jí dává přednost před směrnicí NIS2, jež je považována za obecný zákon. Toto ustanovení zajišťuje, že v případě jakýchkoli rozporů nebo překrývání obou směrnic má přednost směrnice DORA. Ustanovení "lex specialis" ve směrnici DORA pomáhá předcházet zmatkům a nejasnostem v regulačním prostředí.

Jak se NIS2 dotýká vaší organizace?

Pokud se na vás vztahuje NIS2, musíte zavést odpovídající technická, provozní a organizační opatření k řízení rizik a k prevenci nebo minimalizaci dopadu incidentů spojených se systémy podporujícími společensky kritické služby. 

Celkově musí organizace zavést účinné postupy pro řízení rizik, řízení incidentů, řízení dodavatelů a zapojení vedení s managementem. 

Tato opatření musí být založena na rizikově orientovaném přístupu, jehož cílem je chránit síť a informační systémy, jakož i fyzické prostředí těchto systémů před incidenty, a musí zahrnovat alespoň následující:

Řešení incidentů
Řízení kontinuity provozu
Analýza rizik
Zveřejňování zranitelností a jejich řešení
Kryptografie
Bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv
Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů
Bezpečnost dodavatelského řetězce
Posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik
Kybernetická hygiena a školení kybernetické bezpečnosti

Jaké jsou důsledky neplnění požadavků NIS2?

Dotčené subjekty mohou očekávat, že příslušné vnitrostátní orgány budou provádět dohled prostřednictvím auditů, kontrol na místě a žádostí o předložení dokladů o dodržování NIS2. U základních subjektů bude prováděn proaktivní dohled, zatímco u důležitých subjektů bude v případě výskytu incidentu nadále prováděn následný dohled. 

Pokud subjekt nesplní požadavky NIS2, mohou mu orgány uložit správní pokuty, přičemž základním subjektům hrozí pokuta v maximální výši až 10 milionů EUR nebo nejméně 2 % celkového celosvětového ročního obratu za předchozí účetní rok. 

Důležité subjekty mohou obdržet pokutu až 7 milionů EUR nebo alespoň 1,4 % celkového celosvětového ročního obratu v předchozím účetním období.

Mimo jiné může být management veden k odpovědnosti za nedostatky. Mohou být uloženy sankce v podobě dočasného zákazu výkonu řídících funkcí nebo dočasného pozastavení poskytování služeb.

Nicméně hlavním strašákem pro firmy by neměly být pokuty a sankce, ale riziko, že jejich společnost bude reálně napadena s přímým negativním dopadem na jejich business. 

Jak vám může společnost BDO pomoci?

Naši odborníci na kybernetickou bezpečnost vám nejen pomohou s dosažením souladu se standardem NIS2, ale také vám umožní využít tuto situaci k posílení vaší celkové bezpečnosti a odolnosti.

Nejste si jisti, jak jste připraveni na implementaci nové regulace NIS2 a v jakých oblastech budete potřebovat investovat do opatření pro splnění těchto požadavků? Pak právě GAP analýza je tou pravou volbou, kde začít 

Primárním cílem GAP analýzy je posoudit již existující procesy, aplikace a personální kapacity v konfrontaci požadavků, které stanovuje a požaduje NZKBNaši odborníci formou workshopů a hodnocením již existující dokumentace zjistí úroveň Vaší kybernetické bezpečnosti a identifikují slabá místa a příležitosti pro zlepšení. Naše zkušenosti vychází z mnohaleté praxe a zkušeností z kontrol realizovaných NÚKIB.  

Jak taková GAP analýza v praxi probíhá: 

  1. Naši odborníci zhodnotí bezpečnostní dokumentaci a míru její shody s požadavky stanovenými v NIS2. 

  1. Na navazujících workshopech představíme prvotní závěry, které budou konfrontovány s praktickým řízením kybernetické bezpečnosti Vaší společnosti. 

  1. Zpracujeme výslednou GAP analýzu, která bude odrážet aktuální stav kybernetické bezpečnosti vůči požadavkům NIS2.  

Na základě provedené GAP analýzy byly identifikovány oblasti, kde je potřeba dosáhnout souladu s požadavky NIS2. Nyní je nutné sestavit si implementační plán identifikovaných opatření, kde budou jasně definovány termíny a odpovědné osoby. Tak, aby implementace probíhala plynule a vše se stihlo do 1 roku (implementační lhůta stanovena zákonem o kybernetické bezpečnosti), Vám můžeme poskytnout odborné konzultace či technický dozorA s čím Vám může náš tým odborníků pomoci, jedná se např. o oblasti: 

  • Řízení kybernetických rizik společnosti; 

  • Řízení rizik třetích stran; 

  • Hlášení bezpečnostních incidentů a analýza hrozeb; 

  • Skenování zranitelností nebo penetrační testy; 

  • Zvyšování povědomí v oblasti kybernetické bezpečnosti, formu školení, či sociálního inženýrství; 

  • Testování plánu kontinuity podnikání (BCP). 

Cílem není generovat vysoké náklady, které by nepřinesločekávaný efekt, ale připravit Vám ekonomická řešení, které Vám pomůžou max. zvýšit bezpečnost a chránit svá aktiva. Díky mnohaletým zkušenostem z praxe a různých odvětví jsme schopni navrhnout optimální a praktická řešení 


Zjistěte, jestli máte bezpečnost pod kontrolou a splňujete všechny regulatorní požadavky vyžadované NIS2 nebo zákonem o kybernetické bezpečnosti. Prostřednictvím auditu shody získáte ucelený a nezávislí pohled na stav kybernetické bezpečnosti ve Vaší společnosti.  

Na základě výsledků auditu shody budete moci identifikovat slabá místa v systému a přijmout tak vhodná procesní, organizační a technická opatření, která sníží rizika bezpečnostního incidentu, ale tyto mohou napomoci i zefektivnění procesu. Zároveň je vhodné obdobné přezkoumání provádět v pravidelných intervalech (min. 1x ročně) nebo při zásadních změnách v systému řízení (např. přechod na jiný informační systém) tak, aby nastavení i nadále odpovídalo regulatorním požadavkům a Vy jste se tak bezpečně posouvali v rámci Vašeho podnikání.  

V první fázi je vhodné zaměřit se na audit shody, abyste zjistili úroveň shody s regulatorními požadavky a slabá místa v systému bezpečnosti. Po implementaci doporučení z tohoto auditu je pak nutné zaměřit se na technické oblasti analýzy, např. testy zranitelností, penetrační testování atd. A v neposlední řadě bude nutné zaměřit se na audity u Vašich dodavatelů, tj. 3rd party assessment 

V čem Vám může audit zaměření na oblast kyberbezpečnosti pomoci? 

  • Identifikace rizikových oblastí Vaší společnosti; 

  • Ohodnocení hrozeb a zranitelností; 

  • Vyhodnocení stavu a návrh vhodných opatření. 

Zákon o kybernetické bezpečnosti klade velký důraz na vytvoření a zabezpečení rolí, které budou zajišťovat a ověřovat nastavení systému kybernetické bezpečnosti v organizaci. My Vám pomůžeme tyto požadavky splnit. Outsourcujte bezpečnostní role a vložte svou bezpečnost do rukou odborníků. 


Role v systému řízení kybernetické bezpečnosti: 

  • Manažer kybernetické bezpečnosti – je osoba, odpovědná za systém řízení bezpečnosti informací. Manažer kybernetické bezpečnosti je zodpovědný za pravidelné informování vrcholového vedení o činnostech, které vyplývají z rozsahu jeho odpovědnosti a stavu systému řízení informační bezpečnosti. 

  • Architekt kybernetické bezpečnosti – je osoba zajišťující návrh implementace bezpečnostních opatření (pro zajištění bezpečné architektury informačního a komunikačního systému). Architekt je odpovědný za návrh implementace bezpečné architektury (např. odinfrastruktury až po bezpečnost na aplikační úrovni). 

  • Auditor kybernetické bezpečnosti – je osoba, provádějící audit kybernetické bezpečnosti. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu jiných bezpečnostních rolí. 


Zajišťujeme outsourcing systémových rolí. A co Vám spolupráce s našimi odborníky přinese: 

  • Flexibilní komunikace dle potřeb zákazníka a řešení jeho aktuálních potřeb. 

  • Poskytujeme nezávislost a odbornost. Naši odborníci Vám s potřebným nadhledem aodbornými zkušenostmi z praxe poradí nejvhodnější řešení a způsob implementace. 

  • Nemusíte řešit zastupitelnost, investici do vzdělání a dostupnost pracovníka, a tím šetříte naosobních nákladech společnosti.  

  • Náš tým odborníků zajistí pokrytí kompletní oblasti kybernetické bezpečnosti a v důsledku toho dochází k efektivnější plánování a koordinaci úrovně bezpečnosti organizace. 

  • Spolupráce s dozorovým úřadem pro hlášení bezpečnostních incidentů. 

  • Pravidelně monitorujeme soulad s legislativou. 

  • Zvyšujeme povědomí o kybernetické bezpečnosti a aktuálních rizicích pro společnost. 

Regulace NIS2 a následně i navazující zákon o kybernetické bezpečnosti kopírují trend, který definovala ENISA (Agentura Evropské Unie pro kybernetickou bezpečnost), která stanovila TOP 10 hlavních kybernetických hrozeb pro rok 2030 a hned první místo zabírá kompromitace dodavatelského řetězce. Je tedy patrné, že do budoucna nebude stačit sledovat pouze úroveň kybernetické bezpečnosti v rámci vlastní organizace, ale už nyní je potřeba soustředit se i na dodavatele, se kterými společnost spolupracuje.  

Největší změnou v rámci nové regulace, jak už bylo zmíněno, je tedy povinnost řídit celý dodavatelský řetězec. Tato povinnost se bude týkat subjektů ve vyšším režimu plnění povinností a zároveň by se měla týkat pouze dodávek do stanovených částí významné a kritické infrastruktury. Jak se tedy připravit na tuto novou povinnost? Naši odborníci Vám pomůžou: 

  • Přípravou metodiky pro výběr významných dodavatelů; 

  • Identifikací rizikových dodavatelů; 

  • Zhodnocením stavu jejich kybernetické bezpečnosti; 

  • Nastavením minimálních potřebných limitů pro splnění kategorie „bezpečného dodavatele“; 

  • Pravidelným hodnocením dodavatelů; 

  • Nezávislým auditem třetích stran na základě mezinárodních standardů (SOC2, SOC for Cyber).  


Hlavní kontaktní osoby

Články týkající se Digital