Kybernetická bezpečnost a NIS2
zdroj: Systemonline.cz
autoři: Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D., Mgr. Michaela Holíková
Kybernetická bezpečnost je pro firmy a organizace klíčovou oblastí, kterou v dnešní digitalizované době nelze opomíjet. S evropskou směrnicí NIS2 (zkratka z anglického Network and Information Security) přicházejí rozsáhlejší a přísnější požadavky na zajištění kybernetické bezpečnosti. V následujícím článku se společně podíváme na požadavky směrnice NIS2 a návrhu nového zákona o kybernetické bezpečnosti, identifikujeme povinnosti, se kterými neotálet, a vysvětlíme si, proč je důležité s implementací nečekat až na poslední chvíli.
NIS2 v kontextu kybernetické bezpečnosti
Směrnice NIS2 představuje rozšířenou verzi původní směrnice NIS, která platila od roku 2016 pro specificky určený okruh povinných subjektů. Hlavním důvodem této aktualizace je rostoucí počet hrozeb v kybernetickém prostoru a potřeba zavést jednotná pravidla pro zajištění kybernetické bezpečnosti ve vybraných sektorech napříč Evropskou unií.
Mezi klíčové změny patří:
- Rozšíření okruhu regulovaných subjektů – Směrnice NIS2 se týká nejen poskytovatelů kritické infrastruktury a jejich dodavatelů, ale i mnoha soukromých společností v různých odvětvích, jako jsou finance, energetika, zdravotnictví či digitální služby.
- Posílení odpovědnosti managementu – Vrcholové vedení firem je nyní přímo odpovědné za zajištění dostatečných zdrojů pro implementaci a rozvoj bezpečnostních opatření v rámci organizace.
- Povinnost hlásit kybernetické incidenty – Organizace musí ve stanovené lhůtě oznámit kybernetický incident příslušným úřadům s cílem umožnit rychlou a koordinovanou reakci na bezpečnostní incidenty v kybernetickém prostoru Evropské unie.
Neplnění těchto požadavků může vést k vysokým pokutám, k narušení reputace firmy a ohrožení důvěry zákazníků.
Zákonné povinnosti vs. bezpečnostní opatření
V kontextu zajištění souladu s novou regulací kybernetické bezpečnosti je důležité rozlišovat mezi formálními povinnostmi, které bude ukládat nový zákon o kybernetické bezpečnosti, a konkrétními bezpečnostními opatřeními, která musí organizace zavést s cílem zajistit odpovídající stav kybernetické bezpečnosti.
Samotný rámec bezpečnostních opatření k řízení kybernetické bezpečnosti předepsaný směrnicí NIS2 vychází z uznávaných mezinárodních standardů, jako je ISO 27001 nebo NIST 800-53. To znamená, že společnosti, které mají zavedený systém řízení kybernetické bezpečnosti v souladu s některým z uznávaných mezinárodních standardů, nebudou se zaváděním těchto požadavků začínat úplně od nuly. Nicméně z právního pohledu je důležité upozornit na zmíněné zákonné povinnosti, na které se někdy v kontextu orientace na bezpečnostní opatření zapomíná.
Sebeidentifikace
Mezi zákonné povinnosti patří na prvním místě tzv. sebeidentifikace neboli vyhodnocení toho, zdali bude organizace poskytovat nějakou z vyjmenovaných regulovaných služeb a jestli splní kritérium velikosti pro to, aby mohla být považována za poskytovatele regulované služby.
V případě kladného vyhodnocení je subjekt povinen ve stanovené lhůtě, která začíná běžet účinností nového zákona o kybernetické bezpečnosti, tuto skutečnost oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (dále „NÚKIB“) prostřednictvím webového formuláře dostupného na webových stránkách NÚKIB.
O tom, zda vaše organizace poskytuje regulovanou službu ve smyslu nového zákona o kybernetické bezpečnosti, následně rozhodne NÚKIB vydáním správního rozhodnutí. Od tohoto okamžiku začíná běžet roční lhůta k implementaci bezpečnostních opatření. Ta jsou upřesněna v prováděcích vyhláškách. Bezpečnostní opatření pro poskytovatele digitální infrastruktury a služeb, mezi které mimo jiné patří poskytovatelé cloud computingu, poskytovatelé řízené služby a poskytovatelé řízené bezpečnostní služby, jsou stanovena prováděcím nařízením Evropské komise.
Ruku v ruce s procesem sebeidentifikace by měla proběhnout také interní diskuse o tom, kdo bude v rámci organizace pověřenou osobou ohledně komunikace s NÚKIB. Pověřená osoba má na starost oznámení ohledně poskytování regulované služby, ale třeba i budoucí komunikaci ohledně řešení bezpečnostního incidentu.
Určení stanoveného rozsahu
Zákonnou povinností navazující na sebeidentifikaci je určení stanoveného rozsahu. Připravovaná právní úprava počítá s tím, že organizace může poskytovat různé služby a činnosti, ale ne všechny budou relevantní z pohledu nové regulace kybernetické bezpečnosti. Určení stanoveného rozsahu slouží k ohraničení toho, které služby budou podléhat nové regulaci kybernetické bezpečnosti a které budou vyjmuty.
V případě, že organizace neprovede určení stanoveného rozsahu, návrh nového zákona o kybernetické bezpečnosti zavádí nevyvratitelnou právní domněnku, že do stanoveného rozsahu regulované služby spadají veškeré činnosti a služby poskytované organizací. To má následně dopad na rozsah zavádění bezpečnostních opatření a také na rozsah případného dozorového auditu ze strany NÚKIB.
Hlášení bezpečnostních incidentů
Další důležitou povinností je už zmíněné hlášení bezpečnostních incidentů. Nově bude nutné nahlásit základní informace o kybernetickém bezpečnostním incidentu na NÚKIB, resp. národnímu CERT, nejpozději do 24 hodin.
Bezpečnostní opatření
Určení poskytovatelé regulované služby mají roční lhůtu na implementaci předepsaných bezpečnostních opatření. Tato lhůta začíná běžet od doručení rozhodnutí NÚKIB o určení organizace jako poskytovatele regulované služby. Jak ale zjistit, která bezpečnostní opatření mají být ve vaší organizaci zavedena?
Česká republika využila možnost směrnice NIS2 a rozlišila bezpečnostní opatření pro poskytovatele v nižším a vyšším režimu. Závazné určení režimu NÚKIB uvede v rozhodnutí o určení poskytovatele regulované služby, ale organizace si režim mohou předběžně určit samy.
Vedle prováděcích vyhlášek je důležitá i zvláštní úprava bezpečnostních opatření a hlášení incidentů pro poskytovatele digitální infrastruktury a služeb. Tyto subjekty často působí přeshraničně, a proto Evropská komise sjednotila požadavky ve všech členských státech.
Jak na efektivní implementaci?
Implementace směrnice NIS2 není jen splněním legislativy, ale klíčovým krokem k ochraně podnikání v digitální době. Rostoucí kybernetické hrozby a sofistikované útoky ukazují, že bezpečnost už nemůže být vedlejší téma. Naopak musí být součástí strategie a denního provozu. Směrnice NIS2 stanovuje jasná pravidla, která firmám pomáhají zlepšit kybernetickou bezpečnost a připravenost na útoky.
Implementace požadavků směrnice NIS2 představuje pro organizace technickou i strategickou výzvu. Zvládnutí souladu se všemi předepsanými povinnostmi je dobré vhodně rozplánovat a rozložit. A to jak z pohledu lidských a dodavatelských kapacit, tak z pohledu plánování potřebných financí. V neposlední řadě je nutné dobře nastavit proces zapojení členů vrcholného vedení.
Management hraje v procesu implementace bezpečnostních požadavků klíčovou roli. Vedení musí být aktivním účastníkem bezpečnostní strategie, podporovat investice do technologií, školení zaměstnanců a neustálé zlepšování bezpečnostních opatření. Nedostatečná reakce na požadavky nové bezpečnostní regulace může vést nejen k vysokým pokutám, ale především k vážným bezpečnostním incidentům. Ty mohou poškodit reputaci firmy i její provozní kontinuitu. Klíčové je proto vnímat NIS2 jako příležitost ke zlepšení celkové bezpečnostní kultury, nikoli jen jako administrativní povinnost.
Závěrem zbývá zdůraznit, že čím dříve organizace zahájí implementaci nových požadavků, tím efektivněji se bude schopna na novou regulaci připravit. Včasné zahájení implementace umožní organizacím provádět jednotlivá opatření v klidu a bez časového tlaku. Vyhnou se tím tím chybným rozhodnutím vedoucím k neefektivnímu vynakládání prostředků.