Přeskočit na hlavní obsah

NIS2 - směrnice kybernetické bezpečnosti

  • Směrnice EU o kybernetické bezpečnosti
    • Schválena, platnost v ČR od roku 2024
  • Cílem je zajištění bezpečnosti sítí a informačních systémů napříč státy EU
  • Povinnost plnění se dotkne organizací, které dosud kybernetické regulaci nepodléhaly
    • Dotkne se nejméně 6000 organizací v oblasti
      • digitální infrastruktury a cloud computingu
      • poskytování služeb a sítí elektronických komunikací
      • registrace domén nejvyšší úrovně
      • odpadového hospodářství
    • Primárním kritériem pro zařazení do regulace bude velikost organizace
  • Významné zvýšení pokut - až 2% celkového obratu společnosti nebo 10 mil. EUR

Dotkne se regulace i vaší firmy?

  • Do doby účinnosti novelizace zákona není možné s jistotou říct
  • Organizace se firmy dotkne v případě, že splňuje tyto podmínky současně
    1. Poskytuje alespoň jednu službu uvedenou v přílohách směrnice
    2. Je středním nebo velkým podnikem (více než 50 zaměstnanců nebo roční obrat ≥ 10 mil. EUR)
    • V případě koncernů, partnerských a propojených společností to však může znamenat, že velikostně malá firma bude po přičtení mateřské společnosti podléhat regulaci
  • Dále se dotkne organizací, které
    • jsou jediným poskytovatelem služby, která je nezbytná ze sociálního nebo ekonomického hlediska
    • by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost nebo zdraví osob
    • by narušení jejich služby mohlo vyvolat významné riziko, zejména s přeshraničním dopadem
  • U některých služeb budou do regulace spadat všechny organizace bez ohledu na jejich velikost (např. poskytovatelé služeb elektronických komunikací)
  • Výčet sektorů, kterých se regulace dotkne je popsán v evropské směrnici, příloze ANNEX I (SECTORS OF HIGH CRITICALITY) na straně 227 a dále
  • Regulace se může dotknout také firem z typová identifikace organizací

Povinnosti organizací

  • Povinné vzdělávání vrcholového vedení organizace
  • Zodpovědnost managementu za zajišťování kybernetické bezpečnosti
  • Sdílení informací mezi povinnými organizacemi
  • Prohloubení spolupráce mezi regulátorem a povinnými organizacemi
  • Zvýšení požadavků na vybavenost CERT týmů (směrnice CSIRT)
  • Konkretizace bezpečnostních opatření, které bude potřeba zavádět
  • Dobrovolné hlášení incidentů, událostí, hrozeb a zranitelností

Povinnost zavedení bezpečnostních opatření

  • Vedení organizace má
    • odpovědnost za zavádění a schválení bezpečnostních opatření
    • povinnost absolvovat školení na téma kybernetická bezpečnost
    • povinnost podporovat zaměstnance v těchto školeních
  1. Analýza rizik a politika bezpečnosti informací
  2. Zvládání incidentů
  3. Byznys kontinuita - zálohování, zotavení, krizové řízení
  4. Bezpečnost v rámci dodavatelského řetězce, pořízení, vývoje a údržby systémů
  5. Audit
  6. Vzdělávání v oblasti kybernetické bezpečnosti
  7. Postupy týkající se kryptografie a šifrování
  8. Bezpečnost lidských zdrojů, řízení přístupů a aktiv
  9. Využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci
  • Může vzniknout požadavek na certifikaci poskytované služby nebo využívání pouze certifikovaných produktů, služeb a procesů

Způsob hlášení incidentů

  • Incident = událost ohrožující důvěrnost, dostupnost, integritu a autenticitu dat
  • Zvládání incidentů je základním bezpečnostním opatřením
  • NIS2 požaduje, aby organizace některé významné incidenty oznámila CERT týmu
  • Významný incident
    • způsobil vážné provozní narušení služby nebo finanční ztrátu
    • ovlivnil jiné fyzické nebo právnické osoby
    • způsobil značné materiální i nemateriální ztráty
  • Povinnost oznámit incident do 24 hodin od jeho zjištění, do 72 hodin zpřesnit informace týkající se incidentu a do 1 měsíce zaslat finální hlášení o incidentu (případně do 1 měsíce od vyřešení incidentu)

Kontrola plnění povinností

  • Vydávání nebo přikazování napravení zjištěných nedostatků nebo porušení povinností
  • Nařízení informování fyzických nebo právnických osob ovlivněných významnou kybernetickou hrozbou
  • Nařízení zveřejnění aspektů neplnění povinností
  • Požádání o zpřístupnění dat a doložení zavedených bezpečnostních politik
  • Dočasné pozastavení certifikace nebo licence umožňující vykonávat regulovanou službu
  • Uložení správní pokuty
  • NIS2 ukládá povinnost spolupracovat s relevantními autoritami v případě narušení ochrany osobních údajů

Povinnosti ČR a NÚKIB

  • Přijetí národní strategie kybernetické bezpečnosti (zveřejňování informací o zranitelnostech)
  • Spolupráce s členskými státy EU v oblasti kybernetické bezpečnosti
  • Podílení se na zřízení evropského registru zranitelností
  • Provádění kontrol a vymáhání dodržování povinností
  • Zavedení jednotných metodik nebo formulářů pro hlášení incidentů
  • Větší pravomoci dozorových orgánů

Kam dál