NIS2: Nové povinnosti v oblasti kybernetické bezpečnosti
Evropská směrnice NIS2 přináší přísnější požadavky na kybernetickou bezpečnost pro firmy a organizace napříč členskými státy EU. V České republice bude přenesena do zákona o kybernetické bezpečnosti a dotkne se tisíců firem, které doposud žádné povinnosti v této oblasti neměly. V tomto článku se podíváme na to, koho se směrnice týká, jaké přináší povinnosti a proč je důležité začít se připravovat včas.
Koho se směrnice NIS2 týká?
Na rozdíl od předchozí směrnice NIS1, která dopadala jen na několik málo sektorů, se NIS2 vztahuje na mnohem širší okruh firem a institucí. Patří mezi ně:
- společnosti ze sektorů jako energetika, doprava, zdravotnictví, vodárenství, digitální infrastruktura, veřejná správa a další,
- dodavatelé technologií a služeb pro tyto sektory (např. IT firmy, provozovatelé cloudových služeb, poskytovatelé softwaru),
- firmy nad určitý počet zaměstnanců nebo obrat, i když nejsou přímo v kritickém odvětví.
Nejde tedy jen o „velké hráče“ – do působnosti NIS2 spadnou i střední firmy, obce nebo školy, pokud plní určité parametry.
Jaké povinnosti NIS2 přináší?
Firmy a organizace zařazené do působnosti NIS2 budou muset například:
- zavést a udržovat odpovídající bezpečnostní opatření, včetně řízení rizik, přístupu, zálohování, šifrování nebo bezpečnosti dodavatelského řetězce,
- mít zpracovanou bezpečnostní dokumentaci, včetně politiky řízení bezpečnosti informací,
- oznamovat kybernetické incidenty do 24 hodin od jejich zjištění,
- plnit pravidelné povinnosti vůči Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) – kontrolní pravomoci, hlášení změn, spolupráce při auditech,
- školit zaměstnance a prokazovat, že rozumějí bezpečnostním pravidlům.
Proč je důležité začít s přípravou včas?
Směrnice NIS2 zavádí i významně vyšší pokuty – až 10 milionů eur nebo 2 % z celkového obratu. Kromě finančních sankcí ale hrozí i reputační škody, provozní výpadky a ztráta důvěry partnerů či zákazníků.
Povinnosti nebude možné zvládnout „na poslední chvíli“ – vyžadují čas na analýzu současného stavu, zavedení procesů, školení lidí i vytvoření dokumentace. Čím dříve začnete, tím hladší bude přechod na nový režim.
Checklist povinností podle NIS2
| Oblast | Povinnost/opatření |
|---|---|
| Klasifikace subjektu | Zjistěte, zda spadáte mezi regulované subjekty (významné/základní) podle velikosti, sektoru a kritičnosti. |
| Role a odpovědnosti | Určete zodpovědné osoby, stanovte pravomoci a odpovědnosti napříč firmou. |
| Přehled aktiv | Mějte aktuální seznam systémů, zařízení a služeb včetně jejich klasifikace a kritičnosti. |
| Analýza rizik | Proveďte systematickou analýzu rizik aktiv, procesů a informačních systémů. Dokumentujte a pravidelně aktualizujte. |
| Bezpečnostní dokumentace | Vypracujte a udržujte dokumentaci (bezpečnostní politika, provozní řády, směrnice, plán reakce na incidenty). |
| Bezpečnostní opatření | Zaveďte technická a organizační opatření – řízení přístupů, segmentace sítě, šifrování, monitoring, zálohování. |
| Školení zaměstnanců | Pravidelně školte zaměstnance v oblasti kybernetické bezpečnosti a bezpečné práce s technologiemi. |
| Řízení dodavatelů | Vyhodnocujte rizika spojená s dodavateli. Nastavte smluvní požadavky a pravidla pro kontrolu jejich plnění. |
| Testování a monitoring | Provádějte pravidelné penetrační testy, kontrolu zranitelností a průběžné monitorování systémů. |
| Kontinuita a obnova | Mějte připravený a otestovaný plán obnovy provozu a zajištění kontinuity při incidentech. |
| Hlášení incidentů | Zajistěte schopnost detekce a hlášení bezpečnostních incidentů do 24 hodin NÚKIBu. |
| Evidence a audit | Vytvářejte a spravujte záznamy o incidentech, přístupech a kontrolách. Provádějte interní i externí audity. |
| Spolupráce s NÚKIB | Plňte oznamovací a kontrolní povinnosti, sledujte metodiky a poskytujte součinnost při inspekcích. |
| Komunikační plán | Připravte scénář krizové komunikace směrem k zaměstnancům, klientům, médiím a dozorovým orgánům. |
Máte-li zájem o konzultaci nebo školení v této oblasti, rádi vám pomůžeme.
