V roce 2016 schválila Evropská unie směrnici NIS, která se zaměřuje na bezpečnost sítí a informací. Tato směrnice, formálně nazývaná Směrnice Evropského parlamentu z roku 2016, má za úkol zajistit vysokou úroveň bezpečnosti sítí a informačních systémů v celé unii, zejména pro klíčové služby. Nyní se EU snaží posunout bezpečnostní rámec o krok dál prostřednictvím nové směrnice o kybernetické bezpečnosti, označované jako směrnice NIS2.

Jaké jsou kybernetické hrozby?

Kybernetická bezpečnost je stále důležitější v době, kdy se stále více činností přesouvá do digitálního prostoru. Existuje několik nejčastějších kybernetických hrozeb, kterým organizace a jednotlivci čelí:

  • Malware: Malware je škodlivý software, který poškozuje systém. Patří sem viry a trojské koně.
  • Hrozby sociálního inženýrství: Zneužití lidské chyby k získání přístupu k informacím nebo službám. Nejčastějším útokem tohoto druhu je phishing.
  • Fyzická krádež nebo ztráta: I fyzické faktory mohou ohrozit kybernetickou bezpečnost, například ztráta nebo odcizení zařízení.

NIS2 v České republice

NIS2 se týká organizací, které jsou kritické pro společnost a ekonomiku. V České republice se jedná o více než 6.000 firem a organizací. Česká republika navíc připravuje nový zákon, který transponuje směrnici NIS2 do českého právního řádu. Platnost těchto změn má nastat koncem roku 2024.

NIS2: Co to je?

Nová směrnice EU o kybernetické bezpečnosti, označovaná také jako NIS2, přináší zásadní změny v oblasti kybernetické bezpečnosti. Tato směrnice má za cíl zlepšit ochranu sítí a informací v celé Evropské unii. Směrnice stanovuje povinnosti pro organizace, jako je zavádění bezpečnostních opatření, hlášení incidentů a spolupráci s národními a mezinárodními orgány.

NIS2 rozšiřuje okruh subjektů, které nová nařízení budou ovlivňovat, a zpřísňuje jejich povinnosti. Zahrnuje podrobnější specifikace toho, co musí dotyčné subjekty podniknout k zajištění bezpečnosti svých sítí a informačních systémů. Dále zvyšuje sankce za nedodržení nařízení a zavádí povinnost vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti. Směrnice NIS2 nejen rozšiřuje působnost, ale také posiluje povinnosti s cílem zvýšit odolnost digitální infrastruktury vůči moderním kybernetickým hrozbám.

Původní směrnice NIS platila pouze pro provozovatele základních a digitálních služeb. NIS2 přináší novější klasifikaci subjektů, které budou nyní rozděleny do dvou kategorií: “základní” a “důležité”. 

Základní a důležité subjekty

  • Kategorie “základních” subjektů zahrnuje nejen původní provozovatele základních služeb, ale také orgány veřejné správy a další organizace životně důležité pro společnost, jako je zdravotnictví, energetika, doprava, digitální infrastruktura, bankovnictví.
  • Druhou skupinu, subjekty “důležité“, tvoří oblasti jako poštovní a kurýrní služby, potravinářství, odpadní hospodářství, výroba, chemický průmysl.

Zavedení a uplatňování bezpečnostních opatření je společnou povinností pro všechny organizace podléhající směrnici NIS2. Při určování úrovně zabezpečení a volbě konkrétních opatření by organizace měly brát v úvahu specifika a důležitost jednotlivých systémů a služeb. Ideálně provést audit aktuálního stavu kybernetické bezpečnosti. Důraz především klást na odborné školení zaměstnanců. Z důvodu technických opatření se doporučuje nasazení firewalů, antivirů, zálohovacích řešení a pravidelných aktualizací systémů.

Nový zákon o kybernetické bezpečnosti by měl být účinný přibližně v druhé polovině roku 2024. Organizace mají stále dostatek času na přizpůsobení se novým pravidlům a plnění některých povinností. Určité požadavky budou muset začít plnit v polovině roku 2024, zatímco ostatní povinnosti až v druhé polovině roku 2025.

NIS2

Kybernetická bezpečnost je stále důležitější v době, kdy se stále více činností přesouvá do digitálního prostoru.

Kontrola směrnice NIS2

Dodržování směrnice NIS2  bude kontrolovat několik subjektů:

  • Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB): NÚKIB bude mít klíčovou roli při dohledu nad dodržováním směrnice NIS2 v České republice. Bude provádět kontroly plnění povinností a dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti. Také bude monitorovat, zda organizace provádějí uložená nápravná opatření a dodržují vydaná varování, pokyny a příkazy.
  • Nezávislé auditní subjekty: Kromě NÚKIB mohou být organizace podrobeny auditům prováděným nezávislými auditními firmami. Tyto audity budou hodnotit, zda organizace splňují požadavky směrnice NIS2 a zabezpečují své služby a systémy.
  • Vnitrostátní orgány a mezinárodní spolupráce: NÚKIB bude spolupracovat s dalšími vnitrostátními orgány a mezinárodními institucemi, aby zajistil koordinaci a efektivní dohled nad kybernetickou bezpečností.
Naučte se programovat v našem kurzu

Pokud organizace nesplní tyto povinnosti, mohou čelit následujícím důsledkům:

  • Finanční pokuty: Za nedodržení požadavků směrnice NIS2 mohou organizace čelit pokutám. Maximální pokuta může dosáhnout až 10.000.000 Kč nebo 2 % ročního obratu společnosti.
  • Ztráta důvěryhodnosti: Nedodržení kybernetických bezpečnostních standardů může poškodit pověst organizace a snížit důvěru klientů, partnerů a veřejnosti.
  • Právní následky: Organizace mohou čelit právním následkům, včetně žalob a soudních řízení.
  • Snížení konkurenceschopnosti: Nedostatečná kybernetická bezpečnost může ovlivnit schopnost organizace konkurovat na trhu.
  • Ztráta dat a služeb: Kybernetické útoky mohou vést k úniku citlivých dat nebo k narušení provozu služeb.

Mám zájem o odběr newsletteru