Co přináší NIS2 – nová směrnice o kyberbezpečnosti

V roce 2016 Evropská unie schválila směrnici o bezpečnosti sítí a informací, známou jako NIS. Tato směrnice, oficiálně označená jako Směrnice Evropského parlamentu z roku 2016, měla za cíl zajištění vysoké úrovně bezpečnosti sítí a informačních systémů napříč celou unií, a to zejména pro důležité služby. Nyní se Evropská unie snaží posunout bezpečnostní rámec o krok dál prostřednictvím nové směrnice o kybernetické bezpečnosti, pojmenované jako NIS2.

Oficiální text směrnice byl publikován v Úředním věstníku Evropské unie dne 27. prosince 2022. Směrnice nabyla účinnosti v lednu 2023, avšak povinnosti podléhající směrnici nevznikají okamžitě. Členské státy mají povinnost transponovat text směrnice do národní legislativy během 21 měsíců od jejího schválení. Následně bude stanovena další lhůta pro implementaci nových povinností pro organizace, které dosud nebyly v této oblasti regulovány.

Rozdíly mezi NIS a NIS2

Směrnice NIS2 v první řadě rozšiřuje okruh dotčených subjektů, kterých se nová nařízení budou týkat, zahrnuje tedy nové kategorie organizací a entit. Zároveň zpřísňuje jejich povinnosti, což zahrnuje podrobnější specifikaci, co dotčené subjekty musí podniknout k zajištění a udržení bezpečnosti svých sítí a informačních systémů. Dále nová směrnice zvyšuje sankce za nedodržení stanovených nařízení a  zavádí povinnost vzdělávání příslušných zaměstnanců. Organizace podléhající směrnici budou tedy povinny poskytovat školení a vzdělávání zaměstnanců v oblasti kybernetické bezpečnosti, aby byli lépe vybaveni v identifikaci a prevenci kybernetických rizik.

Směrnice NIS2 není pouze rozšířením působnosti, ale také posílením a přesnějším nastavením povinností s cílem zvýšit odolnost digitální infrastruktury vůči moderním kybernetickým hrozbám.

Subjekty spadající do NIS2

Původní směrnice NIS se omezovala pouze na provozovatele takzvaných základních a digitálních služeb. Na rozdíl od toho přináší směrnice NIS2 novější klasifikaci subjektů, které jsou nyní rozděleny do dvou kategorií a to subjekty „základní“ a „důležité“. U základních subjektů se jedná o dohled proaktivní, naopak důležité subjekty podléhají dohledu reaktivnímu, ke kterému může být podán podnět s podezřením, že subjekt směrnici nedodržuje, tj. neplní závazky, které z ní pro něho plynou.

Kategorie „základních“ subjektů zahrnuje nejen původní provozovatele základních služeb, ale přidány byly např. orgány veřejné správy. Obecně je lze označit za organizace, jejichž služby nebo produkty jsou životně důležité pro společnost, konkrétně lze jmenovat např. zdravotnictví, energetika, doprava, digitální infrastruktura, veřejná správa, dodavatelé pitné vody či bankovnictví.

Druhou skupinu, subjekty „důležité“, představují oblasti jako poštovní a kurýrní služby, potravinářství, odpadní hospodářství, výroba, chemický průmysl nebo digitální služby.

Nově směrnice NIS2 zohledňuje velikost společnosti, nepočítá tedy s tím, že by povinnosti ukládala naprosto všem organizacím, které danou službu či produkty poskytují. Zaměřuje se na střední nebo velké podniky zaměstnávající 50 a více zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 250 milionů Kč.

Nařízení a požadavky NIS2

Původní směrnice NIS pouze stanovovala, že organizace musí přijmout vhodná opatření k minimalizaci rizik a k prevenci kybernetických incidentů. Návrh nové směrnice, NIS2, jde hlouběji a do větších detailů. Podle NIS2 musí dotčené organizace zavést bezpečnostní opatření, a to bez ohledu na to, jestli jsou považovány za subjekty „základní“ nebo „důležité“. NIS2 zdůrazňuje, že vedení organizací nese odpovědnost za schválení a provádění bezpečnostních opatření k ochraně a zvýšení kybernetické bezpečnosti. Vedení organizací má také povinnost absolvovat osobní školení v oblasti kybernetické bezpečnosti a podporovat v těchto školeních i své zaměstnance.

Směrnice definuje i oblasti bezpečnostních opatření, které mají členské státy upřesnit ve svých zákonech a nařídit budoucím povinným subjektům. Jsou jimi tyto okruhy:

• Analýza rizik a politiky bezpečnosti informací;
• zvládání incidentů;
• kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení;
• bezpečnost v rámci dodavatelského řetězce;
• bezpečnost v rámci pořízení, vývoje a údržby systémů;
• politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit);
• praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti;
• politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování;
• bezpečnost lidských zdrojů, řízení přístupů a aktiv;
• využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.

NIS2 umožňuje přizpůsobení těchto pravidel tak, aby povinnosti pro důležité subjekty byly méně přísné než pro subjekty základní. Z toho vyplývá, že existují minimálně dvě sady pravidel, tedy nově zavedený princip tzv. „dvourychlostní kybernetické bezpečnosti“.

Směrnice NIS2 zároveň dává Evropské komisi pravomoc kdykoliv v budoucnu upřesnit technické a metodické detaily těchto pravidel. Kromě povinnosti dodržovat bezpečnostní opatření má směrnice také možnost v budoucnu určit, že povinné subjekty musí mít certifikaci nebo používat pouze certifikované produkty, služby nebo procesy. V takovém případě by certifikace mohla být považována za důkaz nebo náhradu za dodržování bezpečnostních opatření.

Jak se na NIS2 nejlépe připravit

Nový zákon o kybernetické bezpečnosti by měl vejít v platnost přibližně v druhé polovině roku 2024. Organizacím bude poskytnuta roční doba na přizpůsobení se novým pravidlům a začátek plnění některých povinností. Určité požadavky, například povinnost dodržovat opatření NÚKIB a nahlásit kontaktní údaje, budou muset začít plnit v polovině roku 2024, zatímco ostatní povinnosti až v druhé polovině roku 2025. I když to bude relativně dlouhá doba, organizace by neměly opomíjet přípravu na nová pravidla a čekat až na konečné schválení zákona.

NÚKIB doporučuje organizacím, které spadají pod nový zákon, začít co nejdříve připravovat své vnitřní prostředí na nová pravidla. Zavedení efektivního procesu pro řízení kybernetické bezpečnosti může trvat několik měsíců až let. Zvláště organizace, které dosud systematicky neřešily kybernetickou bezpečnost a spadnou do kategorie s vyššími povinnostmi, by měly počítat s náročným a dlouhodobým procesem. Je důležité vědět, jaké informační systémy organizace používá a ve kterém stavu jsou z hlediska kybernetické bezpečnosti.

Společnou povinností pro všechny je zavedení a uplatňování bezpečnostních opatření. Při určování úrovně zabezpečení a výběru konkrétních opatření by organizace měly zohlednit specifika a důležitost jednotlivých systémů a služeb. Doporučuje se provést audit aktuálního stavu kybernetické bezpečnosti a business impact analýzu, která posoudí dopady narušení činnosti systémů na organizaci.

Důraz by měl být kladen na školení zaměstnanců, a to jak obecné, tak odborné. Z technických opatření se doporučuje nasazení firewalů, antivirů a zálohovacích řešení. Je důležité také pravidelně aktualizovat systémy.

Všem subjektům je všeobecně doporučováno, aby s předstihem promysleli, jak budou k plnění povinností přistupovat, zda vlastními silami, nebo za pomoci externího dodavatele a aby si zmapovali trh se službami, které by si mohli nechat outsourcovat. Do nové regulace kybernetické bezpečnosti bude spadat mnohem více subjektů, lze očekávat zvýšenou poptávku po službách externích společností.

Zdroj informací v článku: NÚKIB