02. 05. 2024

NIS2 a nový zákon o kybernetické bezpečnosti: Kdo musí být připraven?

Svět IT se mění téměř denně, ale změna zákona o kybernetické bezpečnosti, která nás čeká na podzim 2024, bude zásadní. Po schválení novely zákona bude platná evropská směrnice NIS2, ovlivňující více než 9000 subjektů. Pokuty za její nedodržení mohou být likvidační. Zjistěte, koho se NIS2 týká a co obnáší.

Směrnice NIS2 a nový zákon o kybernetické bezpečnosti

Směrnice NIS2 (Network and Information Security Directive 2) je aktualizací směrnice NIS z roku 2016. Jejím cílem je zlepšit kybernetickou bezpečnost a odolnost klíčové infrastruktury v EU. V ČR nabude účinnosti jako součást novely kybernetického zákona.

Které sektory jsou ovlivněny?

Směrnice NIS2 rozšiřuje svou působnost na více sektorů:

  • Zdravotnictví: Nemocnice, lékařské laboratoře, poskytovatelé zdravotní péče.
  • Doprava: Letecká, železniční, námořní a silniční doprava.
  • Energetika: Elektrické sítě, plynárenské společnosti, ropné rafinérie.
  • Vodohospodářství: Dodávky pitné vody, kanalizační systémy.
  • Digitální infrastruktura: Poskytovatelé internetových služeb, datová centra, cloudové služby.
  • Veřejná správa: Ministerstva, úřady, regionální a městské samosprávy.
  • Finanční sektor: Banky, pojišťovny, investiční společnosti.
  • Potravinářství: Velké maloobchodní řetězce, výrobci potravin.

Kdo bude v ČR ovlivněn?

Směrnice NIS2 se bude týkat přibližně 6000 až 9000 organizací, jak veřejných, tak soukromých. Povinným subjektem se stane organizace, pokud je:

  • Střední nebo velký podnik (50+ zaměstnanců nebo roční obrat 10+ mil. €).
  • Poskytuje alespoň jednu službu uvedenou v přílohách směrnice NIS2.

Implementace směrnice NIS2

Implementace zahrnuje několik kroků:

  • Hodnocení rizik: Pravidelně provádět hodnocení kybernetických rizik.
  • Technická opatření: Zavedení bezpečnostních technologií jako firewally, antiviry, IDS/IPS.
  • Organizační opatření: Vytvoření a implementace politik kybernetické bezpečnosti.
  • Školení zaměstnanců: Pravidelné školení zaměstnanců v oblasti kybernetické bezpečnosti.
  • Hlášení incidentů: Povinnost hlásit kybernetické incidenty do 72 hodin.

Finanční náklady a výhody

Implementace směrnice může být finančně náročná, zahrnuje investice do technologií, školení a procesních změn. I přes vysoké počáteční náklady dlouhodobé výhody zvýšené kybernetické odolnosti převáží. Můžete také čerpat dotace na poradenství a ušetřit až 40 % výdajů.

Jak se připravit?

  1. Hodnocení aktuálního stavu: Identifikace klíčových systémů a dat, zhodnocení bezpečnostních opatření.
  2. Aktualizace bezpečnostních opatření: Implementace nových technických a organizačních opatření.
  3. Školení zaměstnanců: Pravidelná školení a simulace kybernetických útoků.
  4. Vytvoření plánů pro hlášení incidentů: Jasně definované postupy a odpovědné osoby.
  5. Spolupráce a komunikace: Sdílení informací o hrozbách a účast na cvičeních.
  6. Pravidelné přezkoumání a aktualizace: Pravidelné audity a aktualizace politik.

Podrobné hlášení incidentů

Kybernetické incidenty jako útoky DDoS, malware, neoprávněný přístup a úniky dat musí být hlášeny do 72 hodin. Proces zahrnuje přípravu, detekci, hlášení, zmírňování následků a vyhodnocení incidentů.

Na kolik implementace vyjde?

Investice zahrnují:

  • Detekční a preventivní nástroje: IDS/IPS systémy.
  • Šifrování a zálohování: Ochrana a obnova dat.
  • Školení zaměstnanců: Základní i pokročilá školení a cvičení.

Na směrnici NIS2 a nový zákon o kybernetické bezpečnosti nejste sami!

Chcete vědět, zda se směrnice NIS2 týká vaší organizace? Potřebujete plán pro zavádění bezpečnostních opatření? Jsme tu, abychom vám pomohli a zajistili, že budete připraveni.