+420 237 836 950 sales@ngss.cz English
Směrnice NIS2 dopadne na 6000 subjektů – začněte s přípravou už dnes

Směrnice NIS2 dopadne na 6000 subjektů – začněte s přípravou už dnes

27. 11. 2022
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připravuje na implementaci nové evropské směrnice NIS2, která bude mj. ukládat, aby organizace samy zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. Počet povinných osob, kterých se bude NIS2 týkat, dosáhne min. na 6000 subjektů. Tyto subjekty budou mít nově povinnost zavést opatření a interní procesy k zajištění informační a kybernetické bezpečnosti v rámci vlastní organizace. Přečtěte si nejnovější informace o NIS2 a začněte s přípravami už dnes.

Směrnice o bezpečnosti sítí a informací (Network and Information Security Directive – NIS) je prvním právním předpisem o kybernetické bezpečnosti na úrovni celé EU. Jejím cílem bylo dosáhnout vysoké společné úrovně kyberbezpečnosti ve všech členských státech. Její provádění se však ukázalo jako obtížné, což vedlo k roztříštěnosti na různých úrovních. V reakci na rostoucí hrozby, které s sebou nese digitalizace a prudký nárůst kybernetických útoků, byl předložený návrh, který má směrnici NIS nahradit, a tím v celé EU posílit bezpečnostní požadavky a zavést přísnější opatření v oblasti dohledu a prosazování, včetně sankcí. Navrhovaná směrnice NIS2 by tak měla zvýšit úroveň kybernetické bezpečnosti v EU.

Tak zní (redakčně krácený) úvod direktivy EU s názvem NIS2. Spolutvůrci právních předpisů v rámci EU dosáhli předběžné dohody a finální verze by měla být vydána do konce roku 2022.

 

Obsah návrhu NIS2

Jak jsme nastínili v úvodu, směrnici NIS bylo zapotřebí aktualizovat a rozšířit, aby odpovídala současným rizikům a budoucím výzvám jako je zajištění informační a kybernetické bezpečnosti 5G technologií. Pandemie koronaviru potvrdila význam přípravy EU na digitální desetiletí i potřebu neustále zlepšovat kybernetickou odolnost, zejména pro ty, kdo provozují základní služby, jako je zdravotní péče a energetika.

Hlavní směřování směrnice NIS2 shrnuje direktiva zejména v rámci tří následujících cílů:

  • Zvýšit úroveň kybernetické odolnosti podniků působících v EU napříč odvětvími, které plní důležité funkce pro hospodářství a společnost jako celek. Všechny dotčené veřejné a soukromé subjekty, budou mít povinnost přijmout přiměřená opatření v oblasti kybernetické bezpečnosti. Změny se budou týkat i zajištění kyberbezpečnosti dodavatelského řetězce ICT. Dále se odstraní rozlišení mezi poskytovateli základní a digitální služby, které v současnosti spadají do tří kategorií (on-line tržiště, vyhledávače a poskytovatelé cloudových služeb).
  • Snížit nesrovnalosti v odolnosti na vnitřním trhu dalším sladěním: faktické oblasti působnosti, požadavků na bezpečnost a hlášení incidentů, ustanovení upravujících prosazování a vnitrostátní dohled a pravomocí příslušných dozorových orgánů členských států. Návrh počítá s reakcí na incidenty (vč. dvoustupňového přístupu jejich hlášení), bezpečností dodavatelského řetězce, šifrováním a zveřejňování zranitelností. Zavádí se minimální seznam správních sankcí vč. správní pokuty (až 10 milionů € nebo 2 % celkového světového obratu subjektů).
  • Zlepšit úroveň připravenosti se reakce na dění v oblasti kybernetických útoků např. sdílením informací a koordinací (přes novou síť EU-CyCLONe) a stanovením pravidel a postupů v případě rozsáhlé mimořádné události nebo krize. NIS2 počítá, že by členské státy přijaly plán a určily vnitrostátní příslušné orgány odpovědné za dodržování směrnice, účast na reakci na kybernetické bezpečnostní incidenty a krize na úrovni EU a zřízení jednotných kontaktních míst (SPOC), která by fungovala jako styčné místo s ostatními členskými státy.

 

Přehled změn směrnice NIS2

Zde je pro přehled shrnutí nejdůležitějších nových obecných aspektů NIS2, které nemají přímý dopad na regulaci povinných osob:

  • Povinné přijetí konkrétních KB politik všemi členskými státy
  • Vytváření pravidelných zpráv o stavu KB v EU
  • Vytvoření EU-CyCLONe
  • Vzájemná hodnocení (peer review či peer learning system)
  • Koordinovaná správa zranitelností (CSIRT jako možný zprostředkovatel a koordinátor)
  • Registr zranitelností vedený ENISA
  • Koordinované posuzování rizik kritických dodavatelských řetězců v EU (obdobně jako již existující 5G Toolbox)
  • Důraz na certifikace kybernetické bezpečnosti

Co se týká dopadů na povinné osoby, rozdělíme je na dvě části.

 

Dopady směrnice již zavedené v české legislativě

  • Větší pravomoci dozorových orgánů
  • Větší pravomoci CSIRT týmů
  • Smysluplnější hlášení incidentů
  • Podrobnější bezpečnostní opatření, risk based approach

 

Dopady směrnice, které zatím nejsou zakotvené v české legislativě

  • Hlášení relevantních událostí a hrozeb, sdílení informací o zranitelnostech (registr ENISA)
  • Povinné vzdělávání managementu, větší odpovědnost, dočasný zákaz výkonu funkce apod.
  • Vyšší pokuty za porušení povinností
  • Spolupráce členských států EU na kontrolách a na výměně informací
  • Sdílení informací mezi povinnými subjekty (členský stát má zajistit platformu)
  • Užší spolupráce NÚKIB s dozorovými orgány z jiných oblastí (ČTÚ, ÚOOÚ ad.)
  • Zajištění budoucí možnosti povinných certifikací produktů
  • Zařazení cloud computingu mezi standardní povinné osoby
  • Rozšíření působnosti NIS2 zahrnutím veřejné správy
  • Způsob identifikace povinné osoby
  • Rozsah regulovaných systémů

 

Nejdůležitější dopady směrnice NIS2 pro stávající a nové povinné subjekty

Pro stávající a potenciální nové povinné subjekty jsou nejdůležitější tři oblasti, a to:

  • Určování povinných subjektů
  • Regulace povinných osob, tedy rozsah opatření, která po nich budou požadována
  • Hlášení kybernetických bezpečnostních incidentů

 

Určování povinných osob podle NIS2

NIS2 zavede rozlišení režimů dohledu mezi základními („essential“) a důležitými („important“) subjekty.

  • Základní subjekty by tak měly podléhat plnohodnotnému režimu dohledu (tj. dohled „ex ante“ a „ex post“).
  • Důležité subjekty by měly podléhat mírnému režimu, tedy pouze dohledu „ex post“. Mírný režim znamená, že by důležité subjekty neměly systematicky dokumentovat soulad s požadavky na řízení kybernetických bezpečnostních rizik a příslušné orgány by měly provádět reaktivní „ex post“ přístup k dohledu (neměly by tedy obecnou povinnost dohlížet na tyto subjekty).

Všechny základní a důležité subjekty by měly podléhat pravomoci členského státu, ve kterém poskytují své služby (bude-li poskytovat služby ve více členských státech, bude podléhat samostatné a souběžné pravomoci každého z těchto členských států). Příslušné orgány těchto členských států by měly spolupracovat, poskytovat si navzájem pomoc a v případě potřeby provádět společné akce v oblasti dohledu.

Proces určování v rámci naší legislativy určitě bude muset projít úpravou. Dojde k rozšíření působnosti NIS2 na celé organizace, ale i ke zvýšení počtu určených subjektů. Jakmile daný subjekt relevantní službu poskytuje, stačí, aby naplnil unijní kritéria a stává se automaticky povinnou osobou.

Základní unijní kritéria jsou dvě:

  1. Jedná o střední nebo velkou organizaci (tj. 50 a více zaměstnanců nebo roční obrat či rozvaha více než 10 mil. €)
  2. Jedná o organizaci z jedné z následujících oblastí bez ohledu na její velikost:  
  • Poskytovatelé sítí elektronických nebo veřejně dostupných služeb elektronických komunikací
  • Poskytovatelé služeb poskytujících důvěru,
  • Registry internetových domén nejvyšší úrovně,
  • Orgány veřejné správy,
  • Výhradní dodavatelé služeb v členském státě EU,
  • Subjekty, u kterých by narušení jimi poskytovaných služeb mohlo mít vliv na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví,
  • Subjekty, u kterých by narušení jimi poskytovaných služeb mohlo vyvolat systémová rizika, zejména pro odvětví, kde by takové narušení mohlo mít přeshraniční dopad,
  • Subjekty kritické vzhledem ke svému specifickému významu na regionální nebo vnitrostátní úrovni pro konkrétní odvětví nebo druh služby,
  • Vzájemně závislá odvětví v členském státě EU,
  • Subjekty označené za kritické podle směrnice CER nebo za subjekty rovnocenné kritickým subjektům podle národní úpravy.

V praxi dojde k rozšíření stávajících oborových kritérií o následující sektory a druhy subjektů:

  • Provozovatelé výroby, skladování a přepravy vodíku
  • Zdravotnictví – rozšíření o referenční laboratoře
  • Cloudy, on-line tržiště, vyhledávače – nový režim
  • Datová centra, sociální sítě
  • Content delivery network providers
  • Poskytovatelé služeb vytvářejících důvěru
  • Sítě a služby el. komunikací – nový režim
  • Managed (security) service providers
  • Veřejná správa (centrální)
  • Vesmír
  • Poštovní a kurýrní služby
  • Odpadové hospodářství
  • Výroba a distribuce chemických látek
  • Výroba a distribuce potravin (potravinářské podniky, které se zabývají velkoobchodní distribucí a průmyslovou výrobou nebo zpracováním)
  • Výroba vybraných zařízení a prostředků (zdravotnická zařízení, ICT produkty, automatizace výroby apod.)

Zatím není jasné, jak zákonodárci ke změně určování přistoupí.

 

Regulace povinných osob

Nový rozsah a způsob regulace povinných osob v naší zemi zatím neznáme, můžeme nicméně odhadnout, že nejspíš půjde minimálně o dvě různé úrovně – jedna pro základní služby, druhá pro důležité. Lze očekávat, že minimálně pro úroveň důležité bude zvolen „volnější“ režim. Místo kontrol úřadu můžou tyto organizace například pravidelně reportovat stav za pomocí výsledků interního auditu nebo využijí dosud neoficiální dokument od NÚKIB – tzv. Minimální bezpečnostní standard.

 

Hlášení kybernetických bezpečnostních incidentů

NIS2 zavede dvoustupňový přístup hlášení incidentů:

  • Podrobné hlášení, které čerpá informace z jednotlivých incidentů a s postupem času zvyšuje odolnost vůči kybernetickým hrozbám.
  • Rychlé hlášení, které pomáhá snížit potenciální šíření incidentů a umožňuje subjektům žádat o podporu. Toto hlášení by se mělo podat od 24 od incidentu a poté by měla následovat závěrečná zpráva do jednoho měsíce. Počáteční oznámení by mělo obsahovat pouze nezbytné informace, které (kromě informování příslušného orgánu) umožňují v případě potřeby požádat o pomoc.

Požadavek na předložení počátečního oznámení by neměl odvádět zdroje ohlašujícího subjektu od činností souvisejících s řešením incidentu. Plánuje se, že v řádně odůvodněných případech a po dohodě s příslušnými orgány nebo s týmy CSIRT se dotyčný subjekt může odchýlit od lhůt 24 hodin pro počáteční oznámení a jeden měsíc pro konečnou zprávu.

U nás se zatím pracuje s budoucí lokální úpravou, kdy lhůta 24 hodin bude povinná pro incidenty související s dostupností. Pokud se nebude jednat o případ snížení dostupnosti, je zatím plánovaná lhůta pro hlášení pro tyto incidenty 72 hodin.

 

Co a kdy nás čeká

K oficiálnímu vydání směrnice NIS2 by mělo dojít do konce roku 2022, poté začne běžet lhůta 21 měsíců, během které by členské státy měly vytvořit nebo upravit svoji legislativu. Na úplně konkrétní a detailní způsob přijetí jednotlivých požadavků u nás si tedy ještě nějakou dobu počkáme. NÚKIB na svých stránkách věnovaných směrnici NIS2 uvádí termín „od poloviny roku 2024“.

Chcete vědět, zda budou mít připravované změny skutečně dopad na vaši společnost? Potřebujete zaregistrovat vaši organizaci do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření? Obraťte se na nás, celým procesem vás provedeme krok za krokem a vy tak získáte jistotu, že budete v naprostém souladu s legislativou, jakmile směrnice NIS2 vstoupí v platnost.

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

Sledujte náš LinkedIn
Vstup do SMC
O nás
Případové studie
Blog
Kontakt
NESTOR SOC247
GDPR
NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.
Telefon +420 237 836 950
E-mail sales@ngss.cz