Směrnice NIS2 mění pravidla hry v oblasti kyberbezpečnosti. Jaké změny přináší?

Počet kybernetických útoků nejrůznějších druhů dlouhodobě prudce narůstá. Hackeři se často zaměřují na firmy, kterým kradou citlivá data a následně je vydírají, čímž ohrožují nejen společnosti samotné, ale i jejich zákazníky. Kybernetická bezpečnost by proto měla být klíčovou podnikovou prioritou, do které je třeba investovat. Vedení firem má však leckdy tendenci tuto oblast podceňovat, což by měla změnit zmíněná evropská směrnice NIS2 (Network and Information Security 2).

Koho se klíčové legislativní změny týkají?

Jak již bylo zmíněno, management firem na kyberbezpečnostní prevenci často zapomíná. Někdy může mít dokonce i dojem, že se riziko kyberútoků jeho podniku vůbec netýká. Jedná se ale o podobnou situaci, jako když odkládáte například uzavření běžného pojištění – čím déle tak činíte, tím větší je riziko, že jednoho dne už bude pozdě. Jinými slovy je zabezpečení podniku nezbytnou prevencí, která má stejně tak sloužit k minimalizaci rizik, jakož i zmírnění dopadů případných útoků. Jednou z hlavních změn, kterou NIS2 nově přináší, je proto přímá odpovědnost vrcholného vedení organizací za řízení kyberbezpečnosti.

Nová legislativní pravidla se dotknou především firem splňující kritéria středního nebo velkého podniku, tedy nad 50 zaměstnanců nebo s ročním obratem alespoň 10 milionů eur. Týkat se ale budou i partnerských a propojených podniků, jejichž technická aktiva nejsou zcela oddělena od poskytovatele regulované služby.

Výčet jednotlivých odvětví a služeb, na které se regulace bude vztahovat, jsem shrnuli v našem předchozím článku.

Proč EU zavádí NIS2? Ohrožení firem i státu přichází z kyberprostoru

Kyberútoky mohou mít vážné negativní dopady na dostupnost klíčových služeb pro společnost, ekonomiku, ale i celkovou bezpečnost v České republice a Evropské unii. V jejich důsledku může docházet k výpadkům elektřiny, narušení komunikace, ztrátě či zveřejnění citlivých dat a dalším podobným událostem.

EU proto připravila kroky pro zvýšení kybernetické bezpečnosti s cílem:

1. posílit často nedostatečné digitální zabezpečení podniků a služeb na území EU,
2. zavést jednotnou strategii kybernetického zabezpečení ve všech členských státech,
3. zvýšit rychlost reakce na kybernetické incidenty.

Podívejme se nyní na jednotlivé cíle podrobněji.

1. Zvýšená bezpečnostní opatření a pravidelné hodnocení rizik

Směrnice NIS2 nařizuje implementaci technických a organizačních opatření, která zajišťují ochranu před kybernetickými hrozbami. Žádný podnik už dnes nepřekvapí, že má mít pravidla a postupy například pro bezpečnost práce a požární ochranu. V dnešním digitálním světě však může kyberútok způsobit podobně závažné problémy jako rozsáhlý požár. Nejde jen o výpadek podnikání a náklady na nápravu, ale také reputační riziko spojené se ztrátou citlivých dat.

2. Flexibilnější systém díky sjednocenému přístupu států EU

Kybernetický prostor nemá hranice a rozdílný přístup jednotlivých členských států EU k řešení bezpečnostních incidentů zvyšuje riziko, že útoky budou úspěšné. Sjednocení tohoto přístupu učiní celý systém flexibilnějším a díky jednotným standardům se vystaví pomyslná digitální hranice na úrovni EU.

Směrnice NIS2 zavádí jednotná pravidla, která usnadní spolupráci mezi členskými státy, což je klíčové pro efektivní reakci na kybernetické hrozby.

3. Povinné hlášení incidentů a zajištění rychlé reakce

Směrnice NIS2 zavádí povinnost hlásit kybernetické incidenty příslušným národním autoritám, v případě Česka je to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a Národní CERT. Tato povinnost zajišťuje, že relevantní informace o incidentech jsou rychle sdíleny a analyzovány, což umožňuje efektivnější reakci v rámci celého odvětví nebo státu. Firmy, které nesplní opatření daná směrnicí NIS2, budou čelit vysokým pokutám a sankcím.

Další důležité informace o obsahu NIS2 a nového kybernetického zákona, praktických dopadech na váš byznys i možnostech řešení pro vás shrneme v další článcích naší NIS2 série.