Poradíme Vám, jak se připravit na nový Zákon o kybernetické bezpečnosti

Směrnice NIS 2 (Network and Information Security 2) nahrazuje směrnici NIS 1 (Network and Information Security 1) z roku 2016. Rozšiřuje doposud platnou legislativu Unie a představuje nový standard pro zabezpečení evropského kybernetického prostoru. Cílem je zajistit společný regulační rámec kybernetické bezpečnosti v Unii pro jednotlivé členské státy. Požadavky směrnice NIS 2 musí být transponovány do právních systémů jednotlivých členských států, které tak mohou odrážet i jednotlivé národní zájmy v oblasti kybernetické bezpečnosti. Směrnicí NIS 2 se transponuje novým Zákonem o kybernetické bezpečnosti do právního řádu České republiky.

NIS 2 je směrnice a DORA (Digital Operational Resilience Act) je nařízení, jsou to dva právní předpisy Unie, které se zaměřují na zvýšení odolnosti a bezpečnosti v digitálním prostředí. Přestože mají různé cíle a zaměření, jejich vztah spočívá ve vzájemné provázanosti a doplňování.

DORA se zaměřuje se výhradně na finanční sektor, včetně bank, pojišťoven, investičních společností, poskytovatelů ICT služeb a dalších subjektů kritických pro finanční stabilitu. Klade důraz na řízení rizik ICT, outsourcing, testování odolnosti a hlášení incidentů.

NIS 2 pokrývá širší spektrum kritických sektorů, zatímco DORA se specializuje na finanční sektor. Pro subjekty finančního sektoru, které jsou také součástí kritické infrastruktury podle NIS 2, bude nutné zajistit koordinovaný přístup při aplikaci obou předpisů.

NIS resp. NIS 1 byla prvním úvodním předpisem EU a NIS 2 na ni navazuje. Původní směrnice se zaměřovala na zabezpečení úzkého výběru organizací s velkým dopadem na společnost. Nová si klade za cíl zabezpečit všechny poskytovatele služeb důležitých pro fungování společnosti.
Dle směrnice NIS 2 mají členské státy za úkol posílit kapacity v oblasti kybernetické bezpečnosti, zavést opatření k řízení kybernetických bezpečnostních rizik a oznamovací povinnosti v kritických odvětvích, a to společně s pravidly pro spolupráci, sdílení informací, dohled a prosazování v ještě větší míře, než jako tomu bylo doposud v rámci směrnice NIS.
Za významné změny lze považovat dramatické rozšíření počtu povinných subjektů, rozdělení subjektů na dvě kategorie tzv. „important“ (v návrhu nového Zákona o kybernetické bezpečnosti jako subjekt v režimu nižších povinností) a „essential“ (v návrhu nového Zákona o kybernetické bezpečnosti jako subjekt v režimu vyšších povinností), stanovení požadavků na bezpečnost dle této kategorie a zavedení sankcí.

NIS 2 se až na výjimky vztahuje na střední a velké subjekty (Velikost subjektu je stanovena dle principů Doporučení Komise 2003/361/ES ze dne 6. května 2003 o definici mikropodniků a malých a středních podniků.)
Obecně platí, že směrnice NIS 2 subjekty, které poskytují některou z určených služeb ve vyjmenovaných odvětvích:

• Energetika
• Doprava
• Bankovnictví a infrastruktury finančního trhu
• Zdravotnictví
• Pitná voda
• Odpadní voda
• Digitální infrastruktura
• Řízení služeb IKT (mezi podniky)
• Vesmír
• Veřejná správa
• Poštovní a kurýrní služby,
• Nakládání s odpady,
• Výroba, produkce a distribuce chemických látek,
• Výroba, zpracování a distribuce potravin,
• Výroba, zejména zdravotnických prostředků, počítačů, elektronických a optických přístrojů, některých elektrických zařízení a strojů, motorových vozidel
• Digitální poskytovatelé on-line tržišť, vyhledávačů a sociálních sítí
• Výzkumné organizace.

Následně se u těchto subjektů dle jejich velikosti určuje, která kategorie je pro ně relevantní (režim nižších nebo vyšších povinností).

U některých vyjmenovaných služeb je stanoveno, že pod regulaci směrnice NIS 2 budou spadat všechny organizace, nehledě na jejich velikost. Jde zejména o

• poskytovatele služeb elektronických komunikací
• poskytovatelů služeb vytvářejících důvěru
• poskytovatele služeb DNS

U ostatních služeb se bude zohledňovat velikost organizace a v některých případech i další kritéria (např. počet odbavených cestujících za rok u letišť atp.).

Národní legislativa může definici subjektů rozšířit, a proto je výše uvedený seznam pouze informativní a pro konkrétní společnost je vždy nutné zkontrolovat odpovídající legislativu obsahující veškeré detaily a výjimky.

NIS 2 je směrnice EU, jejíž požadavky musí být transponovány do právního řádu České republiky. Platí však, že česká legislativa nesmí požadavky NIS 2 podkročit. Česká republika do nového Zákona o kybernetické bezpečnosti zahrne, jak požadavky směrnice NIS 2 a jiných aktů EU, tak i lokální požadavky na kybernetickou bezpečnost.

Subjektům, které směrnici NIS 2 nebudou dodržovat, mohou být uloženy vysoké pokuty.

• Základním subjektům (v lokální úpravě subjektům s povinnostmi ve vyšším režimu) hrozí až 10 milionů EUR nebo 2 % celosvětového obratu.
• Důležitým subjektům (v lokální úpravě subjektům s povinnostmi v nižším režimu) hrozí až 7 milionů EUR nebo 1,4 % celosvětového obratu.

Pro všechny subjekty bude v případě vyměření pokuty použito vyšší číslo obou výše zmíněných.
Organizacím, které nesplní stanovené požadavky, mohou být uloženy další nepeněžní sankce. Patří sem nařízení ke splnění požadavků, závazné pokyny, požadavky na oznamování a podávání zpráv dotčeným stranám, a implementační opatření, která mohou vyplynout ze zjištění bezpečnostního auditu.

Ano, některých vyjmenovaných služeb je stanoveno, že pod regulaci směrnice NIS 2 budou spadat všechny organizace, nehledě na jejich velikost. Jde zejména o

• poskytovatele služeb elektronických komunikací
• poskytovatelů služeb vytvářejících důvěru
• poskytovatele služeb DNS

Zároveň si jednotlivé členské státy mohou počet subjektů rozšířit dle lokálních potřeb.

Hlavním požadavkem je, aby jednotlivé členské státy zajistily přijetí vhodných a přiměřených technických, provozních a organizačních opatření k řízení bezpečnostních rizik, jimž čelí sítě a informační systémy, které tyto subjekty používají pro svůj provoz nebo poskytování svých služeb, a předcházely tak incidentům nebo minimalizovaly jejich dopad na poskytování služeb. 10 konkrétních oblastí zmiňuje směrnice v článku 21 a tyto budou v národní úpravě dále rozpracovány v novém zákoně o kybernetické bezpečnosti. Tyto oblasti zahrnují:

1. politiku analýzy rizik a politiku bezpečnosti informačních systémů;
2. řešení incidentů;
3. řízení kontinuity provozu, jako je například správa zálohování a obnova provozu po havárii, a krizové řízení;
4. bezpečnost dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho přímými dodavateli nebo poskytovateli služeb;
5. zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení;
6. politiky a postupy za účelem posouzení účinnosti opatření k řízení kybernetických bezpečnostních rizik;
7. základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti;
8. politiky a postupy týkající se používání kryptografie a případně šifrování;
9. bezpečnost lidských zdrojů, postupy kontroly přístupu a správa aktiv;
10. v příslušných případech používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení, zabezpečené hlasové, obrazové a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu.

V případě všech poskytovatelů regulované služby

• Zaregistrovat se jako povinný subjekt
• Hlásit kontaktní údaje
• Stanovit rozsah řízení kybernetické bezpečnosti
• Zavádět bezpečnostní opatření
• Hlásit kybernetické bezpečnostní incidenty
• Informovat uživatele o incidentech a hrozbách
• Zavádět protiopatření vydaná Národním úřadem pro kybernetickou a informační bezpečnost

V případě těch, kteří jsou zároveň tzv. poskytovateli strategicky významné služby navíc

• Mechanismus prověřování bezpečnosti dodavatelského řetězce
• Zajištění dostupnosti strategicky významné služby

Navrhovaný nový Zákon o kybernetické bezpečnosti a jeho prováděcí vyhlášky jsou k dispozici, proto již není na co čekat. Bezpečnostní opatření vychází z norem řády ISO 2700x (ISMS).

NIS 2 musí být transponován do legislativy jednotlivých států dle principu, že národní legislativa může být přísnější než je NIS 2.

Gestorem řádné transpozice směrnice NIS 2 je Národní úřad pro kybernetickou a informační bezpečnost.

Návrh Zákona o kybernetické bezpečnosti pracuje s několika lhůtami. První jsou spojeny s nahlášením subjektu NÚKIBu (subjekt se sám registruje). Toto musí proběhnout hned po začátku platnosti zákona, resp. do 30 dnů od identifikace, že subjekt spadá pod novou úpravu. Na implementaci jednotlivých organizačních a technických opatření je prozatím dána lhůta 1 roku od nahlášení subjektu NÚKIBu.

Pokud potřebujete pomoc s konkrétními otázkami v oblasti kybernetické bezpečnosti, implementace opatření apod., kontaktujte prosím našeho obchodního zástupce, který vám poskytne další informace a všechno potřebné zařídí.