Naše aktivity se stále více přesouvají do online prostředí, kde je kybernetická bezpečnost důležitý aspekt pro každého, kdo se v tomto prostoru pohybuje – pro jednotlivce, organizace nebo stát jako celek. Evropská unie přijala směrnici NIS2, jejímž cílem je posílit odolnost členských států vůči kybernetickým hrozbám. Česká republika dlouhodobě pracuje na implementaci této směrnice do národní legislativy prostřednictvím nového zákona o kybernetické bezpečnosti. Tento zákon přinese řadu změn, které se dotknou mnoha subjektů. Jeho začátek jeho účinnosti se očekává v polovině roku 2025. Regulaci kybernetické bezpečnosti tak zatím stále zajišťuje platný zákon č. 181/2014 Sb., o kybernetické bezpečnosti.
Rozšíření působnosti a nové povinnosti
Jednou z důležitých změn, kterou směrnice NIS2 přináší, je rozšíření okruhu regulovaných subjektů. Toto rozšíření zahrnuje nejen nové sektory, ale také nové služby v již regulovaných odvětvích. Například v oblasti digitální infrastruktury budou nově regulovány služby cloud computingu a poskytovatelé služeb elektronických komunikací, výrobci kritických produktů či organizace z oblastí jako veřejná správa, energetika, zdravotnictví nebo finanční sektor. Primárním kritériem pro zařazení do regulace bude velikost subjektu, počet zaměstnanců a finanční ukazatele. Tento krok reflektuje snahu o komplexní zabezpečení významných odvětví před kybernetickými hrozbami. Cílem je nastavení alespoň základní úrovně zabezpečení v organizacích, které poskytují své služby v ekonomicky, společensky nebo bezpečnostně významným odvětvím.
Implementace směrnice NIS2 do české legislativy
Směrnice NIS2 byla publikována v Úředním věstníku Evropské unie 27. prosince 2022 a členské státy byli povinni ji implementovat do své národní legislativy do 17. října 2024. Mnoha státům EU se v uvedeném čase nepodařilo plně implementovat směrnici NIS2 do vnistrostátního práva, v souvislosti s tím komise EU zahájila řízení o nesplnění povinnosti zasláním výzvy 23 členským státům. Členské státy jsou poviny na tuto směrnici reagovat a dokončit její provedení. V České republice je za tento proces odpovědný Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který intenzivně pracuje na přípravě nového zákona.
Pro usnadnění orientace v nových povinnostech a požadavcích spojených se směrnicí NIS2 spustil NÚKIB specializovaný webový portál, který poskytuje o této problematice přehledné a ucelené informace. Na tomto portálu je možné najít podrobné informace o tom, koho se nové povinnosti týkají, jaká bezpečnostní opatření musejí být zavedena, jaké incidenty je povinností hlásit a jaké sankce hrozí za neplnění těchto požadavků.
Režim povinností
Nový zákon stanovuje dva režimy pro poskytovatele regulovaných služeb: režim vyšších a režim nižších povinností. Typ režimu stanovuje, jakými povinnosti se organizace nebo subjekt bude řídit. Základním kritériem pro zařazení do konkrétního režimu je velikost podniku, ale u některých služeb se posuzují i další faktory. Pokud organizace spadá do režimu vyšších povinností u alespoň jedné služby, tento režim se automaticky vztahuje na všechny regulované služby poskytované touto organizací.
Povinnosti regulovaných organizací
Pokud je organizace regulovaná, musí plnit povinnosti, jejichž rozsah záleží právě na tom do jakého režimu je zařazena. Tyto povinnosti jsou:
- Ohlášení služby, kterou organizace poskytuje.
- Nahlášení kontaktních údajů osob odpovědných za kybernetickou bezpečnost v organizaci.
- Postupné zavádění bezpečnostních opatření.
- Hlášení kybernetických bezpečnostních incidentů.
- Provádění protiopatření vydaných NÚKIB.
Zvýšená odpovědnost vedení organizací
Nový zákon klade důraz na odpovědnost vedení organizací za dodržování kybernetické bezpečnosti. Management bude povinen schvalovat bezpečnostní politiky a zajistit dostatečné zdroje pro jejich implementaci. Tato opatření mají za cíl zajistit, že kybernetická bezpečnost bude integrována do strategického řízení organizace a nebude opomíjena na úkor jiných priorit.
Bezpečnost dodavatelského řetězce
Nový zákon zavádí požadavky na zabezpečení celého dodavatelského řetězce. Organizace musí zohledňovat kybernetickou bezpečnost při výběru dodavatelů a pravidelně hodnotit související rizika. Tím se zajišťuje, že i třetí strany splňují stanovené bezpečnostní standardy a nepředstavují slabé místo v celkovém zabezpečení.
Tento zákon představuje významný krok směrem k posílení ochrany v digitálním prostoru. Aplikace opatření vyžaduje aktivní přístup a důkladnou přípravu ze strany všech subjektů. Včasná adaptace na nové požadavky nejenže zajistí soulad s legislativou, ale posílí celkovou odolnost organizací vůči kybernetickým hrozbám, v dnešní době krok nezbytný pro stabilní a bezpečný provoz.
Autor/ka obrázku: Freepik.com