NIS2: Nový zákon o kybernetické bezpečnosti

Směrnice NIS2 nemá v současné chvíli přímý legislativní dopad na obchodní společnosti a další subjekty v České republice.

Změny a nové povinnosti, které přináší, začnou v českém prostředí platit až s účinností nového Zákona o kybernetické bezpečnosti (ZoKB) a jeho prováděcích vyhlášek. Přijetí zákona se předpokládá ve druhé polovině roku 2024.

Nový zákon o kybernetické bezpečnosti počítá s roční přechodnou lhůtou, to znamená do poloviny roku 2025, aby měly firmy a organizace čas se na nové požadavky připravit. Nicméně sám tvůrce zákona, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), uvádí, že některé požadavky bude potřeba začít plnit už ve druhé polovině roku 2024. Proto je dobré se v celé problematice zorientovat a nečekat se zahájením prací až po přijetí zákona.

Směrnice NIS2, resp. nový Zákon o kybernetické bezpečnosti se dotkne víc než 6 000 soukromých i státních společností a organizací a uloží jim nové povinnosti. Za jejich nesplnění budou hrozit vysoké pokuty – ve výši až 250 milionů Kč nebo 2 % z ročního obratu společnosti.

Kybernetický zákon bude mít dopad na 60 služeb v 18 odvětvích. Dotknou se například energetiky, dopravy, vodohospodářství, bankovnictví a finančních služeb, poštovních a kurýrních služeb nebo potravinářství. Návrh zákona v této souvislosti mluví o tzv. regulovaných službách. Jejich kompletní výčet definuje Vyhláška o regulovaných službách ↗.

Organizace poskytující regulované služby se podle své velikosti dělí do dvou úrovní – základní (essential), pro ty platí vyšší povinnosti, a důležité (important), pro které platí nižší povinnosti.
 

Jak zjistím, jestli organizace spadá pod regulaci nového Zákona o kybernetické bezpečnosti?

Základní jsou dvě kritéria:

• organizace poskytuje aspoň jednu ze zákonem uváděných regulovaných služeb,
• zaměstnává 50 a víc zaměstnanců, nebo má roční obrat cca 250 milionů Kč a víc.

Nový ZoKB bude platit i pro dceřiné organizace a významný dopad bude mít i na dodavatele určených organizací.

Jestli nový ZoKB na organizaci dopadá, si organizace definují samy při tzv. sebeurčování. Organizace sama posoudí, jestli splňuje kritéria poskytovatele regulované služby. Pokud je naplňuje, registruje se u NÚKIB.

Mezi základní povinnosti, které NIS2, resp. nový Zákon o kybernetické bezpečnosti zavádí, patří:

• Přímá odpovědnost organizace a  jejího managementu za dodržování nařízení ZoKB.
• Nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů.
• Zavedení zákonem stanoveného minimálního standardu bezpečnostních opatření včetně bezpečnosti dodavatelského řetězce.
• Vytvoření týmu, který bude schvalovat opatření v oblasti kyberbezpečnosti a dohlížet na jejich dodržování.
• Primární ukládání dat na území České republiky s možností ukládat data v šifrované podobě v dalších zemích EU, NATO nebo Organizace pro ekonomickou spolupráci.
• Povinné dvoufázové hlášení bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost.
• A další...

Důvodem pro řešení požadavků nového Zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek by neměly být vysoké pokuty, ale vůle eliminovat nebezpečí kybernetické události, které může omezit nejen poskytování regulované služby. A to i proto, že vedlejším přínosem zvyšování kybernetické bezpečnosti bývá i synergické zvyšování efektivity ICT i v době mimo útok.

Obecně lze požadavky shrnout do následujících bodů:

• poznejte, kde se vaše regulovaná služba opírá o ICT,
• zajistěte bezpečnost provozu ICT tak, aby nedošlo k narušení kontinuity a kvality poskytování služby.
   

Zajištění provádějte na organizační i technické úrovni:

• kontinuálně udržujte povědomí o tom, kde a jak se vaše regulovaná služba opírá o ICT,
• na základě nových zjištění upravujte úroveň a formu zabezpečení.

Popsané řešení lze zvládat při spolupráci oddělení napříč organizací (především vrcholného vedení, osob odpovědných za kybernetickou bezpečnost a provozovatelů ICT). Zákonná organizační opatření pak budou snadno zvládnutelná a můžou i zvýšit efektivitu fungování organizace jako takové.

Organizační i technická opatření je vhodné zavádět jako celek. Díky tomu nebude docházet k výraznému omezení nebo zdržení během nasazení, správy a provozu.

V menších a středních organizacích lze auditní část při zachování kvality provádět v rozsahu jednotek MD. Správně definované požadavky je vhodné promítnout do nastavení limitovaného počtu nástrojů.

Provázání infrastrukturního prvku s identitami a nástroji pro koncové stanice bývá efektivnější než nákupy mnoha nových systémů. Logy získané z takto integrovaného řešení navíc poskytnou zpětnou vazbu pro analýzu a integrace výrazně zjednoduší i vynucování definovaných bezpečnostních politik.