Co je směrnice NIS 2 a koho se týká

Na začátku roku 2023 vstoupila v platnost evropská směrnice NIS 2, která určuje nová pravidla při řešení kybernetické bezpečnosti uvnitř organizací. Tuto směrnici bude muset povinně splnit jen v ČR více než 6.000 firem a organizací, na Slovensku pak 3.000.

Směrnice bude mít zásadní dopad na jejich fungování. Zavádí totiž řadu pravidel pro zajištění bezpečnosti jejich kyberprostoru proti hackerským útokům.

Směrnice NIS 2 bude v průběhu roku 2024 implementována do právního řádu ČR jako nový Zákon o kybernetické bezpečnosti.

Proč povinná směrnice?

Kybernetické útoky nejsou v současné době bohužel ničím výjimečným a dokáží zcela ochromit nejen soukromé subjekty, ale i klíčovou infrastrukturu kteréhokoliv státu. Staly se právoplatnou součástí válečných konfliktů, hybnou silou teroristických i ekonomických útoků a nebezpečným nástrojem manipulace. Není proto divu, že se EU rozhodla pro ještě účinnější regulaci, díky které chce zvýšit celkovou úroveň kybernetické odolnosti v Evropě.

Starší a pečlivější sestra NIS

Evropská unie v rámci nové regulace zavádí řadu pravidel pro zajištění bezpečnosti a odolnosti kyberprostoru proti hackerským útokům. Ty mají zaručit lepší schopnost důležitých firem a organizací reagovat na případné incidenty. Nejde při tom o nic nového – NIS 2 má rozšířit působnost již existující a platné směrnice NIS, která se ale díky stále rychlejší digitální transformaci ukázala být nedostačující. Úkolem její starší sestry je tak mimo jiné i sjednocení přístupu ke kybernetické bezpečnosti napříč členskými státy EU.

Koho se nová směrnice dotkne?

Jestli se sami sebe ptáte, zda se vás tato regulace týká, vězte, že pravděpodobnost je poměrně vysoká. Nová legislativa totiž významně rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti, a mění i zavedenou terminologii. Původní směrnice NIS se totiž týkala jen provozovatelů takzvaných základních a digitálních služeb, ve směrnici NIS 2 se ale subjekty nově dělí na základní a důležité. Do “základní” skupiny byli při tom přeřazeni nejen původní provozovatelé základních služeb, ale i mnoho nováčků – mezi nimi i státní správa.

Důležité subjekty pak reprezentují poštovní a kurýrní služby, výroba a distribuce potravin nebo digitální služby. NIS 2 navíc přidává oproti původní směrnici ještě jedno kritérium – velikost firmy. Nová pravidla se tak budou týkat pouze středních a velkých podniků v daných odvětvích. Je opravdu důležité zjistit si včas, zda vaše firma do dotčené oblasti spadá, a provést příslušné kroky. V opačném případě by se vám to totiž mohlo prodražit.

Pravidla, které se nevyplatí ignorovat

Směrnici NIS 2 totiž rozhodně nelze brát jen jako pouhé doporučení. Tisícům soukromých společností a orgánům veřejné správy díky ní vzniknou nové povinnosti, za jejichž nedodržení mohou být vyměřeny desetimilionové pokuty.

Firmy budou muset mimo jiné provést podrobnou analýzu rizik, zavést efektivní systém řízení, prevence a detekci incidentů, nebo zabezpečit kontinuitu provozu a krizové řízení. Vybrané subjekty navíc budou mít nově oznamovací povinnost, v rámci které musí Národnímu úřadu pro kybernetickou a informační bezpečnost neprodleně oznámit každý závažnější kyberbezpečnostní incident. Přímá odpovědnost za zavedení těchto pravidel při tom bude ležet na statutárních orgánech daných firem. Členové vedení by proto měli s předstihem absolvovat příslušná školení.