Směrnice NIS 2 se dotkne 6 000 firem. Jste na ni připraveni?

Datum vydání

21. 11. 2023

Zajímá vás popisované téma?

kontaktujte nás
Směrnice NIS 2 se dotkne 6 000 firem. Jste na ni připraveni?

V rámci EU vstoupila v platnost 27. prosince 2022, nyní probíhá její implementace do českého právního řádu – schválena bude nejspíš v půlce října a platit začne během roku 2024. Dojde tím k výraznému rozšíření a zpřísnění starší směrnice (NIS) z roku 2016. Z původních cca 400 firem směrnice nově ovlivní až 6 000 českých společností. A splnit její podmínky nebude snadné.

O co přesně se jedná?

Plné znění směrnice si můžete (v češtině) přečíst ZDE.

Ve zkratce: směrnice udává, že členské státy EU mají povinnost identifikovat všechny subjekty, které poskytují páteřní služby, a tyto subjekty následně musí zavést definovaná opatření k prevenci kybernetických útoků. Dochází tak ke sjednocení národních strategií, postupů nebo hodnocení kritérií a rizik, protože v minulosti se stávalo, že jednotlivé země měly ke kyberbezpečnosti odlišné přístupy. Každý členský stát musí také zřídit národní tým pro reakci na počítačové bezpečnostní incidenty.

Směrnice jmenuje konkrétní sektory veřejné i soukromé sféry, kterých se opatření týká. Zároveň rozděluje firmy na subjekty zásadního a důležitého významu.

Subjekty zásadního významu (vyšší důležitost)Subjekty důležitého významu (nižší důležitost)
energetikapoštovní a kurýrní služby
dopravaodpadové hospodářství
finanční trhychemický průmysl
zdravotnictvípotravinářský průmysl
vodní hospodářstvívýrobní průmysl
digitální infrastruktura a služby 
veřejná správa 
vesmírný průmysl 

Narušení služeb u subjektu zásadního významu by mělo vážný či kritický dopad na ekonomiku země nebo fungování společnosti, proto jsou u těchto firem podmínky přísnější.

Firma zásadního významu

  • adoptuje plné znění všech požadavků směrnice,
  • musí hlásit veškeré bezpečnostní incidenty,
  • musí sledovat varování NÚKIB a proaktivním opatřením na hrozby reagovat,
  • je pod kontrolou NÚKIB,
  • data a informace musí zpracovávat na serveru v daném regionu,
  • musí prověřovat i své kritické dodavatele.

Firma důležitého významu

  • adoptuje snížené požadavky směrnice,
  • má povinnost hlásit jen bezpečnostní incidenty s výrazným dopadem,
  • nemusí sledovat varování NÚKIB,
  • je pod kontrolou certifikovaného inspektora NÚKIB,
  • data a informace nemusí zpracovávat na serveru v daném regionu,
  • nemusí prověřovat své dodavatele.

Jaké změny přinese NIS2 v praxi?

Nová směrnice zavádí opatření organizačního a technického charakteru.

V organizační oblasti se manažeři musí věnovat hodnocení a řízení rizik, zavádět ucelené bezpečnostní politiky s důrazem na udržitelnost provozu služeb a dbát na proškolení personálu. Důraz je kladen i na bezpečnost dodavatelského řetězce.

V oblasti technických opatření se jedná primárně o zabezpečení IT infrastruktury. Mezi to patří:

  • Ochrana telekomunikační sítě a správně distribuované systémy, včetně těch s architekturou vysoké dostupnosti.
  • Správa a ověřování identit včetně externích uživatelů a dodavatelů.
  • Řízení přístupových oprávnění napříč celou strukturou organizace.
  • Kryptografie a ochrana citlivých dat, důraz na zálohování a obnovu.
  • Ochrana všech zařízení s přístupem do sítě.

Novinkou bude podmínka evidence řešení a hlášení zranitelnosti a incidentů. První hlášení musí firma podat již do 24 hodin od zjištění bezpečnostního problému, druhou podrobnější zprávu musí podat do jednoho měsíce.

Cílem prvního oznámení je omezit potenciální šíření incidentů a umožnit subjektům co nejrychleji eliminovat potenciální hrozbu. Druhé hlášení má zajistit poučení se z předchozích incidentů.

Právě ohlašovací povinnost je pro firmy největší výzvou, protože musí dohlížet a reagovat na incidenty v režimu 24/7/365. Na trhu je přitom nedostatek kvalifikovaných IT specialistů, takže najít interní lidi pro nepřetržitý provoz bude obtížné. Je třeba zaměřit pozornost na chytrá řešení s maximálním využitím pokročilých technologií.

Směrnice začne platit nejpozději 31. prosince 2024, přičemž hned od následujícího měsíce může kontrolní úřad uvalit sankce za nedodržení povinností.

S NIS2 vám dokážeme pomoci

Naše firma System4u v reakci na zavedení NIS2 nabízí službu Managed Detection & Response – balíček pro pokrytí všech požadavků směrnice. Tato služba zahrnuje:

  • Bezpečnostní audit vaší IT infrastruktury a podrobnou analýzu stavu s využitím moderních postupů a penetračních testů (on-premise i cloud hosting, sítě, aplikační vrstva, správy identit, koncové body, datová úložiště, zabezpečení dat, zálohování, obnova atp.).
  • Odborné konzultace včetně architektonického návrhu a následné implementace doporučených změn.
  • Službu dohledového centra bezpečnosti (SOC365) včetně řešení a reportování incidentů.

Se službou Managed Detection & Response budete mít jistotu, že fungujete v souladu s NIS2 i s dalšími předpisy jako GDPR nebo ISO 27001. Pokud se o tom chcete pobavit více, dejte nám vědět.

Další články

Digitálními technologiemi žijeme. A proto o nich i píšeme.

Nejnovější články
Další články
1/10

Nebo se nám ozvěte napřímo

Alena Valečková

Alena Valečková

office koordinátorka

Kontaktujte nás

Vyplňte náš formulář, ozveme se vám do několika dnů s návrhem nezávazné konzultace.