Směrnice NIS2
Publikováno: 24.5.2023
NIS2 je evropská směrnice, která byla schválena v prosinci 2022. Jejím hlavním cílem je zlepšit odolnost definovaných organizací EU jako celku v oblasti kybernetické bezpečnosti a schopnost reagovat na bezpečnostní incidenty a snížení ztrát na nejnižší možnou úroveň.
Na koho se vztahuje
NIS2 se vztahuje na organizace, které zároveň naplňují tyto dvě uvedená kritéria:
- Organizace poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice a zároveň
- je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK) případně je podnik důležitým dodavatelem služeb pro organizaci spadající do NIS2.
V případě mateřských či propojených podniků se pak postupuje dle příručky posouzení velikosti podniku.
Regulované služby s vyšším režimem jsou organizace z těchto odvětví
- veřejná správa
- energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík)
- doprava (letecká, železniční, vodní a silniční)
- bankovnictví a infrastruktury finančních trhů
- zdravotnictví a výroba farmaceutických a zdravotnických prostředků
- pitná voda a odpadní vody
- digitální infrastruktura, výměnné uzly internetu, poskytovatelé služeb DNS, registry internetových domén nejvyšší úrovně (TLD)
- poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center a sítě pro doručování obsahu
- poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací
- vesmír
Regulované služby s nižším režimem jsou organizace z těchto odvětví
- výroba strojního zařízení
- výroba počítačů a elektroniky
- výroba motorových vozidel
- výroba jiných zdravotnických prostředků
- výroba potravin
- digitální poskytovatelé (internetová tržiště, internetové vyhledávače a platformy služeb sociálních sítí)
- poštovní a kurýrní služby
- nakládání s odpady, chemické látky
Grafický náhled služeb uvedených v přílohách směrnice od NÚKIB:
Kdy začne platit NIS2
V rámci úprav v národní legislativě by Česká republika měla mít zaveden nový rámec povinností (formou novelizace zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů) nejpozději do 16. října 2024.
Význam NIS2 pro firmy a organizace: Efektivní a přiměřená ochrana dat
NIS2 přináší do oblasti kybernetické bezpečnosti nové požadavky, které jsou klíčové pro firmy a organizace. Tento předpis vyžaduje, aby se podniky a instituce zaměřily na zavedení efektivních a přiměřených opatření zahrnujících technické, procesní, manažerské a organizační aspekty. Klíčovým prvkem je přiměřenost – to znamená, že ne každá firma musí investovat do špičkového šifrování nebo nejdražšího vybavení. Opatření by měla být přizpůsobena finančním možnostem firmy a cennosti jejích dat. Konkrétní požadavky se liší podle toho, zda se jedná o organizaci s vyšším či nižším stupněm zabezpečení, ale hlavním cílem je snížení rizik spojených s napadením, odcizením, ztrátou či narušením informací a dat.
NIS2 se zabývá následujícími 10 okruhy:
- Analýza rizik a politiky bezpečnosti informací
- Zvládání incidentů
- Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení
- Bezpečnost v rámci dodavatelského řetězce
- Bezpečnost v rámci pořízení, vývoje a údržby systémů
- Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit)
- Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti
- Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování
- Bezpečnost lidských zdrojů, řízení přístupů a aktiv
- Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci
Otázky a odpovědi ohledně NIS2
Otázka: Jak se firma dozví, že pod NIS2 spadá?
Identifikace povinných osob se bude provádět tzv. samo-identifikací. Společnost si sama musí analyzovat, zda naplňuje kritéria pro určení (tzn. působení v regulovaném odvětví a velikost podniku), a pokud ano, pak se NÚKIBu nahlásit (formou registrace v nově zřízeném informačním systému).
Otázka: Jak se počítá počet zaměstnanců u dceřiných společností?
Do počtu zaměstnanců se počítá i velikost zbylých koncernových entit. Tzn. pokud má celý koncern více jak 250 zaměstnanců, tak je splněna podmínka pro počet zaměstnanců.
Otázka: Bude se NIS2 vztahovat i na menší obce a městská části?
Směrnice NIS2 povinně vyžaduje regulaci centrální veřejné správy. Regionální a lokální autority (tzn. obce a kraje) zatím dle návrhu regulovány nebudou. Tzn. „trojkové“ obce budou pod regulaci náležet a malé obce („jedničkové“ a „dvojkové“) v tuto chvíli nebudou padat pod NIS2.
Otázka: Jak je to s infrastrukturou finančních trhů? Padají pod NIS2?
Do sektoru infrastruktury finančních trhů spadají především obchodní systémy podle zákona o podnikání na kapitálovém trhu (především burzy) a ústřední protistrany podle nařízení Evropského parlamentu a Rady (EU) č. 648/2012 ze dne 4. července 2012 o OTC derivátech, ústředních protistranách a registrech obchodních údajů.
Tento finanční sektor je však regulován sektorovou legislativou nařízením DORA, kde dozorovým orgánem je ČNB.
Otázka: Bude se NIS2 vztahovat i na školy
Do regulace NIS2 budou spadat vysoké školy. Zbylé úrovně školství by neměly být prozatím do regulace zahrnuty.
Otázka: Spadají pod NIS2 pivovary?
Pokud naplňují parametr velikosti podniku pak ano. Pivo je dle Evropské sběrnice S 178/2002 čl.2 potravina a definice výroby potravin dle ES 178/2002, čl. 3 bod 2 „potravinářským podnikem“ veřejný nebo soukromý podnik, ziskový nebo neziskový, který vykonává činnost související s jakoukoli fází výroby, zpracování a distribuce potravin.
Otázka: Pokud naše společnost vlastní certifikaci ISO 27001 nebo TISAX, musíme zavádět NIS2?
Žádná certifikace v současné době nenahrazuje povinnost plnit požadavky NIS2/ZKB (zákona o kybernetické bezpečnosti).
Otázka: Pokud poskytuji služby subjektu, na kterého dopadne NIS2, bude tento subjekt po mě muset NIS2 vyžadovat také?
Zde opravdu záleží na konkrétním uspořádání vztahů a především zdali služby, které jsou outsourcovány mají přímý vztah na regulovanou službu (uvedenou v příloze směrnice). Pokud tomu tak je, odběratel v rámci smluvních vztahů bude požadovat minimálně zajištění relevantních bezpečnostních opatření.