Co je NIS2

NIS2 je evropská směrnice, která reaguje na stále se měnící a vyvíjející kybernetické hrozby. Rozšiřuje spektrum organizací, na které se vztahuje, včetně veřejných a soukromých subjektů v konkrétních sektorech. Implementována bude prostřednictvím novelizace zákona o kybernetické bezpečnosti.

NIS2 a termíny

Časová osa legislativních termínů a jejich návaznosti. Co je vhodné dělat, aby klient dosáhl souladu v požadovaný čas.

Na koho se vztahuje NIS2

NIS2 se týká středních a velkých organizací (s více než 50 zaměstnanci nebo obratem přesahujícím 250 milionů Kč), které poskytují alespoň jednu z regulovaných služeb. Nejste si jisti, zda se vaše společnost řadí mezi ty, na které se NIS2 vztahuje? Naše online ověření vám na základě IČ rychle poskytne odpověď.

Jak řešíme NIS2

Nabízíme řízený postup, který minimalizuje riziko nasazení neefektivních opatření a realisticky odhaduje náročnost těchto opatření.

Analýza probíhá formou řízeného pohovoru a diskuze.

Výstupem není jen pouhý checklist, zda požadované věci máte, ale především hodnotíme, zda slouží požadovanému účelu.

Jednotlivé fáze zajištění shody s NIS2. Důsledná analýza, detailní plán implementace, samotná implementace opatření, hodnocení, shoda s NIS2.

Typickým příkladem může být zálohovací plán. Jeden pohled na věc je, zda data zálohujete, jak často, zda do více lokalit, na různá zařízení a jaké máte hodnoty RPO (o kolik dat přijdeme) a RTO (za jak dlouho obnovíme data). Druhý pohled je, zda odběratelé této služby (garanti aplikací a služeb) toto vědí, souhlasí s tím a znají co to znamená pro jejich procesy a vědí, jak se s těmito situacemi vypořádají.

S čím vám můžeme pomoci

  • Analýza stavu bezpečnosti vzhledem k NIS2
  • Bezpečnostní koncepce (ISMS)
  • Identifikace aktiv
  • Základní dokumentace služeb
  • Registrace služeb na NÚKIBu
  • Analýza významných smluv
  • Nastavení základních procesů IT
  • Vzdělání zaměstnanců a garantů
  • Řízení/implementace opatření na základě analýzy
  • Zajištění a prohlášení shody s NIS2

Hlavní změny

Rozšíření počtu regulovaných organizací

Mezi regulované oblasti patří veřejná správa, energetika, výrobní a potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, doprava, digitální infrastruktura a služby, finanční trhy, zdravotnictví, věda, výzkum, poštovní a kurýrní služby, vojenský a vesmírný průmysl. Celkem se jedná řádově o 6000 nově regulovaných subjektů.

Odpovědnost a povinnosti vedení

Důležitá část navrhovaného zákona je věnována povinnostem vrcholového vedení, mezi které patří i zajištění stanovení bezpečnostní politiky a cílů, zajištění dostatečných zdrojů a komunikace důležitosti bezpečnosti v rámci organizace.

Možnost pokut

Pokuta může vystoupat až do výše 10 mil. € nebo 2 % z čistého obratu za poslední ukončené účetní období.

Povinnost hlášení incidentů

Hlášení kybernetických incidentů na NÚKIB (resp. CERT) včetně oznámení incidentu uživatelům služby.

Správa rizik

Je nutné identifikovat aktiva, evidovat a hodnotit aktiva organizace včetně přiřazení garantů. Následně pak pravidelně vyhodnocovat rizika a aplikovat vhodná opatření.

Bezpečnost dodavatelského řetězce

Důvodem jsou jak stále častější úspěšné útoky z poslední doby skrze dodavatelský řetězec, kde tyto útoky jsou častěji nenápadnější, ale v určitých ohledech dopady jsou fatálnější. Proto návrh zákona udává povinnost aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů.

Lokalizace dat pro organizace s vyššími povinnostmi

Zpracování dat, u kterých by mohl mít za následek incident s významným dopadem, bude povoleno tyto data ukládat a zpracovávat pouze na území EU.

Která opatření by měla být zavedena jako první?

Pro organizace, které doposud nezavedly systematickou dokumentaci a opatření v oblasti kybernetické bezpečnosti, doporučujeme začít s těmito základními kroky:

  1. Identifikace a ochrana klíčových aktiv
  2. Vzdělávání a školení zaměstnanců
  3. Zabezpečení sítě, včetně firewallů a monitorování provozu
  4. Aplikační bezpečnost, zahrnující pravidelné aktualizace a záplaty
  5. Důsledné zasmluvnění s dodavateli a ověřování jejich bezpečnostních standardů

Proč si vybrat Blue Partners?

  • Lidský přístup: Rozumíme, že každá organizace je unikátní. Přistupujeme k vám individuálně a hledáme řešení, která jsou pro vás nejefektivnější.
  • Zkušenosti a diskrétnost: Naši odborníci mají bohaté zkušenosti s implementací bezpečnostních opatření a jsou prověřeni dlouholetou praxí.
  • Certifikovaná kvalita: Jsme držiteli certifikátu ISO 27001 a osvědčení NBÚ, což zaručuje vysokou úroveň poskytovaných služeb.

Nabízíme komplexní řešení pro vaši shodu s NIS2, od prvotní analýzy až po zajištění shody a implementaci opatření. Kontaktujte nás pro více informací a zabezpečte svou organizaci v souladu s nejnovějšími požadavky NIS2.

Konzultace k NIS2 zdarma

Získejte 30 minut konzultace zdarma!

Neváhejte a využijte možnost bezplatné konzultace s našimi odborníky. Zavolejte nám nebo napište a zjistěte, jak vám můžeme pomoci s přípravou na NIS2.

CIA – Certified internal auditor logo
ISO 9001 - logo
ISO 20000 - logo
ISO 27001 - logo
ISMS Lead auditor - logo
PRINCE2 - logo