SMĚRNICE NIS2 PŘINÁŠÍ MNOHO ZMĚN V OBLASTI ZAJIŠŤOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI A TÝKÁ SE NEJEN ORGANIZACÍ, KTERÉ JSOU JIŽ DNES ZE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI POVINNY SVÉ SYSTÉMY ZABEZPEČOVAT, ALE I VELKÉHO MNOŽSTVÍ ORGANIZACÍ, KTERÉ BUDOU DO REGULACE SPADAT NOVĚ A DOSUD ŽÁDNÉ POVINNOSTI PLNIT NEMUSELY.
V kontextu řady změn i zájmu odborné veřejnosti o toto téma spustil NÚKIB webové stránky, jejichž cílem je podat přehledné a ucelené základní informace o tom, co nová směrnice NIS2 přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy. Evropská unie již v roce 2016 přijala směrnici o bezpečnosti sítí a informací, tzv. směrnici NIS. Celý její oficiální název zní Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v unii. Tím byl na unijní úrovni položen základ k zajištění bezpečnosti sítí a informačních systémů zajišťujících důležité služby napříč členskými státy. V České republice již v té době existoval zákon č. 181/2014 Sb., o kybernetické bezpečnosti, a proto muselo dojít k jeho novelizaci. Velkou výhodou pro Českou republiku bylo, že jako jeden z mála členských států měla v této oblasti díky zmíněnému zákonu zkušenosti, a proto také mohla významně přispět k obsahu první směrnice NIS.
Nyní přichází Evropská unie s prohloubením tohoto rámce, který reprezentuje nová směrnice o kybernetické bezpečnosti – tzv. NIS2. Česká republika nyní může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 míří směrem k současné české regulaci. Pro organizace, kterých se týkala již původní směrnice NIS, se toho tedy v praxi příliš měnit nebude.
Publikace finálního znění směrnice NIS2 se předpokládá ve čtvrtém čtvrtletí roku 2022. Transpoziční lhůta (tj. lhůta, ve které musí členské státy směrnici promítnout do národního práva) je stanovena na 21 měsíců. Z toho plyne, že pokud se výše zmíněný předpoklad naplní, přibližně v polovině roku 2024 by Česká republika měla mít zaveden nový rámec povinností v národní legislativě (formou novelizace zákona o kybernetické bezpečnosti a některých dalších relevantních předpisů).
STĚŽEJNÍ ZMĚNY V REGULACI
NIS2 přináší řadu podstatných změn stávajícího regulatorního rámce, které se dotýkají jak strategické úrovně (jde zejména o povinnosti dopadající na NÚKIB a unijní agenturu ENISA), tak regulace povinných osob (tj. práv a povinností konkrétních subjektů, společností a státních organizací v České republice).
Mezi nejvýznamnější povinnosti z hlediska fungování NÚKIB a České republik v oblasti zajišťování kybernetické bezpečnosti v Evropské unii patří:
• povinné přijetí národní strategie kybernetické bezpečnosti a kybernetických bezpečnostních politik pro vybrané oblasti (např. bezpečnost dodavatelského řetězce, koordinované zveřejňování informací o zranitelnostech, zvláštní potřeby malých a středních podniků);
• hlubší spolupráce s členskými státy v oblastech kybernetického krizového řízení, řešení rozsáhlých kybernetických bezpečnostních incidentů a sdílení strategických informací a dobré praxe;
• koordinované zveřejňování informací o zranitelnostech a zřízení Evropského registru zranitelností;
• hlubší spolupráce s dozorovými orgány ostatních členských států na provádění kontrol a vymáhání dodržování uložených povinností;
• hlubší spolupráce s vnitrostátními úřady a organizacemi a koordinace dozorových činností u organizací, kterým plyne povinnost zajišťovat kybernetickou bezpečnost z více právních předpisů (např. v odvětvích energetiky, letectví nebo ochrany osobních údajů);
• větší zapojení Evropské komise do sjednocení regulace v členských státech (např. formou jednotných metodik pro zavádění bezpečnostních opatření nebo jednotných formulářů pro hlášení incidentů).
Mezi nejvýznamnější změny přímo dopadající na regulované organizace patří rozšíření počtu povinných osob (odhady hovoří o nejméně 6 000 soukromých i státních organizacích), a to jednak rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací), anebo změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace); povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci. Dále pak dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností; podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů; větší důraz na sdílení informací mezi povinnými organizacemi; prohloubení spolupráce mezi regulátorem a povinnými organizacemi; významné zvýšení pokut za nedodržení uložených povinností (nově se stanovuje úroveň pokut až ve výši 2 % celkového obratu společnosti nebo 10 milionů EUR). Větší pravomoci dozorových orgánů, např. k vydávání varování, reaktivních opatření, provádění auditů a kontrol, poskytování informací; větší požadavky na vybavenost CERT týmů (označovaných směrnicí CSIRT) a více pravomocí těchto týmů, např. monitoring hrozeb, zranitelností a incidentů, vydávání varování a upozornění, reakce na incidenty, forenzní analýza získaných údajů, aktivní skenování sítí a systémů; konkretizace bezpečnostních opatření, která budou muset povinné osoby zavádět (bude zachován systém řízení rizik a inspirace ISMS); racionalizace hlášení kybernetických bezpečnostních incidentů (CERT tým má poskytnout adekvátní součinnost při zvládání a řešení incidentu a se zasaženou osobou má úzce spolupracovat).
Na české firmy loni směřovalo přes 1000 kyberútoků týdně. Je to více než celosvětový průměr, který byl 900 útoků na organizace. Počet útoků na podnikové sítě podle údajů firmy Check Point v roce 2021 stoupl o 50 %. I u nás zažily útoky na své systémy nejen firmy, ale i nemocnice a další subjekty státní správy.
Hlavní trendy v oblasti kyberbezpečnosti
• vyděračské programy (ransomware)
• útoky na běžné uživatele internetu
• nedostatek kyberbezpečnostních odborníků
• rostoucí používání mobilních zařízení a cloudových služeb
Zdroj: Národní úřad pro kybernetickou a informační bezpečnost (www.nukib.cz)
Foto: Pixabay
Text: redakce
Ilustrace: Adam Miller
