Nově přicházející směrnice pro regulaci kybernetické bezpečnosti v České republice – Evropského parlamentu a Rady o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2.

Směrnice NIS2 přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely.

 

Mezi nejvýznamnější změny přímo dopadající na regulované organizace patří:

  • rozšíření počtu povinných osob (odhady hovoří o nejméně 6 000 soukromých i státních organizacích), a to jednak rozšířením regulovaných odvětví (např. odvětví odpadového hospodářství), dále rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací), a nebo změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost organizace);
  • povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci;
  • dobrovolné hlášení relevantních incidentů, událostí, hrozeb a zranitelností;
  • podrobnější požadavky na vedení registru internetových domén nejvyšší úrovně a činnost registrátorů;
  • větší důraz na sdílení informací mezi povinnými organizacemi;
  • prohloubení spolupráce mezi regulátorem a povinnými organizacemi;
  • významné zvýšení pokut za nedodržení uložených povinností (nově se stanovuje úroveň pokut až ve výši 2 % celkového obratu společnosti nebo 10 milionů EUR).

Novinky v NIS2, které jsou v českém právním řádu již obsaženy (a tedy nedojde k dramatickým změnám v obsahu regulace):

  • větší pravomoci dozorových orgánů, např. k vydávání varování, reaktivních opatření, provádění auditů a kontrol, poskytování informací;
  • větší požadavky na vybavenost CERT týmů (označovaných směrnicí CSIRT) a více pravomocí těchto týmů, např. monitoring hrozeb, zranitelností a incidentů, vydávání varování a upozornění, reakce na incidenty, forenzní analýza získaných údajů, aktivní skenování sítí a systémů;
  • konkretizace bezpečnostních opatření, která budou muset povinné osoby zavádět (bude zachován systém řízení rizik a inspirace ISMS);
  • racionalizace hlášení kybernetických bezpečnostních incidentů (CERT tým má poskytnout adekvátní součinnost při zvládání a řešení incidentu a se zasaženou osobou má úzce spolupracovat).

Na koho bude směrnice NIS II dopadat:

  • organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice, a zároveň viz. obr níže
  • je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK).

Směrnice NIS2 zdůrazňuje odpovědnost vedení organizací za schválení a zavádění bezpečnostních opatření ke snížení rizik pro kybernetickou bezpečnost. Součástí těchto požadavků je také to, že vedení organizací má povinnost osobně absolvovat školení na téma kybernetické bezpečnosti a podporovat v těchto školeních také své zaměstnance.

Dále také směrnice stanovuje okruhy bezpečnostních opatření, které mají členské státy rozpracovat ve svých právních předpisech a uložit je budoucím povinným osobám. Těmito okruhy jsou:

  1. Analýza rizik a politiky bezpečnosti informací;
  2. Zvládání incidentů;
  3. Kontinuita činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení;
  4. Bezpečnost v rámci dodavatelského řetězce;
  5. Bezpečnost v rámci pořízení, vývoje a údržby systémů;
  6. Politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit);
  7. Praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti;
  8. Politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování;
  9. Bezpečnost lidských zdrojů, řízení přístupů a aktiv;
  10. Využívání vícefaktorového ověření identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.