Reseller Magazine ADVERTORIAL | LENOVO
JAK SE PŘIPRAVIT NA NIS2 SE SPOLEČNOSTÍ LENOVO V následujícím článku vám přiblížíme směrnici o síťové a informační bezpečnosti NIS2, jejíž nástup se blíží. Připravovaná legislativa se bude vztahovat na soukromé firmy (na pozoru by měli být také poskytovatelé spravovaných IT služeb) i státní instituce a přináší mnoho nových technických i procesních požadavků. Ve článku se dozvíte, zda se na vás bude NIS2 vztahovat, jak postupovat a na koho se obrátit pro pomoc.
Novou, přísnější směrnici EU o kyberbezpečnosti NIS2 bude muset nově dodržovat přibližně 7 000 českých firem a státních institucí. Odborníci z aliance NIS2READY však upozorňují, že mnoho podniků a úřadů není na změny připraveno. Podle tohoto sdružení mívají dotčené subjekty nedostatky například v analýze rizik či segmentaci sítě. Mezi hlavní cíle směrnice NIS2 patří sjednocení strategie členských států EU v boji proti kybernetickým hrozbám, odstranění rozdílů v kybernetické bezpečnosti napříč průmyslovými odvětvími, posílení kybernetického zabezpečení firem i institucí a schopnost společně reagovat na možné krize a incidenty.
Ve směrnici NIS2 se subjekty nově dělí do dvou kategorií (základní a významné), které se liší svými povinnostmi (režim nižších povinností vs. režim vyšších povinností). Směrnice NIS2 nepočítá s tím, že by ukládala povinnosti úplně každému, kdo danou službu poskytuje. Vývoj dovedl její tvůrce k tomu, že primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné naplnění následujících dvou pravidel: organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů eur (zhruba 250 milionů korun).
Koho se NIS2 týká
Kvůli širokému záběru směrnice NIS2 dojde nejméně k 15násobnému nárůstu počtu regulovaných subjektů (tzv. poskytovatelů regulované služby), což zejména soukromému sektoru přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR. Nová legislativa tak významně rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti, a mění i zavedenou terminologii. Původní směrnice NIS se týkala jen provozovatelů takzvaných základních a digitálních služeb, NIS2 se však bude vztahovat i na mnoho nováčků. Mezi regulované sektory spadá např. veřejná správa, výrobci potravin, energetika, doprava, zdravotnictví, bankovnictví a infrastruktura finančních trhů, strojní výroba, vodohospodářství, odpadní hospodářství, chemický průmysl, poštovní a kurýrní služby, výzkum nebo digitální infrastruktura včetně některých poskytovatelů řízených (managed) ICT služeb.
Od kdy bude směrnice NIS2 účinná
Transpoziční lhůta dle směrnice NIS2 požaduje účinnost nového souvisejícího zákona k 16. říjnu 2024. Dle průběhu legislativního procesu se předpokládá účinnost zákona koncem roku 2024. Dle aktuálních návrhů prováděcích vyhlášek lze ale očekávat, že bude následovat 12měsíční přechodné období vyhrazené pro nasazení potřebných opatření. Termíny pro plnění dalších povinností budou záležet na finálním datu účinnosti zákona a prozatím nelze vyloučit, že ve znění nového zákona o kybernetické bezpečnosti dojde ke změnám či úpravám. Organizacím, které budou pod nový zákon spadat, NÚKIB doporučuje co nejdříve zahájit přípravné práce na přizpůsobení svého vnitřního prostředí novým požadavkům. Zavedení funkčního procesu řízení kybernetické bezpečnosti v organizaci je
červen 2024 | www.rmol.cz
38