Nové standardy kyberbezpečnosti. Je vaše firma připravená na NIS2?

NIS2. Tak se jmenuje nová evropská legislativa o síťových a informačních systémech, která vstoupila v platnost 16. ledna 2023 a 18. října 2024 nabude účinnosti. Co všechno tato směrnice mění? Především upravuje a sjednocuje standardy kyberbezpečnosti, které musí splňovat všechny firmy i jejich dodavatelé napříč EU. Kyberbezpečnost je totiž stále podstatnější: podle společnosti Cybersecurity Ventures narostou mezi lety 2020 a 2025 výdaje spojené s kybernetickými zločiny každý rok o 15 %. Spadá váš podnik do jedné ze dvou kategorií, kterých se NIS2 týká? A jaké povinnosti novela přináší?

Novou směrnicí se budou muset řídit subjekty, které podnikají v kritických odvětvích, jakými jsou například doprava, energetika, zdravotnictví a digitální a řízené bezpečnostní služby. V České republice je takových subjektů asi šest tisíc. Z nové směrnice plyne řada nových povinností v oblasti řízení rizik, včetně ohlašovací povinnosti. Pokud by se někdo rozhodl NIS2 porušit, obsahuje směrnice i systém sankcí a donucovacích prostředků.

V současnosti se směrnice integruje do právního řádu České republiky v podobě nového zákona o kybernetické bezpečnosti. Možná není všem jasné, proč je taková směrnice nutná a proč by se měla dotýkat i středních a malých firem. Odpověď je ale zřejmá: počet digitálních útoků a hrozeb neustále roste a cílem nejsou jen velké společnosti, ale stále častěji i ty menší. Pokud chcete mít se svými zákazníky dobré vztahy, musíte zabezpečit, že data, která vám svěřují, nepadnou do nepovolaných rukou. 

Dále NIS2 rozlišuje mezi základními a důležitými subjekty. Základní subjekty čeká proaktivní dohled, zatímco důležité subjekty spadají pod dohled reaktivní. Pozornost na ně bude upřena jen v případě, že vznikne podezření na porušování směrnice.  

Jaké povinnosti čekají ty, kteří do NIS2 spadají?

Pokud zjistíte, že váš podnik do směrnice NIS2 spadá, vyplývá z toho několik povinností, za jejichž nedodržení hrozí sankce. Co byste tedy měli podniknout?

  • Registrujte se u NÚKIB.
  • Nahlaste kontaktní a další údaje.
  • Stanovte rozsah řízení kybernetické bezpečnosti.
  • Zaveďte bezpečnostní opatření.
  • Hlaste kybernetické bezpečnostní incidenty.
  • Informujte zákazníky o incidentech a hrozbách.
  • Provádějte protiopatření vydaná NÚKIB.
  • Plňte povinnosti z mechanismu bezpečnosti dodavatelského řetězce u vybraných strategicky významných služeb.
  • U vybraných strategicky významných služeb zajistěte dostupnost z České republiky.

Zdroj: NÚKIB 2023

Jak se připravit?

Než novela vstoupí v platnost, můžete se začít připravovat. Následujte principy, které patří k základům kvalitní kybernetické bezpečnosti:

  1. Přistupte k řešením systematicky a začněte zmapováním aktuálního stavu kybernetické ochrany vaší organizace.
  2. Vytvořte si business impact analýzu a začněte své zaměstnance proškolovat v základech kybernetické bezpečnosti.
  3. Připravte pro vybrané zaměstnance odborná školení.
  4. Vybavte svou společnost perimetrovými firewally a sofistikovanými antivirovými systémy.
  5. Vše podpořte ještě zálohovacími řešeními.
  6. Podle potřeby provádějte pravidelné aktualizace.
  7. Zvažte možnost outsourcingu některých služeb spojených s kybernetickou bezpečností. Využít můžete například stále populárnější MDR týmy (outsourcovaný tým specialistů, který vaše systémy chrání 24/7 za použití nejmodernějších technologií).

Zdroj: NÚKIB 2023

Vnímejte NIS2 ne jako nutné byrokratické zlo, ale jako příležitost zlepšit kybernetickou bezpečnost své firmy. Může se stát cenným zdrojem dobrých vztahů mezi vámi a vašimi zákazníky.

24. ledna 2024

3 min

Mohlo by vás dále zajímat

Bezpečnost v digitální éře. Jak firmy reagují na kybernetické hrozby?

Nekonečné možnosti i bezpečností výzvy. Jak umělá inteligence ovlivní podnikání?

Umělá inteligence a ochrana dat. Jak předejít úniku firemních údajů (nejen) skrze ChatGPT?