NIS 2 a IoT
Na výrobce a vývojáře chytrých zařízení se již nyní vztahuje celá řada regulačních opatření, například vysoká míra ochrany spotřebitele či notoricky známé GDPR. Nedávný dramatický vývoj v oblasti kybernetické bezpečnosti nicméně podnítil evropské i národní zákonodárce k další aktivitě v podobě rozšíření limitů na další aspekty či oblasti tohoto odvětví.
Vlajkovou loď této iniciativy představuje zejména současný návrh směrnice NIS 2, která mimo jiné upozorňuje na výzvy spojené s oblastí kybernetické bezpečnosti související s internetem věcí (IoT). Oblast chytrých zařízení a IoT není směrnicí NIS 2 z podstaty věci regulována výslovně, neboť dochází k implicitnímu transferu povinností z jednotlivých odvětví vytvářejících základy IoT. Jednotná nemůže být ani míra regulace jednotlivých subjektů. Rozhodujícím aspektem definujícím povinné subjekty je totiž hledisko velikosti společnosti a také míra rizikovosti jednotlivých subjektů.
Vzhledem k rozmanitosti segmentu chytrých zařízení budou dopady na jeho jednotlivé části diametrálně odlišné. Pro valnou většinu společností bude implementace směrnice znamenat zavedení efektivního systému řízení rizik a incidentů. V případě řízení incidentů se jedná především o zavedení systému pro prevenci, detekci a vhodnou reakci na incidenty (např. incidenty spojené s ransomwarovými útoky). Některé společnosti budou mít nově oznamovací povinnost vůči NÚKIB, a to za každý kyberbezpečnostní incident který bude mít závažný dopad na poskytování jejich služeb. Speciální podmínky jsou pak stanoveny pro ICT sektor, pro který se dle čl. 18 směrnice stane povinností také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů – a to s přihlédnutím jak k technickým, tak netechnickým faktorům.
Jen na okraj připomínáme, že za nedodržení některých pravidel stanovených směrnicí mohou hrozit likvidační pokuty ve výši minimálně 10.000.000 EUR nebo 2 procenta z celkového celosvětového ročního obratu podniku.
Kdy se těchto změn dočkáme?
Technická složitost a vrstevnatost ekosystému internetu věcí velmi ztěžuje zavedení ochranných opatření a zajištění odpovídající úrovně zabezpečení. Implementace těchto regulačních opatření je tedy nejen legislativně, ale i prakticky extrémně náročná neboť rizika související s kybernetickými hrozbami jsou vždy závislá na daném kontextu.
Přesné detaily regulace doposud nejsou neznámé, neboť finální verze směrnice NIS 2 bude zveřejněna koncem června či nejpozději začátkem července letošního roku. Její následná transpozice do tuzemského právního řádu je posléze úkolem zákonodárce. Účinnost této legislativy pak můžeme očekávat s nástupem roku 2024. V případě dalších souvisejících legislativních předpisů je plánovaný časový rámec ještě delší. Nicméně je velmi důležité situaci nezaspat a připravit svou společnost na tyto změny včas. Průběžné investice a soustavné budování kybernetického zabezpečení je tou správnou cestou k bezpečnější budoucnosti.
Michael Fanta, šéfredaktor
Foto: Freepik
0 Comments