NIS 2 a TELCO

Jaké povinnosti vám nově vzniknou?

Vzhledem k relativně přísným pravidlům, která bude směrnice pravděpodobně obsahovat, vznikne povinným subjektům povinnost zavést nová bezpečnostní opatření a hodnocení rizik. Pro základní subjekty by to mělo představovat zavedení vhodných a přiměřených technických či organizačních opatření zaměřených na řízení bezpečnostních rizik.

Součástí opatření pro některá odvětví by mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů (s přihlédnutím jak k technickým, tak netechnickým faktorům). 

Další změny přinášené NIS 2

Konkrétně bude NIS 2 představovat revoluci v ustanovení o postupech oznamování incidentů. Zavede totiž povinnost neprodleně oznámit každý incident, který má závažný dopad na poskytování služeb povinného subjektu i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident. Dále zavede také přísnější kontrolní opatření pro vnitrostátní orgány a přísnější požadavky na vymáhání povinností .

Klíčovou změnu též představuje přímá odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich následné dodržování. Toto riziko tak již nepůjde snadno přesunout na bedra IT / právních poskytovatelů.

Za nedodržení některých pravidel stanovených směrnicí NIS 2, zejména (ne)přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti, má hrozit pokuta ve výši minimálně 10.000.000 EUR nebo 2 % z celkového celosvětového ročního obratu podniku.

Navrhovaná opatření k řízení rizik v oblasti kybernetické bezpečnosti:

•         analýza rizik a politika bezpečnosti informačních systémů,
•         řešení incidentů (prevence a odhalování incidentů a reakce na ně),
•         řízení kontinuity provozu a krizové řízení,
•         zabezpečení dodavatelského řetězce,
•         zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, 
•         politiky a postupy (testování a audit v oblasti kybernetické bezpečnosti),
•         používání kryptografie a šifrování.

Hodnocení důvěryhodnosti dodavatelů

Součástí opatření je i posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů – a to s přihlédnutím jak k technickým, tak netechnickým faktorům.

Pro posouzení důvěryhodnosti bude podstatné např. také zdali mají dodavatelé sídlo ve státech s demokraticky volenou vládu, důvěryhodnost tamního soudního systému. Prověřit lze také skutečnost, zda nejsou dodavatelé nepatřičně ovlivňováni zahraniční vládou či orgánem státní správy a zda jsou s dostatečnou mírou autonomie schopni zajišťovat dostupnost, integritu a důvěryhodnost dat v dodaných technologických řešeních. V neposlední řadě může hrát roli schopnost dodavatele naplňovat bezpečnostní standardy, které jsou v době realizace dodávky na trhu běžné a je ochoten zavázat se k jejich naplňování i do budoucna.

Kybernetická bezpečnost 5G sítě

Výše zmíněná hodnocení rizik by měla reflektovat technické a příp. i netechnické faktory včetně faktorů vymezených v doporučení EU „Kybernetická bezpečnost 5G“, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G (EU 5G Toolbox).

Jak je potřeba se připravit? 

V zájmu zajištění vyšší míry kybernetické bezpečnosti doporučujeme všem subjektům provést komplexní audit kybernetické bezpečnosti. Tento audit zmapuje současný stav kybernetické zabezpečení vaší společnosti z právního, organizačního i technického hlediska. Vedle toho také identifikuje bezpečnostní opatření, která by firma měla implementovat, aby splnila zákonnou i přirozeně bezpečnostní povinnost.

Následně je žádoucí audit vyhodnotit a implementovat navržená řešení. I v oblasti kybernetické bezpečnosti jsou ústředním rizikovým faktorem lidé – proto je vhodné své zaměstnance také náležitě proškolit a kontinuálně vzdělávat o aktuálních hrozbách.

Kdy můžeme takto zásadní změny očekávat?

Evropští zákonodárci, resp. Evropský parlament a Evropská rada, jíž dosáhli ohledně směrnice NIS 2 dohody. V této chvíli dochází dochází k dolaďování technických detailů před samotným finálním hlasováním o platném přijetí.

Dle vyjádření NÚKIB již Česká republika započala s jednáním ohledně transpozice a implementace směrnice NIS 2 do tuzemského právního řádu. Na zavedení nových pravidel, která mají být oficiálně zveřejněna v říjnu, bude čas zhruba do poloviny roku 2024.