
NIS 2 a TELCO

Jaké povinnosti vám nově vzniknou?
Vzhledem k relativně přísným pravidlům, která bude směrnice pravděpodobně obsahovat, vznikne povinným subjektům povinnost zavést nová bezpečnostní opatření a hodnocení rizik. Pro základní subjekty by to mělo představovat zavedení vhodných a přiměřených technických či organizačních opatření zaměřených na řízení bezpečnostních rizik.
Součástí opatření pro některá odvětví by mělo být také posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů (s přihlédnutím jak k technickým, tak netechnickým faktorům).
Další změny přinášené NIS 2
Konkrétně bude NIS 2 představovat revoluci v ustanovení o postupech oznamování incidentů. Zavede totiž povinnost neprodleně oznámit každý incident, který má závažný dopad na poskytování služeb povinného subjektu i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí a která by mohla mít za následek významný incident. Dále zavede také přísnější kontrolní opatření pro vnitrostátní orgány a přísnější požadavky na vymáhání povinností .
Klíčovou změnu též představuje přímá odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich následné dodržování. Toto riziko tak již nepůjde snadno přesunout na bedra IT / právních poskytovatelů.
Za nedodržení některých pravidel stanovených směrnicí NIS 2, zejména (ne)přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti, má hrozit pokuta ve výši minimálně 10.000.000 EUR nebo 2 % z celkového celosvětového ročního obratu podniku.
Navrhovaná opatření k řízení rizik v oblasti kybernetické bezpečnosti:
- analýza rizik a politika bezpečnosti informačních systémů,
- řešení incidentů (prevence a odhalování incidentů a reakce na ně),
- řízení kontinuity provozu a krizové řízení,
- zabezpečení dodavatelského řetězce,
- zabezpečení pořizování, vývoje a údržby sítě a informačních systémů,
- politiky a postupy (testování a audit v oblasti kybernetické bezpečnosti),
- používání kryptografie a šifrování.
Hodnocení důvěryhodnosti dodavatelů
Součástí opatření je i posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů – a to s přihlédnutím jak k technickým, tak netechnickým faktorům.
Pro posouzení důvěryhodnosti bude podstatné např. také zdali mají dodavatelé sídlo ve státech s demokraticky volenou vládu, důvěryhodnost tamního soudního systému. Prověřit lze také skutečnost, zda nejsou dodavatelé nepatřičně ovlivňováni zahraniční vládou či orgánem státní správy a zda jsou s dostatečnou mírou autonomie schopni zajišťovat dostupnost, integritu a důvěryhodnost dat v dodaných technologických řešeních. V neposlední řadě může hrát roli schopnost dodavatele naplňovat bezpečnostní standardy, které jsou v době realizace dodávky na trhu běžné a je ochoten zavázat se k jejich naplňování i do budoucna.
Kybernetická bezpečnost 5G sítě
Výše zmíněná hodnocení rizik by měla reflektovat technické a příp. i netechnické faktory včetně faktorů vymezených v doporučení EU „Kybernetická bezpečnost 5G“, v koordinovaném posouzení rizik pro bezpečnost sítí 5G v celé EU a v souboru opatření EU pro kybernetickou bezpečnost sítí 5G (EU 5G Toolbox).
Jak je potřeba se připravit?
V zájmu zajištění vyšší míry kybernetické bezpečnosti doporučujeme všem subjektům provést komplexní audit kybernetické bezpečnosti. Tento audit zmapuje současný stav kybernetické zabezpečení vaší společnosti z právního, organizačního i technického hlediska. Vedle toho také identifikuje bezpečnostní opatření, která by firma měla implementovat, aby splnila zákonnou i přirozeně bezpečnostní povinnost.
Následně je žádoucí audit vyhodnotit a implementovat navržená řešení. I v oblasti kybernetické bezpečnosti jsou ústředním rizikovým faktorem lidé – proto je vhodné své zaměstnance také náležitě proškolit a kontinuálně vzdělávat o aktuálních hrozbách.
Kdy můžeme takto zásadní změny očekávat?
Evropští zákonodárci, resp. Evropský parlament a Evropská rada, jíž dosáhli ohledně směrnice NIS 2 dohody. V této chvíli dochází dochází k dolaďování technických detailů před samotným finálním hlasováním o platném přijetí.
Dle vyjádření NÚKIB již Česká republika započala s jednáním ohledně transpozice a implementace směrnice NIS 2 do tuzemského právního řádu. Na zavedení nových pravidel, která mají být oficiálně zveřejněna v říjnu, bude čas zhruba do poloviny roku 2024.
Michael Fanta, šéfredaktor
Foto: Pixabay

0 Comments