NÚKIB představuje evropskou směrnici NIS2

by | Zář 19, 2022 | Nejnovější, NIS II | 0 comments

Do roku 2024 by měla mít Česká republika ve svém právním řádu implementovány požadavky nové směrnice Evropského parlamentu a Rady Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, tzv. směrnice NIS2. Ta přináší mnoho změn v oblasti zajišťování kybernetické bezpečnosti a týká se nejen organizací, které jsou již dnes ze zákona o kybernetické bezpečnosti povinny své systémy zabezpečovat, ale i velkého množství organizací, které budou do regulace spadat nově a do dnešního dne žádné povinnosti plnit nemusely.

O co se jedná?

Nově tak bude požadavkům a změnám specifikovaným ve směrnici NIS2 podléhat více než 6000 subjektů v ČR namísto nynějších přibližně čtyř set. Cílem směrnice je mimo jiné zajistit, aby organizace zaváděly preventivní kroky k posílení své kybernetické bezpečnosti. NIS2 nově také pracuje se dvěma režimy povinných osob – „important“ a „essential“. Přičemž povinnosti stanovené organizacím v režimu „important“ budou méně přísné než v případě režimu „essential“.

Nová směrnice prohloubí a rozšíří původní Směrnici Evropského parlamentu a Rady EU, o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, tzv. směrnici NIS. Ačkoli již byla v rámci unijního legislativního procesu nalezena předběžná shoda ohledně budoucí podoby směrnice NIS2, její finální text dosud nebyl schválen a publikován v Úředním věstníku Evropské unie. Tento akt se předpokládá ve čtvrtém čtvrtletí roku 2022, přičemž ČR by měla mít nový rámec povinností zaveden v národní legislativě přibližně v polovině roku 2024. Další lhůta pak bude stanovena pro zahájení jejího plnění u těch organizací, které dosud regulaci v oblasti kybernetické bezpečnosti nepodléhaly.

Koho se to týká?

Výše zmíněný nárůst povinných osob na nejméně 6000 bude způsoben rozšířením regulovaných odvětví (např. o odpadové hospodářství), rozšířením stávajících regulovaných odvětví o nové regulované služby (např. stávající odvětví Digitální infrastruktury o nové regulované služby cloud computingu nebo poskytovatele služeb a sítí elektronických komunikací) a také změnou způsobu identifikace povinných osob (kdy primárním kritériem pro zařazení do regulace bude velikost subjektu). Směrnicí tak bude nově regulováno přibližně 60 služeb v 18 odvětvích.

Regulované subjekty budou takové, které zaměstnávají nejméně 50 zaměstnanců, nebo dosahují ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK). Členské státy EU mají také možnost k zařazení do regulace využít dodatečných kritérií bez ohledu na velikost a vztáhnout regulaci i na takové organizace, které jsou jedinými poskytovateli služby, jež je nezbytná v členském státě ze sociálního nebo ekonomického hlediska anebo by narušení jejich služby mohlo mít významný dopad na veřejnou bezpečnost, zdraví osob nebo by mohlo vyvolat významné riziko zejména s přeshraničním dopadem.

Česká republika nyní může těžit ze své výhody kvalitně zpracovaného zákona o kybernetické bezpečnosti, neboť velká část změn prezentovaných v NIS2 je v souladu s aktuálně platnou českou regulací. Pro současné povinné osoby se toho tedy v praxi příliš měnit nebude. NÚKIB se na přijetí směrnice a její realizaci připravuje průběžně a velmi intenzivně. V sedmi pracovních skupinách pracuje na čtyři desítky lidí. Jejich cílem je co nejhladší implementace směrnice do českého právního řádu. Současně se připravují i na to, aby byli schopni co možná nejlépe pomoci subjektům s plněním nových povinností. Záměrem NÚKIB je také do tvorby návrhu změny zákona zapojit odbornou veřejnost a podnikatelské svazy.

Kde najdu veškeré informace?

V kontextu řady změn a zájmu odborné veřejnosti o toto téma, spustil NÚKIB jako službu lidem webové stránky nis2.nukib.cz. Jejich cílem je podávat přehledné a ucelené základní informace o tom, co nová směrnice NIS2 přináší, popsat největší změny stávajících požadavků a způsob, jak budou evropské požadavky promítnuty do národní legislativy.

Na tomto webu tak lze dohledat obecné informace o směrnici NIS2, koho se nové povinnosti týkají, jakým způsobem budou organizace zabezpečovat své služby, jaké incidenty budou hlásit, jaké budou sankce za neplnění požadavků a další specifika. Všechna probíraná témata jsou shrnuta v deseti okruzích, které bude NÚKIB průběžně doplňovat. Postupem času dojde také k přidání informací o konkrétních navrhovaných změnách zákona o kybernetické bezpečnosti. V případě nejasností ohledně nové směrnice NIS2 má veřejnost možnost kontaktovat odborníky z NÚKIB na adrese: regulace@nukib.cz. Do předmětu mailu je potřeba uvést „web NIS2“.

Michael Fanta, redakce Cyberblog


Zdroj: NÚKIB


Foto: Unsplash

0 Comments
Zero trust bezpečnost v praxi. Co očekávat?

Zero trust bezpečnost v praxi. Co očekávat?

Termín zero trust ušel od svého vzniku dlouhou cestu. Z buzzwordu je dnes respektovaný přístup ke kyberbezpečnosti, který v posledních letech implementují firmy po celém světě. V tomto článku si přiblížíme základní prvky zero trustu a důvody proč by měl mít místo v moderním zabezpečení firem a organizací.

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.