Co je NIS 2?

christian-lue-C241mbgtgys-unsplash

NIS 2

Počet kybernetických útoků v zemích Evropské unie každoročně rapidně narůstá. Aktivitu útočníků navíc nyní výrazně stimulovalo zrychlující tempo digitalizace v kontextu pandemie onemocnění COVID-19 nebo také rusko-ukrajinský vojenský konflikt. Nová evropská strategie kybernetické bezpečnosti se proto zaměřuje především na  standardizaci zvýšeného zabezpečení u poměrně širokého spektra tržních a vládních subjektů.

Co je NIS 2?

Směrnice NIS 2 má za cíl rozšířit oblast působnosti aktuálně platné  legislativy zaměřené na opatření pro odpovídající úroveň bezpečnosti sítí a informačních systémů napříč celou EU. Tato nová legislativa tedy představuje celoevropské řešení pro posílení zabezpečení kyberprostoru.

Nová směrnice poměrně výrazně rozšiřuje oblast působnosti stávající směrnice NIS 1 tím, že zahrnuje povinné bezpečnostní standardy pro další odvětví definované jejich hospodářským a společenským významem nebo velikostí dané firmy. Jinak řečeno, do oblasti působnosti směrnice budou nově zahrnuty všechny střední a velké společnosti v poměrně širokém spektru tržních odvětvích.

Může se to týkat i Vás !

Oproti předešlé působnosti regulace se budou nově evropská pravidla vztahovat také na mnohonásobně větší množství českých společností. Současné odhady hovoří až o 10.000 dotčených subjektů. Směrnice totiž směřuje nejen na samotné společnosti, ale často beze v potaz i jejich dodavatelské řetězce. Posílením bezpečnosti na všech úrovních (vývoj, výroba a distribuce produktu) má na jedné straně dojít ke zvýšení kybernetické odolnosti jako celku, ale na druhé straně také k navýšení administrativních a dalších relevantních nákladů spojených s implementací.

Nově se tedy povinnosti jako jsou například provedení komplexního auditu kybernetické bezpečnosti, vypracování strategie řízení rizik, řešení incidentů a jejich hlášení ENISA, řízení kontinuity provozu a krizové řízení nebo používání kryptografie a šifrování mohou týkat i Vaší společnosti. Zejména pokud podnikáte v oblasti finančnictví, komunikací nebo provozování on-line platforem či tržišť.

Návrh nových pravidel a povinností již v této chvíli s předstihem adaptují nejvýznamnější hráči trhu – prostřednictvím rozsáhlých investic do systému kybernetické bezpečnosti a do dalších souvisejících bezpečnostních prvků.

Na koho nová legislativa bezprostředně dopadne?

Z aktuálně dostupných informací vyplývá, že směrnicí budou dotčeny především subjekty podnikající v oblastech energetiky, dopravy, bankovnictví a finančnictví, zdravotnictví, výrobě farmaceutických výrobků, vodohospodářství, digitální infrastruktuře, dále poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center či sítě pro doručování obsahu, poskytovatelé služeb veřejné sítě elektronických komunikací a mnoho dalších…

Kdy tyto změny očekávat a jaké plynou sankce z porušení pravidel?

Směrnici NIS2 je velmi důležité věnovat s předstihem pozornost nejen proto, že kyberprostor je v dnešní době ohrožován více než kdy dříve, ale také z důvodu že plnění povinností dle návrhu směrnice má přispět k lepšímu zajišťování kybernetické bezpečnosti na národní i nadnárodní úrovni.

Implementaci směrnice NIS2 by se dotčené subjekty měly intenzivně věnovat i kvůli tomu, že za nedodržení některých pravidel může hrozit pokuta ve výši 10.000.000 EUR nebo 2 procenta z celkového celosvětového ročního obratu podniku.

Přesné detaily však doposud nejsou známé, neboť finální verze směrnice bude zveřejněna koncem června nebo začátkem července. Její následná transpozice do tuzemského právního řádu bude posléze úkolem zákonodárce. Účinnost směrnice pak můžeme očekávat s nástupem roku 2024.

S ohledem na dynamický vývoj v této oblasti je proto již v této chvíli velmi důležité soustavně firmy včas připravovat na tuto plánovanou legislativní revoluci.

Sledujte Cyberblog, ať Vám nic neuteče!