NIS 2: Nová éra kyberbezpečnosti. Jak Vás skutečně ovlivní?

Nový zákon o kybernetické bezpečnosti se blíží do finále – a s ním i konkrétní technické a metodické požadavky, které se dotknou tisíců organizací. Cílem je zvýšit odolnost organizací vůči kybernetickým hrozbám a zajistit bezpečný digitální prostor. Už žádné obecné formulace. Nově máte na stole jasný seznam konkrétních opatření, která budete muset zavést. Odpovědnost za jejich plnění leží přímo na vedení firem.

Bezpečnost už není volbou, ale odpovědností vedení

Připravovaný zákon a směrnice NIS 2 posouvají kybernetickou bezpečnost z IT oddělení přímo na stůl managementu. Zajištění souladu s novými požadavky není jen otázkou technologií – ale také firemní kultury, řízení a jasně definované odpovědnosti. Management musí být aktivně zapojen – vedení firem je odpovědné za schvalování a dohlížení nad opatřeními kybernetické bezpečnosti. Členové řídících orgánů musí absolvovat školení, aby rozuměli rizikům a uměli je řídit.

Koho se to týká?

Regulace cílí mimo jiné na poskytovatele digitálních služeb, například:

• poskytovatele SaaS, IaaS a PaaS,
• poskytovatelé cloudu, datacenter a DNS služeb,
• online platformy, včetně tržišť a
• poskytovatele řízených IT služeb a řízených IT bezpečnostních služeb.

Regulace ale cílí také na subjekty mimo digitální sektor, například:

• výrobní firmy,
• výrobce a distributory potravin,
• přepravce,
• výrobce a distributory energií,
• nemocnice,
• vysoké školy a
• obce s rozšířenou působností.

Pokud jste jedním z nich, regulace se Vás bude přímo dotýkat a jste to Vy, kdo bude muset splnit nové požadavky. Připravili jsme pro Vás přehled toho, co Vás čeká a jak se připravit.

10 klíčových oblastí

Dne 18. října 2024 bylo v Úředním věstníku EU publikováno finální znění prováděcího nařízení Evropské komise ke směrnici NIS2. To stanoví konkrétní bezpečnostní opatření, která musejí zavádět poskytovatelé digitálních služeb. Co to pro Vás znamená? Zde je „bezpečnostní checklist“ nejdůležitějších bodů:

1)    Riziková a bezpečnostní politika

Stanovte si jasné a konkrétní cíle, metodiky řešení incidentů a vymezte role a odpovědnosti v oblasti kybernetické bezpečnosti. Bez plánu to nepůjde.

2)    Reakce na incidenty

Musíte mít mechanismus pro hlášení, monitoring a logování incidentů. Plány pro reakci a zotavení jsou povinné.

3)    Kontinuita provozu

Zálohování, krizové scénáře a řízení obnovy se stávají povinnou součástí Vašeho bezpečnostního rámce.

4)    Bezpečnost dodavatelů

Regulace požaduje konkrétní kritéria výběru a bezpečnostní požadavky zakotvené ve smlouvách s dodavateli. Už žádné dodavatelské riziko "na vlastní nebezpečí".

5)    Vývoj a údržba IT systémů

Kybernetická bezpečnost se má stát součástí celého životního cyklu systémů – od nákupu přes změny až po zveřejňování zranitelností a jejich nápravu.

6)    Vyhodnocování efektivity

Povinné je pravidelně hodnotit, zda Vaše opatření skutečně fungují – tedy nestačí mít papírovou politiku, ale musíte i ověřit její účinnost.

7)    Kyberhygiena a školení

Proškolení musí být všichni – od IT specialistů až po vrcholový management. Kyberhygiena je klíčová pro ochranu Vaší organizace.

8)    Kryptografie a šifrování

Budete muset definovat pravidla pro používání šifrování a kryptografických metod – a samozřejmě je také zavést do praxe.

9)    Bezpečnost personálu

Zaměřte se na důvěryhodnost lidí – od bezpečnostních prověrek po smluvní požadavky vůči zaměstnancům a externistům.

10) Kontrola přístupu

Nutná je silná autentizace, omezený přístup a správa privilegií – žádné sdílené účty ani slabá hesla. Bez kompromisů.

Nařízení bude vymahatelné společně s účinností připravovaného zákona o kybernetické bezpečnosti. Ačkoliv je závazné pouze pro poskytovatele digitálních služeb, inspiraci si z něj mohou vzít všechny povinné subjekty. Konkrétní checklisty pro ostatní regulované subjekty vzniknou až s prováděcími vyhláškami k připravovanému zákonu, které jsou nyní zveřejněny ve fázi tzv. tezí.

Proč NIS 2 není jen „další regulace“?

Regulace Vás nechce potrestat, ale připravit na realitu kybernetických hrozeb 21. století. Je to příležitost, jak posílit svou organizaci v digitální době. Implementace těchto opatření znamená nejen splnění právních požadavků, ale hlavně:

✅ Vyšší odolnost vůči útokům
✅ Důvěru zákazníků a partnerů
✅ Konkurenční výhodu v digitální ekonomice

A co dál?

Je nejvyšší čas začít s přípravami. Pokud chcete znát podrobnosti, včetně znění prováděcího nařízení a dalších souvislostí, podívejte se na celý rozbor na našem blogu:
👉 Přečíst originální článek zde.

A pokud hledáte partnera, který Vás provede přípravou na novou kyberbezpečnostní regulaci, ozvěte se nám. Máme zkušenosti z desítek organizací a pomůžeme Vám navrhnout opatření, která budou dávat smysl a která Vás ochrání – jak před kybernetickými hrozbami, tak před sankcemi ze strany dozorových orgánů.

‍