Zajištění efektivní bezpečnosti dat, informačních systémů, počítačových sítí, softwarů a dat je zcela zásadní pro všechny podnikatele a jejich společnosti. Hrozby kybernetických útoků jsou stále častější a jedinou možností jejich eliminace je se jim účinně bránit. Vysoká míra kybernetické ochrany se tak stává nejen nutností (ochrana dat klientů i vlastních), ale vychází i z legislativy. I proto Evropská unie zavádí novou směrnici NIS2. Směrnice NIS2 zásadně zvyšuje odolnost organizací před kybernetickými hrozbami.
Co je to NIS2
Digitální hrozby jsou celosvětovým problémem, na který je třeba stále reagovat. A ideálně s předstihem. Network and Information Security 2 (NIS2) je tak aktualizovanou směrnicí k původní NIS a v platnost vstoupila již 16.1.2023. Zaměřuje se především na organizace střední a velké a na ty, které mají svůj obor činnosti v klíčových odvětvích.
Zákonná povinnost zavedení opatření
V našich podmínkách bude implementace do legislativy zavedena nutným zakotvením v zákoně č. 181/2014 Sb. o kybernetické bezpečnosti (nejzazší termín je září/říjen 2024). Pro dostatečnou ochranu dat by ovšem společnosti a organizace měly reagovat s předstihem a připravit se na implementaci směrnice do podmínek své organizace ideálně prostřednictvím profesionálního poskytovatele zabezpečení, jako je třeba ESET, nabízející k problematice také praktický a informativní ebook ke stažení.
Koho se NIS2 týká?
Prvním kritériem je velikost podniku, tedy střední a velké dle Doporučení Komise 2003/361/ES. Dalším kritériem je odvětví, vztahovat se tak primárně bude na:
- veřejnou správu,
- energetiku,
- dopravu,
- pitnou a odpadní vodu,
- bankovnictví, poštovní a kurýrní služby, finanční trh,
- poskytovatele digitálních služeb,
- zdravotnictví,
- chemický průmysl,
- výrobu
- a mimo jiné i vesmír.
Odpovědnost za zavedení NIS2
Směrnice ukládá přímou odpovědnost vedoucím (statutárním) orgánům a v případě nesplnění podmínek pak může hrozit pokuta až 10 mil. EUR nebo 2 % z ročního obratu.
Povinnosti vyplývající ze směrnice
Zásadní jsou také povinnosti, které budou na organizace a společnosti přenášeny. Předně jde řídicí orgány subjektů, které budou muset absolvovat školení a současně přijímat nutná technická či organizační opatření k řízení rizik pro bezpečnost sítí a informačních systémů. Jejich cílem je zabezpečení minimalizace útoků (incidentů).
Dvoustupňové hlášení
Směrnice NIS2 zavádí také povinnost dvoustupňové hlášení incidentů, což má nejen za cíl zamezit jejich dalšího šíření, ale získat i případnou pomoc při hledání řešení. Prakticky to pak znamená to, že v případě zjištění incidentu je třeba bezodkladné (max. do 24 hodin) nahlášení útoku příslušnému orgánu. Do 72 hodin je třeba hlášení doplnit o hodnocení, podrobnější informace a zavedená opatření. Pokud došlo k protiprávnímu jednání dostane organizace pokyny k tomu, aby situaci ohlásila orgánům činným v trestním řízení. Druhým stupněm hlášení je pak předložení závěrečné zprávy, a to do měsíce od prvního hlášení, která popisuje incident, co k němu mohlo vést a jaká jsou zavedena opatření.
Jak se na NIS2 připravit?
Zásadní je bezesporu včasná identifikace rizik. Nutná je znalost kritických dat nezbytných pro fungování společnosti, také zajištění procesu správy hesel, kdo a za jakých podmínek má přístup k softwaru či aplikacím společnosti, správa vstupních karet, nastavení přístupů pro stávající a nové zaměstnance. Nutností je pak zavedení dostatečného zálohování dat, jejich šifrování nebo kontrola toku dat apod.
foto / archiv LNR