NIS2 - KYBERNETICKÁ BEZPEČNOST OD ROKU 2023
V průběhu posledních let dramaticky stoupá počet kybernetických útoků na kriticky důležité organizace státu, podnikající subjekty všech velikostí, ale i neziskové organizace a jednotlivce.
Jsou příčinou dlouhodobých výpadků provozů a služeb a jejich důsledkem jsou obrovské finanční škody.
Nová Strategie kybernetické bezpečnosti EU (NIS2) má za cíl radikálně zlepšit podmínky k zajištění bezpečnosti na úrovni jednotlivých organizací. Dotkne se zhruba 6000 českých a 3000 slovenských subjektů napříč celým oborovým spektrem. Za nedodržení směrnice hrozí pokuty ve výši 10.000.000 € nebo 2 % z celkového celosvětového ročního obratu společnosti.
NIS2 se dotkne téměř všech oborů a odvětví
Provozovatelé distribuční a přenosové soustavy, výrobci a prodejci elektrické energie, nominovaní organizátoři trhu s elektřinou, provozovatelé dobíjecích stanic spolu s poskytovateli elektromobility.
Subjekty poskytující službu dálkového vytápění nebo chlazení.
Provozovatelé ropovodů, zařízení na těžbu, rafinaci a zpracování ropy, skladovacích a přenosových zařízení, ústřední správci zásob.
Obchodníci s plynem, distributoři plynu, přepravci plynu, výrobci plynu a poskytovatelé uskladňování plynu.
Provozovatelé výroby, skladování a přepravy vodíku. Doposud však není implementováno do českého právního řádu.
Komerční letečtí dopravci, řídicí orgány letišť a subjekty provozující pomocná zařízení v rámci letišť, provozovatelé kontroly řízení provozu.
Provozovatel dráhy celostátní nebo regionální anebo veřejné přístupné vlečky a dopravce provozující na těchto drahách drážní dopravu.
Předmětné předpisy se vztahují na námořní přístavy a pro Českou republiku tedy nejsou relevantní.
Silniční orgány odpovědné za plánování, kontrolu a správu silnic spadajících do jejich územní působnosti, poskytovatelé služeb ITS.
Sektor bankovnictví je regulován nařízením DORA.
Sektor infrastruktura finančních trhů je regulován nařízením DORA.
Poskytovatelé zdravotní péče (nemocnice a další), subjekty provádějící výzkum a vývoj léčivých výrobků a přípravků, výrobci základních farmaceutických přípravků.
Dodavatelé a distributoři vody určené k lidské spotřebě, avšak kromě těch, pro které je to vedlejší činnost k jejich hlavní činnosti zabývající se distribucí jiných komodit a zboží.
Subjekty shromažďující, vypouštějící nebo upravující městské nebo průmyslové odpadní vody nebo splašky, avšak kromě těch, pro které se jedná pouze o vedlejší činnost k jejich hlavní činnosti.
Poskytovatelé: výměnných uzlů internetu (IXP), cloud computingu, datového centra, služeb vytvářejících důvěru, elektronických komunikací, CDN služeb, registrů TLD, služeb systému doménových jmen (DNS), s výjimkou poskytovatelů root name serverů.
Poskytovatelé řízených ICT služeb a poskytovatelé řízených ICT bezpečnostních služeb. Subjekty, pro zákazníky provozující či spravující ICT služby a nástroje, typicky na základě smlouvy o úrovni služeb (SLA).
Ústřední orgány státní správy, veřejná správa na regionální úrovni, soudy a státní zastupitelství a další instituce významné pro chod státu.
Subjekty, poskytující poštovní služby, tzn. výběr, třídění, přepravu a dodání poštovních zásilek, včetně provozovatelů kurýrních služeb.
Poskytovatelé on-line tržišť, internetových vyhledávačů, platforem služeb sociálních sítí.
Subjekty, poskytující službu nakládání s odpady, tzn. zařízení určená pro nakládání s odpady, obchodníci, zprostředkovatelé, dopravci podle zákona č. 541/2020 Sb., kromě těch, pro které nakládání s odpady není jejich hlavní ekonomickou činností.
Subjekty, poskytující služby v chemickém průmyslu, tzn. výrobci, distributoři, včetně maloobchodníka, který skladuje a uvádí na trh chemickou látku nebo předmět.
otravinářské subjekty, které se zabývají velkoobchodní distribucí a průmyslovou výrobou nebo zpracováním.
Výroba: zdravotnických a diagnostických zdravotnických prostředků, počítačů, elektronických a optických přístrojů, elektrických zařízení, strojů a zařízení, motorových vozidel (kromě motocyklů), přívěsů a návěsů, ostatních dopravních prostředků a zařízení.
Výzkumné organizace, s výjimkou vzdělávacích institucí, jejichž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj s ohledem na využití výsledků tohoto výzkumu pro komerční účely.
Zjistěte, zda se Vás NIS2 týká a v jakém režimu
Kdy bude nutné začít reportovat
Návrh směrnice k NIS2
(Prosinec 2022)
Finální znění směrnice k NIS2
(27.prosinec 2022)
Změna zákona a povinnosti v ČR
(Od poloviny roku 2024)
Jak naplnit požadavky směrnice
Technická opatření
- Implementace dvoufaktorového ověřování
- Implementace silné kryptografie a šifrování koncových bodů
- Zabezpečení sítí, aplikací, systémů a softwaru
- Zajištění fyzické i digitální bezpečnosti IT infrastruktury
- Detekce a vyhodnocování kybernetických hrozeb
- Zajištění zálohování a případné obnovy dat
- Zpracování dokumentace
Procesní opatření
- Analýza rizik a bezpečnosti informačních systémů
- Zajištění údržby informačních systémů
- Řízení kontinuity provozu
- Zabezpečení dodavatelských řetězců
- Zpracování plánu průběžného proškolování zaměstnanců i dodavatelských řetězců
- Vytvoření politik a postupů k řízení rizik
Znalostní podpora
- Vzdělávání managementu
- Průběžné a opakované proškolování zaměstnanců v oblasti kybernetické bezpečnosti
- Přístupnost dokumentace a krizových plánů
- Zajištění oznamovací povinnosti incidentů
Spojte se s naším specialistou
Tomáš Krýsl je Vaším konzultantem k problematice kybernetické bezpečnosti a směrnice NIS2,
s profesními zkušenostmi jak z nadnárodních korporací, tak z vlastní poradenské praxe.