NIS2 - KYBERNETICKÁ BEZPEČNOST OD ROKU 2023

V průběhu posledních let dramaticky stoupá počet kybernetických útoků na kriticky důležité organizace státu, podnikající subjekty všech velikostí, ale i neziskové organizace a jednotlivce.
Jsou příčinou dlouhodobých výpadků provozů a služeb a jejich důsledkem jsou obrovské finanční škody.

Nová Strategie kybernetické bezpečnosti EU (NIS2) má za cíl radikálně zlepšit podmínky k zajištění bezpečnosti na úrovni jednotlivých organizací. Dotkne se zhruba 6000 českých a 3000 slovenských subjektů napříč celým oborovým spektrem. Za nedodržení směrnice hrozí pokuty ve výši 10.000.000 € nebo 2 % z celkového celosvětového ročního obratu společnosti.

Týká se NIS2 i vás?

NIS2 se dotkne téměř všech oborů a odvětví

Provozovatelé distribuční a přenosové soustavy, výrobci a prodejci elektrické energie, nominovaní organizátoři trhu s elektřinou, provozovatelé dobíjecích stanic spolu s poskytovateli elektromobility.

Subjekty poskytující službu dálkového vytápění nebo chlazení.

Provozovatelé ropovodů, zařízení na těžbu, rafinaci a zpracování ropy, skladovacích a přenosových zařízení, ústřední správci zásob.

Obchodníci s plynem, distributoři plynu, přepravci plynu, výrobci plynu a poskytovatelé uskladňování plynu.

Provozovatelé výroby, skladování a přepravy vodíku. Doposud však není implementováno do českého právního řádu.

Komerční letečtí dopravci, řídicí orgány letišť a subjekty provozující pomocná zařízení v rámci letišť, provozovatelé kontroly řízení provozu.

Provozovatel dráhy celostátní nebo regionální anebo veřejné přístupné vlečky a dopravce provozující na těchto drahách drážní dopravu.

Předmětné předpisy se vztahují na námořní přístavy a pro Českou republiku tedy nejsou relevantní.

Silniční orgány odpovědné za plánování, kontrolu a správu silnic spadajících do jejich územní působnosti, poskytovatelé služeb ITS.

Sektor bankovnictví je regulován nařízením DORA.

Sektor infrastruktura finančních trhů je regulován nařízením DORA.

Poskytovatelé zdravotní péče (nemocnice a další), subjekty provádějící výzkum a vývoj léčivých výrobků a přípravků, výrobci základních farmaceutických přípravků.

Dodavatelé a distributoři vody určené k lidské spotřebě, avšak kromě těch, pro které je to vedlejší činnost k jejich hlavní činnosti zabývající se distribucí jiných komodit a zboží.

Subjekty shromažďující, vypouštějící nebo upravující městské nebo průmyslové odpadní vody nebo splašky, avšak kromě těch, pro které se jedná pouze o vedlejší činnost k jejich hlavní činnosti.

Poskytovatelé: výměnných uzlů internetu (IXP), cloud computingu, datového centra, služeb vytvářejících důvěru, elektronických komunikací, CDN služeb, registrů TLD, služeb systému doménových jmen (DNS), s výjimkou poskytovatelů root name serverů.

Poskytovatelé řízených ICT služeb a poskytovatelé řízených ICT bezpečnostních služeb. Subjekty, pro zákazníky provozující či spravující ICT služby a nástroje, typicky na základě smlouvy o úrovni služeb (SLA).

Ústřední orgány státní správy, veřejná správa na regionální úrovni, soudy a státní zastupitelství a další instituce významné pro chod státu.

Subjekty, poskytující poštovní služby, tzn. výběr, třídění, přepravu a dodání poštovních zásilek, včetně provozovatelů kurýrních služeb.

Poskytovatelé on-line tržišť, internetových vyhledávačů, platforem služeb sociálních sítí.

Subjekty, poskytující službu nakládání s odpady, tzn. zařízení určená pro nakládání s odpady, obchodníci, zprostředkovatelé, dopravci podle zákona č. 541/2020 Sb., kromě těch, pro které nakládání s odpady není jejich hlavní ekonomickou činností.

Subjekty, poskytující služby v chemickém průmyslu, tzn. výrobci, distributoři, včetně maloobchodníka, který skladuje a uvádí na trh chemickou látku nebo předmět.

otravinářské subjekty, které se zabývají velkoobchodní distribucí a průmyslovou výrobou nebo zpracováním.

Výroba: zdravotnických a diagnostických zdravotnických prostředků, počítačů, elektronických a optických přístrojů, elektrických zařízení, strojů a zařízení, motorových vozidel (kromě motocyklů), přívěsů a návěsů, ostatních dopravních prostředků a zařízení.

Výzkumné organizace, s výjimkou vzdělávacích institucí, jejichž hlavním cílem je provádět aplikovaný výzkum nebo experimentální vývoj s ohledem na využití výsledků tohoto výzkumu pro komerční účely.

Zjistěte, zda se Vás NIS2 týká a v jakém režimu

jarda v3 form
  • Údaje o společnosti
  • Kontaktní údaje

Zadejte prosím Vaše kontaktní údaje, na které obratem odešleme výsledek dotazníku.

Kdy bude nutné začít reportovat

Návrh směrnice k NIS2

(Prosinec 2022)

Finální znění směrnice k NIS2

(27.prosinec 2022)

Změna zákona a povinnosti v ČR

(Od poloviny roku 2024)

Jak naplnit požadavky směrnice

Technická opatření
  • Implementace dvoufaktorového ověřování
  • Implementace silné kryptografie a šifrování koncových bodů
  • Zabezpečení sítí, aplikací, systémů a softwaru
  • Zajištění fyzické i digitální bezpečnosti IT infrastruktury
  • Detekce a vyhodnocování kybernetických hrozeb
  • Zajištění zálohování a případné obnovy dat
  • Zpracování dokumentace
Procesní opatření
  • Analýza rizik a bezpečnosti informačních systémů
  • Zajištění údržby informačních systémů
  • Řízení kontinuity provozu
  • Zabezpečení dodavatelských řetězců
  • Zpracování plánu průběžného proškolování zaměstnanců i dodavatelských řetězců
  • Vytvoření politik a postupů k řízení rizik
Znalostní podpora
  • Vzdělávání managementu
  • Průběžné a opakované proškolování zaměstnanců v oblasti kybernetické bezpečnosti
  • Přístupnost dokumentace a krizových plánů
  • Zajištění oznamovací povinnosti incidentů

Spojte se s naším specialistou

Tomáš Krýsl je Vaším konzultantem k problematice kybernetické bezpečnosti a směrnice NIS2,
s profesními zkušenostmi jak z nadnárodních korporací, tak z vlastní poradenské praxe.