NIS2: zákon o kybernetické bezpečnosti

NIS2: Nový zákon o kybernetické bezpečnosti

Pomůžeme vám vyřešit požadavky nové legislativy v klidu a včas.

Jak vám můžeme s NIS2 pomoci?

Co nabízíme:

Vstupní konzultace
Vstupní konzultaci
Na úvod s vámi projdeme vaše bezpečnostní potřeby v souladu s tím, co nařizuje NIS2.
NIS2 analýza rizik
Analýzu bezpečnosti
Vypracujeme podrobnou analýzu stávajících bezpečnostních organizačních opatření a identifikujeme slabá místa.
Směrnice NIS2: příprava na nový Zákon o kybernetické bezpečnosti
Návrh řešení
Navrhneme ucelené bezpečnostní řešení vyžadující minimum času na nasazení, správu a provoz.
NIS2 splnění požadavků
Implementaci a outsourcing
Nabídneme kompletní implementaci navrženého řešení a možnost outsourcingu bezpečnostních služeb.

Co je NIS2?

NIS2 je nová směrnice Evropské unie s cílem zvýšit odolnost institucí a firem proti kybernetickým rizikům. V ČR se promítne do legislativy formou nového Zákona o kybernetické bezpečnosti. Ten významně rozšíří počet regulovaných subjektů i rozsah jejich povinností.

Dopad NIS2 na organizace a firmy

Koho se směrnice NIS2 týká?

  • Směrnice bude mít vliv na 18 odvětví, konkrétně na subjekty poskytující některou ze 60 vyjmenovaných služeb.
  • Povinnost bude platit i pro dceřiné organizace a dodavatele regulovaných subjektů.
  • NIS2 se dotkne víc než 6 000 společností v ČR. Původní NIS rámec se přitom týkal jen asi 450 společností.

Proč si vybrat O2

Zajišťujeme kybernetickou bezpečnost pro řadu firem a organizací.
Co všechno získáte spoluprací s námi? 

Komplexní řešení firemní bezpečnosti

Pomůžeme efektivně eliminovat konkrétní hrozby. Vaše firma bude odolnější vůči útokům zvenčí. Ochráníme vaše klíčové firemní aktivity.

Úsporu nákladů

Na základě analýzy bezpečnosti nadefinujeme priority a navrhneme vám nejvhodnější strategii pro cílení investic.

Expertní know-how

Pomůžeme vám zajistit řádné plnění procesních, dokumentačních a technických povinností a zvýšit efektivitu fungování.

Konkurenční výhodu

Naplněním legislativních povinností dostojíte požadavkům na nově určené povinné osoby tak, jak potřebují vaši zákazníci.

Nechte nám kontakt

Nezávazná konzultace

Nechte nám na sebe kontakt. Ozveme se vám a společně probereme, jak vám můžeme pomoci.
Údaje zpracujeme podle Zásad zpracování osobních údajů za účelem jednorázového telefonického kontaktu s informacemi o našich službách.
Náš operátor vás bude kontaktovat.
Nezávazná konzultace Nechte nám na sebe kontakt. Ozveme se vám a společně probereme, jak vám můžeme pomoci. Kontaktujte mě Náš operátor vás bude kontaktovat.
Nezávazná konzultace Nechte nám na sebe kontakt. Ozveme se vám a společně probereme, jak vám můžeme pomoci. Kontaktujte mě Náš operátor vás bude ihned kontaktovat.
Nezávazná konzultace Nechte nám na sebe kontakt. Ozveme se vám a společně probereme, jak vám můžeme pomoci. Kontaktujte mě Náš operátor vás bude kontaktovat.
Nezávazná konzultace Nechte nám na sebe kontakt. Ozveme se vám a společně probereme, jak vám můžeme pomoci. Kontaktujte mě Náš operátor vás bude kontaktovat.

Podívejte se na webinář k NIS2

Směrnice NIS2 – otázky a odpovědi

Co je směrnice NIS2 a odkdy platí?

Směrnice NIS2, známá také jako směrnice o kybernetické bezpečnosti, je aktualizovanou verzí směrnice Network and Information Security (NIS) z roku 2016.

Jde o legislativní nástroj zaměřený na zvyšování kybernetické bezpečnosti v EU. Směrnice stanovuje požadavky pro zvýšení odolnosti informačních systémů a sítí vůči kybernetickým hrozbám a požadavky na hlášení kybernetických incidentů.

Smyslem směrnice je výrazně posílit ochranu společností a infrastruktury jednotlivých států EU před kybernetickými hrozbami a dosáhnout v rámci celé unie vysoké úrovně společného zabezpečení.

Směrnice NIS2 platí od ledna 2023. Členské státy mají povinnost začlenit směrnici do státní legislativy nejpozději 17. 10. 2024.

Jak a kdy se NIS2 promítne do české legislativy?

Směrnice NIS2 nemá v současné chvíli přímý legislativní dopad na obchodní společnosti a další subjekty v České republice.

Změny a nové povinnosti, které přináší, začnou v českém prostředí platit až s účinností nového Zákona o kybernetické bezpečnosti (ZoKB) a jeho prováděcích vyhlášek. Přijetí zákona se předpokládá ve druhé polovině roku 2024.

Nový zákon o kybernetické bezpečnosti počítá s roční přechodnou lhůtou, to znamená do poloviny roku 2025, aby měly firmy a organizace čas se na nové požadavky připravit. Nicméně sám tvůrce zákona, Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), uvádí, že některé požadavky bude potřeba začít plnit už ve druhé polovině roku 2024. Proto je dobré se v celé problematice zorientovat a nečekat se zahájením prací až po přijetí zákona.

Koho se NIS2 dotkne?

Směrnice NIS2, resp. nový Zákon o kybernetické bezpečnosti se dotkne víc než 6 000 soukromých i státních společností a organizací a uloží jim nové povinnosti. Za jejich nesplnění budou hrozit vysoké pokuty – ve výši až 250 milionů Kč nebo 2 % z ročního obratu společnosti.

Kybernetický zákon bude mít dopad na 60 služeb v 18 odvětvích. Dotknou se například energetiky, dopravy, vodohospodářství, bankovnictví a finančních služeb, poštovních a kurýrních služeb nebo potravinářství. Návrh zákona v této souvislosti mluví o tzv. regulovaných službách. Jejich kompletní výčet definuje Vyhláška o regulovaných službách ↗.

Organizace poskytující regulované služby se podle své velikosti dělí do dvou úrovní – základní (essential), pro ty platí vyšší povinnosti, a důležité (important), pro které platí nižší povinnosti.
 

Jak zjistím, jestli organizace spadá pod regulaci nového Zákona o kybernetické bezpečnosti?

Základní jsou dvě kritéria:

  • organizace poskytuje aspoň jednu ze zákonem uváděných regulovaných služeb,
  • zaměstnává 50 a víc zaměstnanců, nebo má roční obrat cca 250 milionů Kč a víc.

Nový ZoKB bude platit i pro dceřiné organizace a významný dopad bude mít i na dodavatele určených organizací.

Jestli nový ZoKB na organizaci dopadá, si organizace definují samy při tzv. sebeurčování. Organizace sama posoudí, jestli splňuje kritéria poskytovatele regulované služby. Pokud je naplňuje, registruje se u NÚKIB.

Jaké požadavky NIS2 zavádí?

Mezi základní povinnosti, které NIS2, resp. nový Zákon o kybernetické bezpečnosti zavádí, patří:

  • Přímá odpovědnost organizace a  jejího managementu za dodržování nařízení ZoKB.
  • Nastavení systému řízení rizik v rámci vlastních sítí a informačních systémů.
  • Zavedení zákonem stanoveného minimálního standardu bezpečnostních opatření včetně bezpečnosti dodavatelského řetězce.
  • Vytvoření týmu, který bude schvalovat opatření v oblasti kyberbezpečnosti a dohlížet na jejich dodržování.
  • Primární ukládání dat na území České republiky s možností ukládat data v šifrované podobě v dalších zemích EU, NATO nebo Organizace pro ekonomickou spolupráci.
  • Povinné dvoufázové hlášení bezpečnostních incidentů Národnímu úřadu pro kybernetickou a informační bezpečnost.
  • A další...
Jak se na NIS2 připravit?

Důvodem pro řešení požadavků nového Zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek by neměly být vysoké pokuty, ale vůle eliminovat nebezpečí kybernetické události, které může omezit nejen poskytování regulované služby. A to i proto, že vedlejším přínosem zvyšování kybernetické bezpečnosti bývá i synergické zvyšování efektivity ICT i v době mimo útok.

Obecně lze požadavky shrnout do následujících bodů:

  • poznejte, kde se vaše regulovaná služba opírá o ICT,
  • zajistěte bezpečnost provozu ICT tak, aby nedošlo k narušení kontinuity a kvality poskytování služby.
     

Zajištění provádějte na organizační i technické úrovni:

  • kontinuálně udržujte povědomí o tom, kde a jak se vaše regulovaná služba opírá o ICT,
  • na základě nových zjištění upravujte úroveň a formu zabezpečení.

Popsané řešení lze zvládat při spolupráci oddělení napříč organizací (především vrcholného vedení, osob odpovědných za kybernetickou bezpečnost a provozovatelů ICT). Zákonná organizační opatření pak budou snadno zvládnutelná a můžou i zvýšit efektivitu fungování organizace jako takové.

Organizační i technická opatření je vhodné zavádět jako celek. Díky tomu nebude docházet k výraznému omezení nebo zdržení během nasazení, správy a provozu.

V menších a středních organizacích lze auditní část při zachování kvality provádět v rozsahu jednotek MD. Správně definované požadavky je vhodné promítnout do nastavení limitovaného počtu nástrojů.

Provázání infrastrukturního prvku s identitami a nástroji pro koncové stanice bývá efektivnější než nákupy mnoha nových systémů. Logy získané z takto integrovaného řešení navíc poskytnou zpětnou vazbu pro analýzu a integrace výrazně zjednoduší i vynucování definovaných bezpečnostních politik.