Digitální transformace společnosti, kterou urychlila pandemie koronaviru, rozšiřuje oblast IT hrozeb, na něž je nutné nově reagovat. Dosud platná směrnice EU o kyberbezpečnosti známá jako NIS (NIS1) byla přijata 6. července 2016. Přinesla nespočet pozitiv, s dalším vývojem se ale postupně odhalovala i její omezení. Proto vyvstala potřeba směrnici novelizovat. Pandemie proces revize uspíšila a 16. prosince 2020 předložila Evropská komise návrh směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii a o zrušení směrnice (EU) 2016/1148 (NIS2). Cílem NIS2 je zvýšit úroveň kybernetické bezpečnosti a odstranit rozdíly v požadavcích na ni, tj. sladit rozsah a podobu nároků na bezpečnost a hlášení incidentů napříč státy EU.

Změny oproti NIS1

Jednou ze zásadních změn je rozšíření regulace na více subjektů soukromé i veřejné sféry. NIS2 subjekty rozděluje na dvě skupiny:

Zásadní entity:

• zdravotnictví,
• výroba farmaceutických výrobků,
• energetika,
• doprava,
• bankovnictví,
• infrastruktury finančních trhů,
• digitální infrastruktura,
• pitná voda,
• odpadní vody,
• veřejná správa,
• vesmír.

Důležité entity:

• poštovní a kurýrní služby,
• nakládání s odpady,
• výroba (zdravotnických prostředků, počítačů, elektronických a optických zařízení, elektrozařízení, strojů, motorových vozidel, přívěsů a návěsů, ostatních dopravních prostředků a zařízení),
• výroba, zpracování a distribuce potravin,
• výroba a distribuce chemikálií,
• digitální poskytovatelé.

Některé ze sektorů jsou shodné se stávající směrnicí. NIS2 nicméně dopadne nově i na řadu subjektů, které doposud povinně kyber­ne­tic­kou bezpečnost řešit nemusely. Obdobně jako u NIS1 jsou z působ­nos­ti směrnice vyloučeny mikro a malé subjekty, některé však mohou být výjimkou (například poskytovatelé služeb elektronických komunikací nebo poskytovatelé důvěryhodných služeb).

Druhým důležitým bodem je risk management. NIS1 pracuje s pojmy Poskytovatel základní služby a Poskytovatel digitální služby. Obě skupiny musely přijmout postupy spojené s řízením rizik a oznamovat významné incidenty svým vnitrostátním orgánům. NIS2 posílí důležitost řízení rizik. Analýza rizik bude stěžejní před jakoukoliv změnou ve společnosti, jejíž vedení ponese odpovědnost za dodržování opatření týkajících se řízení kyberbezpečnostních rizik.

Dalším pilířem je zlepšení kooperace mezi členskými státy EU. NIS2 má zajistit vzájemné sdílení informací a koordinované zveřejňování nově objevených zranitelností. Agentura Evropské unie pro kybernetickou bezpečnost (ENISA) bude zodpovědná za vedení evropského registru zranitelností. Každé dva roky také bude mít na starost vypracování zprávy o stavu kybernetické bezpečnosti v EU.

Povinnosti pro subjekty spadající pod NIS2

Subjekty budou muset přijmout technická a organizační opatření, především k řízení rizik ohrožujících bezpečnost sítí a informačních systémů, které subjekty využívají při poskytování svých služeb. Dle návrhu směrnice mezi povinnosti pro subjekty bude patřit:

• nahlášení údajů ENISA (týká se pouze určitých typů subjektů, například poskytovatelů služeb DNS, poskytovatelů služeb cloud computingu),
• komplexnější přístup k řízení rizik – povinnost identifikovat rizika, provádět analýzu rizik, vyhodnocovat a přijímat opatření ke snížení rizik,
• zvládání incidentů – prevence, detekce a reakce na incidenty,
• zajištění business kontinuity a krizového řízení,
• zajištění bezpečnosti dodavatelského řetězce, zohlednění zranitelných míst pro každého dodavatele a poskytovatele služeb zvlášť,
• zajištění bezpečnosti při získávání, vývoji a údržbě informačních systémů,
• efektivní používání šifrování,
• testování kybernetické bezpečnosti,
• oznamovací povinnost – oznámení příslušnému orgánu o jakémkoli incidentu, který má významný dopad na poskytování jejich služeb, či významnou kybernetickou hrozbu, kterou identifikují a která by mohla potenciálně vést k významnému incidentu.

NIS 2 je pozitivním krokem k harmonizaci kybernetické bezpečnosti v EU, nicméně krokem poměrně přísným. Pokud subjekt nevybuduje a/nebo neudrží kybernetickou bezpečnost na požadované úrovni, čekají ho pokuty a sankce. Pokuty jsou stanoveny ve výši až 10 milionů EUR či 2 % z celkového celosvětového ročního obratu (záleží, která z částek je vyšší). Pokuty se platí v případě nedodržení opatření týkajících se řízení rizik či ohlašovacích povinností.

Poptávka po IT specialistech vzroste

Nyní je na Evropském parlamentu a Radě EU, aby prozkoumaly a přijaly navrhovanou směrnici NIS2. V platnost pravděpodobně vstoupí před polovinou roku 2023. Jakmile bude návrh schválen, státy EU budou povinny přijmout a zveřejnit právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Můžeme tedy očekávat aktualizaci zákona o kybernetické bezpečnosti a souvisejících prováděcích předpisů.

NIS2 přinese změny nejen regulovaným sektorům, ale dotkne se i celých dodavatelských řetězců, jejichž bezpečnost bude také hodnocena. Zásadním a důležitým entitám nezbude než posílit a přeorganizovat vlastní IT oddělení a/nebo práci zadat exter­ním odborníkům. Pro mnohé firmy natož veřejné subjekty nebude snadné získat do svých řad potřebné IT specialisty (experty na kybernetickou a informační bezpečnost, na řízení rizik, architekty kybernetické bezpečnosti), kterých je už teď na trhu práce nedos­ta­tek. Také proto je dobré se na NIS2 začít připravovat už nyní.

Tomáš Kudělka Autor článku je ředitelem technologického týmu KPMG.