Nové předpisy a nařízení

Kyberbezpečnostní směrnice o bezpečnosti sítí a informací (NIS) přináší do značné míry stejné požadavky, jaké už v ČR přinesl Zákon o kybernetické bezpečnosti. Směrnice NIS stanoví, že „provozovatelé kritických infrastruktur“ (organizace z oblastí veřejných služeb, dopravy, veřejného sektoru a finančních služeb) nasadí odpovídající opatření pro správu bezpečnostních rizik a hlášení závažných incidentů na vnitrostátní orgány nebo speciální nouzový tým pro kybernetickou bezpečnost.

Novou výzvu tak bude představovat především Nařízení o obecné ochraně údajů (GDPR), sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, takže budou jednotné pokyny, jak organizace musí zacházet s osobními identifikačními údaji (Personal Identifiable Information, PII), tedy veškerými informacemi, které umožní přímo či nepřímo identifikovat nějakou fyzickou osobu. To se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie či nikoliv. Dojde také k rozšíření definice „osobních údajů“, součástí budou i e-mailové adresy, IP adresy a obsah zveřejněný na sociálních sítích.

Co to znamená pro organizace?

Klíčové je, že se tyto směrnice a nařízení stanou vymahatelnými, takže pokud organizace nesplňují NIS nebo GDPR, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu (v závislosti na segmentu) nebo až 100 milionů EUR. Nové právní předpisy zvýší odpovědnost organizací, ale zároveň je to pro ně příležitost k přehodnocení stávajících bezpečnostních postupů.

Některé z návrhů GDPR odráží směrnici NIS, speciálně pokud jde o zabezpečení systémů a dat, podobně je to i u některých sankcí. Ale GDPR má mnohem více detailů souvisejících s regulací a manipulací s osobními identifikačními údaji (PII) občanů EU.

Na koho se bude GDPR vztahovat?

Podléhat právním předpisům GDPR bude každá organizace nabízející zboží nebo služby v rámci členských států EU. Odstraní se tím současné nejasnosti, zda právní předpisy na ochranu údajů platí v dané zemi nebo regionu. Každá organizace podnikající v rámci EU a manipulující s osobními údaji subjektů EU by měla přijmout taková opatření, která zajistí soulad s předpisy.

„Pokud chtějí organizace minimalizovat rizika, měly by shromažďovat a zpracovávat pouze pro daný účel opravdu nezbytné informace. Nutné je také neuchovávat osobní údaje déle, než je nutné. K tomu mohou pomoci různé automatické politiky, které zajistí, že nepotřebná data jsou ihned bezpečně zničena a vymazána, a nehrozí tak žádný postih,“ říká David Řeháček, Marketingový ředitel pro Jižní a Východní Evropu ze společnosti Check Point Software Technologies.

Ochrana osobních údajů bude nedílnou součástí organizace. Organizace musí implementovat bezpečnostní opatření do všech technických a organizačních procesů a postupů hned od samého začátku. S bezpečností je potřeba pracovat už během přípravných fází, aby byla nedílnou součástí firmy na všech úrovních.

Změna v přístupu k dodavatelům

V rámci nové legislativy bude celý dodavatelský řetězec - od dodavatelů k zákazníkům - společně zodpovědný za ochranu dat. Nebude tedy možné převádět odpovědnost za zabezpečení dat. To znamená, že organizace zpracovávající velké množství informací identifikujících osoby, budou muset použít opatření pro zabezpečení dat a kontrolovat i své partnery, aby bylo zaručeno, že také oni zpracovávají osobní údaje bezpečně.

Inspektoři ochrany údajů

Zatím není zřejmé, jestli budou muset organizace podle GDPR jmenovat inspektora ochrany údajů (Data Protection Officer, DPO), který by byl zodpovědný za správu a ochranu interních dat a shodu s předpisy a procesy. V každém případě musí být organizace připravené, že budou muset interně řešit další zabezpečení, správu dat a reporting. Vzhledem k důležitosti těchto úkolů by takový člověk měl být na vedoucí pozici a měl by být připraven věnovat těmto úkolům většinu svého času.