NIS2 v kontextu kybernetické bezpečnosti

Směrnice NIS2 představuje rozšířenou verzi původní směrnice NIS, která platila od roku 2016 pro specificky určený okruh povinných subjektů. Hlavním důvodem této aktualizace je rostoucí počet hrozeb v kybernetickém prostoru a potřeba zavést jednotná pravidla pro zajištění kybernetické bezpečnosti ve vybraných sektorech napříč Evropskou unií.

Mezi klíčové změny patří:

• Rozšíření okruhu regulovaných subjektů – Směrnice NIS2 se týká nejen poskytovatelů kritické infrastruktury a jejich dodavatelů, ale i mnoha soukromých společností v různých odvětvích, jako jsou finance, energetika, zdravotnictví či digitální služby.
• Posílení odpovědnosti managementu – Vrcholové vedení firem je nyní přímo odpovědné za zajištění dostatečných zdrojů pro implementaci a rozvoj bezpečnostních opatření v rámci organizace.
• Povinnost hlásit kybernetické incidenty – Organizace musí ve stanovené lhůtě oznámit kybernetický incident příslušným úřadům s cílem umožnit rychlou a koordinovanou reakci na bezpečnostní incidenty v kybernetickém prostoru Evropské unie.

Neplnění těchto požadavků může vést k vysokým pokutám, k narušení reputace firmy a ohrožení důvěry zákazníků.

Zákonné povinnosti vs. bezpečnostní opatření

V kontextu zajištění souladu s novou regulací kybernetické bezpečnosti je důležité rozlišovat mezi formálními povinnostmi, které bude ukládat nový zákon o kybernetické bezpečnosti, a konkrétními bezpečnostními opatřeními, která musí organizace zavést s cílem zajistit odpovídající stav kybernetické bezpečnosti.

Samotný rámec bezpečnostních opatření k řízení kybernetické bezpečnosti předepsaný směrnicí NIS2 vychází z uznávaných mezinárodních standardů, jako je ISO 27001 nebo NIST 800-53. To znamená, že společnosti, které mají zavedený systém řízení kybernetické bezpečnosti v souladu s některým z uznávaných mezinárodních standardů, nebudou se zaváděním těchto požadavků začínat úplně od nuly. Nicméně z právního pohledu je důležité upozornit na zmíněné zákonné povinnosti, na které se někdy v kontextu orientace na bezpečnostní opatření zapomíná.

Sebeidentifikace

Mezi zákonné povinnosti patří na prvním místě tzv. sebeidentifikace neboli vyhodnocení toho, zdali bude organizace poskytovat nějakou z vyjmenovaných regulovaných služeb a jestli splní kritérium velikosti pro to, aby mohla být považována za poskytovatele regulované služby.

V případě kladného vyhodnocení je subjekt povinen ve stanovené lhůtě, která začíná běžet účinností nového zákona o kybernetické bezpečnosti, tuto skutečnost oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost (dále „NÚKIB“) prostřednictvím webového formuláře dostupného na webových stránkách NÚKIB.

O tom, zda vaše organizace poskytuje regulovanou službu ve smyslu nového zákona o kybernetické bezpečnosti, následně rozhodne NÚKIB vydáním správního rozhodnutí. Od tohoto okamžiku začíná běžet roční lhůta k implementaci bezpečnostních opatření. Ta jsou upřesněna v prováděcích vyhláškách. Bezpečnostní opatření pro poskytovatele digitální infrastruktury a služeb, mezi které mimo jiné patří poskytovatelé cloud computingu, poskytovatelé řízené služby a poskytovatelé řízené bezpečnostní služby, jsou stanovena prováděcím nařízením Evropské komise.

Ruku v ruce s procesem sebeidentifikace by měla proběhnout také interní diskuse o tom, kdo bude v rámci organizace pověřenou osobou ohledně komunikace s NÚKIB. Pověřená osoba má na starost oznámení ohledně poskytování regulované služby, ale třeba i budoucí komunikaci ohledně řešení bezpečnostního incidentu.

Určení stanoveného rozsahu

Zákonnou povinností navazující na sebeidentifikaci je určení stanoveného rozsahu. Připravovaná právní úprava počítá s tím, že organizace může poskytovat různé služby a činnosti, ale ne všechny budou relevantní z pohledu nové regulace kybernetické bezpečnosti. Určení stanoveného rozsahu slouží k ohraničení toho, které služby budou podléhat nové regulaci kybernetické bezpečnosti a které budou vyjmuty.

V případě, že organizace neprovede určení stanoveného rozsahu, návrh nového zákona o kybernetické bezpečnosti zavádí ne­vy­vra­ti­tel­nou právní domněnku, že do stanoveného rozsahu regulované služby spadají veškeré činnosti a služby poskytované organizací. To má následně dopad na rozsah zavádění bezpečnostních opatření a také na rozsah případného dozorového auditu ze strany NÚKIB.

Hlášení bezpečnostních incidentů

Další důležitou povinností je už zmíněné hlášení bezpečnostních incidentů. Nově bude nutné nahlásit základní informace o kybernetickém bezpečnostním incidentu na NÚKIB, resp. národnímu CERT, nejpozději do 24 hodin.

Bezpečnostní opatření

Určení poskytovatelé regulované služby mají roční lhůtu na implementaci předepsaných bezpečnostních opatření. Tato lhůta začíná běžet od doručení rozhodnutí NÚKIB o určení organizace jako poskytovatele regulované služby. Jak ale zjistit, která bezpečnostní opatření mají být ve vaší organizaci zavedena?

Česká republika využila možnosti upravené ve směrnici NIS2 a rozlišila bezpečnostní opatření, která mají být implementována poskytovateli v tzv. nižším a vyšším režimu. Závazné určení nižšího nebo vyššího režimu ze strany NÚKIB bude obsaženo v rozhodnutí ohledně určení poskytovatele regulované služby, organizace však již nyní mohou samy posoudit, do jakého režimu budou spadat.

Kromě úpravy obsažené v prováděcích vyhláškách je důležité mít na zřeteli i speciální úpravu bezpečnostních opatření a požadavků na hlášení incidentů pro subjekty, které poskytují regulované služby v oblasti digitální infrastruktury a služeb. Předpokládá se totiž, že tyto subjekty poskytují služby s přeshraničním dopadem, a proto se Evropská komise rozhodla požadavky na tyto subjekty sjednotit napříč všemi členskými státy.

Jak na efektivní implementaci?

Implementace požadavků směrnice NIS2 není pouze otázkou splnění legislativních požadavků nové úpravy kybernetické bezpečnosti, ale především klíčovým krokem k ochraně podnikání v dnešní digitální době. Rostoucí počet kybernetických hrozeb a stále sofistikovanější vektory útoků ukazují, že organizace již nemohou bezpečnost vnímat jako vedlejší téma, ale musí ji integrovat do své strategické agendy a každodenního fungování. Směrnice NIS2 přináší jasná pravidla, která firmám pomáhají zvýšit celkový stav kybernetické bezpečnosti v or­ga­ni­za­ci a zlepšit jejich připravenost na případné kybernetické útoky.

Implementace požadavků směrnice NIS2 představuje pro organizace technickou i strategickou výzvu. Zvládnutí souladu se všemi předepsanými povinnostmi je dobré vhodně rozplánovat a rozložit jak z pohledu lidských a dodavatelských kapacit, tak z pohledu plánování potřebných financí. V neposlední řadě je nutné dobře nastavit proces zapojení členů vrcholného vedení.

Management hraje v procesu implementace bezpečnostních po­ža­dav­ků klíčovou roli. Vedení musí být aktivním účastníkem bezpečnostní strategie, podporovat investice do technologií, školení zaměstnanců a neustálé zlepšování bezpečnostních opatření. Nedostatečná reakce na požadavky nové bezpečnostní regulace může vést nejen k vysokým pokutám, ale především k vážným bezpečnostním incidentům, které mohou poškodit reputaci firmy i její provozní kontinuitu. Klíčové je proto vnímat NIS2 jako příležitost ke zlepšení celkové bezpečnostní kultury, nikoli jen jako administrativní povinnost.

Závěrem zbývá zdůraznit, že čím dříve organizace zahájí implementaci nových požadavků, tím efektivněji se bude schopna na novou regulaci připravit. Včasné zahájení implementace umožní organizacím provádět jednotlivá opatření v klidu, bez časového tlaku a tím se vyhnout chybným rozhodnutím vedoucím k neefektivnímu vynakládání prostředků.

Mgr. et Mgr. Ing. Jan Tomíšek, Ph.D. Advokát / Partner

Mgr. Michaela Holíková Associate