Judita Kabzanová

Legislativní změny v kybernetické bezpečnosti od roku 2024

LEGISLATIVA

 

Svět IT technologií je neustále v pohybu a tak i zákonodárci musí reagovat na nové problémy, které se objevují spolu s novými technologiemi.

Nová směrnice - NIS2

Velkou změnou v evropské legislativě a následně i v legislativách členských států bude nová směrnice o kybernetické bezpečnosti NIS2, která se bude týkat především velkých firem.

Její uvedení do reality proběhne v letech 2024 až 2025.  Účinnost českého zákona reflektujícího tuto směrnici se očekává v říjnu 2024, v současné době na něm zákonodárci stále pracují.

Kybernetická bezpečnost

 

O co půjde?

Nová směrnice si klade za cíl reflektovat nejnovější změny v oboru digitálních technologií tak, aby byla zajištěna maximální bezpečnost pro data velkých společností. V současné době totiž už prakticky neexistuje odvětví lidské činnosti, kde by informační systémy nehrály významnou roli - jsou v nich zpracovávány výrobní data, ale i poměrně citlivá data osobní.

Tato data se mohou stát cílem útoků hackerů a mohou být následně zneužita nebo neoprávněně zveřejněna. Nová právní úprava je klíčová pro předcházení, zjištění a zmírňování dopadů případných kybernetických bezpečnostních incidentů, které by mohly znamenat únik osobních dat zaměstnanců i zákazníků těchto společností.

Bezpečnostní opatření samozřejmě nemohou nikdy zcela zamezit tomu, že incident nastane, přesto to nijak nesnižuje význam jejich zavádění, protože tato opatření možnost výskytu incidentu razantně redukují.
 

Koho se směrnice NIS2 týká?

Nová směrnice se bude týkat středních a větších podniků, které zaměstnávají 50 a více zaměstnanců, nebo dosahují ročního obratu nebo bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK) a které zároveň poskytují alespoň jednu službu uvedenou v přílohách směrnice, jakými jsou například:

  • Poštovní a kurýrní služby
  • Nakládání s odpady
  • Výroba, produkce a distribuce chemických látek
  • Výroba, zpracování a distribuce potravin
  • Výroba počítačů, elektronických a optických přístrojů a zařízení
  • Výroba elektrických zařízení
  • Výroba strojů a zařízení
  • Výroba motorových vozidel, přívěsů a návěsů
  • Výroba ostatních dopravních prostředků a zařízení
  • Digitální poskytovatelé on-line tržišť
  • Poskytovatelé internetových vyhledávačů
  • Poskytovatelé služeb platforem sociálních sítí

Úplný výčet typů dotčených podniků najdete v originální směrnici.
 

Jak to bude zařízeno?

Provádění a správnost opatření bude v rámci ČR zajišťovat Národní úřad pro kybernetickou bezpečnost - NÚKIB, na jehož stránkách najdete všechny podrobné informace i školící materiály.
Dotčené podniky, které splní podmínky této směrnice se budou muset registrovat u NÚKIB. Po registraci následuje zápis do evidence poskytovatelů regulované služby a dotčenému podniku budou běžet zákonné lhůty pro splnění povinností (např. pro zavedení bezpečnostních opatření).

Směrnice NIS2 přináší nově dvě kategorie, ve kterých se regulovaný subjekt může nacházet.

  1. základní subjekt
  2. důležitý subjekt

Rozdíly mezi nimi jsou dány rozdílnou mírou rizika, která by měla být zohledněna při zavádění požadavků k řízení bezpečnostních rizik v digitálním prostoru, a rozdílným způsobem kontroly dodržování stanovených požadavků.  Některé organizace budou díky službě, kterou poskytují, zařazeny do kategorie důležitý subjekt bez ohledu na svou velikost. Jde zejména o poskytovatele služeb DNS, subjekty spravující registr internetových domén nejvyšší úrovně nebo veřejnou správu.

Dále budou stanoveny 2 režimy, přičemž každá organizace bude moci být zařazena jen do jednoho režimu

  1. režim vyšších povinností (nutno hlásit všechny bezpečnostní incidenty)
  2. režim nižších povinností.(nutno hlásit jen závažné incidenty, které společnost vyhodnotí jako významné)

Jaké budou povinnosti subjektů?

Principem je vést organizaci k tomu, aby si zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika, která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.

Co je to bezpečnostní incident?

Jakákoliv událost narušující dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné.

Celý proces hlášení bezpečnostních indidentů je podrobně popsán v tomto informačním letáku.

Co dělat v případě bezpečnostního incidentu?

Jakoukoli podezřelou událost v oblasti kybernetické bezpečnosti a ochrany dat je třeba bez zbytečného odkladu (tedy co nejdříve) hlásit na:

  • v režimu vyšších povinností je nutno hlásit přímo NÚKIB
  • v režimu nižších povinností národnímu CERT reps. CSIRT - což je organizace národního kyberbezpečnostního týmu. Tato organizace poskytuje bezpečnostní poradenství i samotné řešení drobných incidentů.

V obou případech se dle navrhovaného znění zákona hlásí jen ty kybernetické bezpečnostní incidenty, které mají původ v kybernetickém prostoru a nelze u nich vyloučit úmyslné zavinění. Podstatné je, že incident, který je pro organizaci třeba i nevýznamný, může být v kontextu České republiky jako celku důležitý a potenciálně ohrožující.
 

 

 

Co se stane, pokud se rozhodneme nařízení nedodržovat?

Je velmi pravděpodobné, že pokud jste střední nebo velký podnik s dostatečným obratem, dříve nebo později se na vás NÚKIB zaměří. Tento institut bude oprávněn:

  • kontrolované organizaci uložit nápravná opatření k odstranění zjištěných nedostatků 
  • může přistoupit k vydání výstrahy, kterou může veřejnost informovat kromě jiného o porušování určitých povinností
  • udělit finanční sankce
  • pozastavit platnost certifikace
  • pozastavit výkon řídicí funkce
  • nejzazším sankčním prostředkem je pak pozastavení výkonu řídicí funkce konkrétní fyzické osobě
     

Jak postupovat při zavádění nových opatření?

Pokud vaše organizace kybernetickou bezpečnost do této chvíle systematicky neřešila, lze doporučit jako výchozí kroky především:

  1. zmapování aktuálního stavu organizace (tzn. audit aktuálního stavu kybernetické bezpečnosti a potenciálních slabých míst)
  2. vypracování tzv. business impact analýzy (zejm. jaké by byly dopady narušení řádného fungování jednotlivých systémů na vaši organizaci; nejde přitom jen o nedostupnost používaných informačních systémů, ale i o narušení důvěrnosti nebo integrity shromažďovaných dat).
  3. Již v této fázi je dobré se zaměřit na školení relevantních osob v organizaci. Doporučujeme základní školení pro všechny uživatele, odborné školení pro osoby, které v organizaci řeší/budou řešit kybernetickou bezpečnost a nezapomínat přitom i na vrcholový management.
  4. Z technických opatření lze obecně doporučit nasadit firewally (zejména perimetrové), antiviry (zejména sofistikovanější EDR) a zálohovací řešení. 
     

Rozhodně nedoporučujeme bezhlavě nakupovat služby typu
„posoudíme soulad vaší organizace s NIS2“
nebo „zavedeme vám v organizaci NIS2“.

Nenechte se napálit „vševědoucími“ implementátory NIS2 na klíč.
Směrnice NIS2 žádné konkrétní požadavky neupravuje, vše bude obsaženo až v novém zákoně o kybernetické bezpečnosti, který je teprve připravován.
 

 

Shrnutí

  • Nová evropská kyberbezpečnostní směrnice NIS2 je podkladem k nové české legislativě, která je ale stále ještě připravována.
  • Tato směrnice se bude týkat středních a velkých podniků, které svou činnost provádějí v určitých rizikových oblastech a nákládají s citlivými daty.
  • Podniky budou podle svého významu zařazeny do různých kategorií a režimů, podle kterých bude také probíhat hlášení bezpečnostních indicentů.
  • Každý bezpečnostní incident bude třeba hlásit a také řešit na interní úrovni.
  • Při nedodržení těchto opatření bude podnik vystaven nejrůznějším sankcím.

 

Máte obavy o bezpečnost svého webu nebo e-shopu?

Nejste si jistí, zda odpovídá
moderním bezpečnostním standardům?

Kontaktujte nás >

Rádi vám s ním pomůžeme.

 

 

 

Zdroje:

eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32022L2555

osveta.nukib.gov.cz/

 

kategorie

štítky