Netrpělivě očekávaná verze nového Zákona o kybernetické bezpečnosti (ZoKB) mimo jiné obsahuje požadavky nové evropské legislativy NIS2.
Koho se směrnice NIS2 a ZoKB týká?
Požadavky nové evropské směrnice NIS2 budou mít rozsáhlé důsledky pro různé subjekty a instituce. Směrnice se týká nejen institucí a podniků, které podnikají v Evropské unii, ale také jejich dodavatelů. Ve srovnání se směrnicí NIS má NIS2 mnohem větší rozsah působnosti a její požadavky jsou lépe vymahatelné.
Povinnosti dopadají také na mnohem více odvětví, kromě odvětví kritické infrastruktury, jako je energetika, doprava nebo zdravotnictví, bylo zahrnuté potravinářství, chemický průmysl, odpadové hospodářství, poštovní a kurýrní služby, výroba zdravotnických prostředků a další. Úplný výčet regulovaných služeb je uveden v příloze vyhlášky o regulovaných službách.
Zákon o kybernetické bezpečnosti (ZoKB) rozděluje poskytovatele regulované služby, kteří naplní dané podmínky, do dvou kategorií – režimu nižších nebo vyšších povinností.
Týká se vás NIS2?
Už víte, jestli patříte mezi poskytovatele regulované služby a do jakého režimu spadáte?
Vyplňte krátký dotazník, zjistěte, jestli se vás týkají nové povinnosti, případně si stáhněte jejich výčet.
VYPLNIT DOTAZNÍK
Nový Zákon o kybernetické bezpečnosti bude reagovat na aktuální hrozby
Kybernetické hrozby se nevyhýbají ani České republice. Příkladem mohou být medializované útoky z poslední doby, jejichž cílem byla česká ministerstva. V českém prostředí pozorujeme například útoky ransomwarem, škodlivým kódem, který zašifruje data oběti a za jejich zpřístupnění požaduje výkupné. Setkat se ale můžeme i s útoky APT skupin, což jsou kyberkriminální uskupení útočící s využitím pokročilejších technologií. Jejich cílem je provádět kybernetickou špionáž, a to zpravidla za podpory některého státu (například Ruska nebo Číny). Výjimkou v našem prostředí nejsou ani DDoS útoky, jejichž cílem je vyřadit z chodu webové stránky se službami nějaké instituce či služby.
Účinnou obranou před pokročilými typy kybernetických hrozeb, kam se právě řadí ransomwarové útoky nebo kybernetická špionáž, tkví v celkovém posílení kybernetické odolnosti daných institucí a organizací. Jedná se o komplexní přístup s cílem jednat hlavně preventivně a na incidenty podobného typu se včas připravit, a to jak po stránce obraných technologií, tak vzděláváním zaměstnanců, procesem zálohování a testováním záloh či přípravou krizových scénářů. Nový zákon o kybernetické bezpečnosti se zapracovanou evropskou směrnicí NIS2 svým způsobem nutí firmy a instituce, aby braly bezpečnost v daném rozsahu vážně.
„Dobrým příkladem zranitelnosti dodavatelského řetězce je stále útok ransomwaru WannaCry z roku 2017. Ransomware WannaCry či WannaCryptor, který byl poprvé použit pro útok 12. května 2017, byl a stále je považován za dosud nejničivější ransomwarový útok, který byl kdy proveden. V počátečních fázích útoku se WannaCry šířil prostřednictvím e-mailu. Otevřením přílohy si uživatel poté do počítače stáhnul škodlivý kód sám. Směrnice NIS2 v novém zákonu o kybernetické bezpečnosti právě myslí i na povinnosti firem a institucí proškolovat své zaměstnance,“ říká Jindřich Mičán, technický ředitel pražské pobočky společnosti ESET.
Kdy budou společnosti muset začít plnit požadavky NIS2?
Členské státy EU měly požadavky NIS2 přenést do svých vnitrostátních právních předpisů do 17. října 2024. V ČR budou požadavky NIS2 zapracované v nové verzi Zákona o kybernetické bezpečnosti.
Od data účinnosti nového zákona začne organizacím běžet lhůta na registraci k povinnostem u Národního úřadu pro kybernetickou a informační bezpečnost. A teprve poté, co NÚKIB společnostem po této registraci potvrdí, že spadají pod povinnosti nového zákona, začne běžet lhůta jednoho roku, během které musí společnost zavést odpovídající bezpečnostní opatření.
Potřebujete poradit, jaká bezpečnostní opatření v souladu s NIS2/ZoKB byste měli v organizaci zavést? Sjednejte si odbornou konzultaci s našimi experty pomocí jednoduchého formuláře.
Co znamená NIS2 pro vedení společnosti?
NIS2 přináší téma kybernetické bezpečnosti právě také do zasedacích místností společností a přináší potřebu odpovídajícího vzdělávání jejich vedení. Znamená to, že řídicí orgány musí být schopny identifikovat a vyhodnocovat opatření pro řízení rizik kybernetické bezpečnosti. Musí být schopny schvalovat opatření ve vztahu k zásadám řízení rizik, které jsou ve společnosti platné, a dohlížet na provádění těchto opatření.
Členové správních orgánů musí být také pravidelně vzděláváni a školeni, aby mohli plnění všech těchto povinností řádně řídit.
Jaké zákonné povinnosti přináší nový Zákon o kybernetické bezpečnosti?
Nový Zákon o kybernetické bezpečnosti přináší několik povinností pro firmy, které poskytují důležité služby a měly by být schopné lépe chránit svá data a infrastrukturu před kybernetickými útoky. Stručný přehled toho, co je potřeba zajistit, připravil Národní úřad pro kybernetickou bezpečnost (NÚKIB).
Splnění těchto povinností vám pomůže lépe chránit svou firmu před kybernetickými hrozbami a zároveň zajistí, že budete v souladu s aktuálními zákony. Více o tématu směrnice NIS2 a nového Zákona o kybenretické bezpečnosti poslouchejte v podcastu TruePositive s Vladěnou Saskovou z NÚKIB:
