Co očekávat od směrnice NIS2?

Jaké požadavky zavádí NIS2?

Směrnice se skládá ze sedmi bodů, které by měly příslušné podniky a odvětví dodržovat. Mezi požadavky patří reakce na incidenty, provedení analýzy rizik a zavedení politik v oblasti bezpečnosti informačních systémů, bezpečnost dodavatelského řetězce, šifrování, zveřejňování zranitelností a také dvoufázový přístup k hlášení incidentů, podle kterého musí organizace nahlásit incident do 24 hodin od jeho prvního výskytu a poté nejpozději do jednoho měsíce předložit závěrečnou zprávu.

Základní a důležité subjekty by také měly přijmout širokou škálu základních postupů kybernetické hygieny, jako jsou zásady nulové důvěryhodnosti, aktualizace softwaru, konfigurace zařízení, segmentace sítě, správa identit a přístupu nebo informovanost uživatelů, tj. organizovat školení pro své zaměstnance a zvyšovat povědomí týkající se kybernetických hrozeb, phishingu nebo technik sociálního inženýrství.

Dále by tyto subjekty měly přehodnotit své prostředky v oblasti kybernetické bezpečnosti a případně usilovat o integraci technologií zvyšujících kybernetickou bezpečnost, jako je umělá inteligence nebo systémy strojového učení, aby zvýšily své schopnosti a bezpečnost síťových a informačních systémů.

Bude moje společnost spadat pod požadavky NIS2?

NIS2 se bude týkat téměř všech středních a velkých obchodních subjektů působících na vnitřním trhu Evropské unie. To zahrnuje nejen členské státy EU, ale i organizace mimo EU, které působí na jejím trhu. Podle nového návrhu Zákona o kybernetické bezpečnosti půjde o subjekty poskytující 105 vybraných služeb v 22 odvětvích. 

Rozhodujícím kritériem pro určení toho, zda vaše organizace spadá pod požadavky NIS2 je velikost vaší organizace a další specifická kritéria. 

Jak stanovuje NIS2 ohlašovací povinnost?

Směrnice NIS2 stanovuje „dvoustupňový přístup“ k hlášení incidentů. Cílem prvního oznámení je omezit potenciální šíření incidentů a umožnit subjektům vyhledat pomoc při jeho řešení. Druhé hlášení by mělo být důkladné a mělo by zajistit, aby bylo možné se poučit z předchozích incidentů. Kromě toho je také cílem postupně zvyšovat odolnost jednotlivých společností i celých odvětví vůči kybernetickým hrozbám.

1. První hlášení

Bez zbytečného odkladu a v každém případě by mělo být do 24 hodin od zjištění incidentu podáno první hlášení příslušnému orgánu nebo celostátně příslušnému CSIRT, v němž by mělo být také uvedeno, zda incident způsobilo protiprávní jednání.

Do 72 hodin od podání prvního upozornění je postižený subjekt povinen předložit také aktualizované a počáteční hodnocení s podrobnějšími informacemi o útoku a zavedených opatřeních. Pokud o to subjekt požádá, je možné získat pokyny k zavedení případných opatření ke zmírnění následků a v případě potřeby i další technickou podporu.

V případě incidentu způsobeného protiprávním jednáním obdrží zasažený subjekt také pokyny k ohlášení incidentu orgánům činným v trestním řízení.

2. Závěrečné oznámení

Nakonec musí být do 1 měsíce od podání prvního oznámení nebo první zprávy předložena závěrečná zpráva, která obsahuje 1) podrobný popis incidentu, jeho závažnost a následky, 2) typ hrozby nebo příčinu, která pravděpodobně vedla k incidentu, a 3) použitá a probíhající zmírňující opatření.

Jaké zavádí povinnosti v oblasti monitorování?

Oba typy subjektů mají stejné povinnosti a závazky, např. členové řídicích orgánů základních a významných subjektů jsou povinni absolvovat školení a musí přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení rizik pro bezpečnost sítí a informačních systémů. Opatření mají zabránit incidentům nebo minimalizovat jejich dopad na provoz nebo poskytování služeb a příjemce těchto služeb.

Od základních subjektů se bude také vyžadovat, aby měly proaktivní rámec připravenosti pro vyhodnocení dopadu nesprávného řízení i bez incidentu. U druhé kategorie, důležitých subjektů, se očekává dodržování předpisů reaktivně. To znamená, že u těchto organizací bude dodržování zákonů a požadavků kontrolováno až po incidentu. Pokud se dojde k závěru, že nebyla přijata dostatečná opatření a požadavky nebyly splněny, vztahují se na oba typy subjektů stejné sankce.

Jak bude probíhat dohled nad dodržováním požadavků NIS2?

V zájmu posílení dohledu, který pomáhá zajistit účinné dodržování předpisů, směrnice NIS2 stanovuje minimální seznam prostředků dohledu, jejichž prostřednictvím mohou příslušné orgány vykonávat dohled nad základními a důležitými subjekty. Pokud jde o základní subjekty, znamená to proaktivní dohled. Naopak u důležitých subjektů to znamená reaktivní dohled, který může být zahájen na základě důkazů, indicií nebo informací, že subjekt údajně nedodržuje směrnici.

V druhém případě by se skutečně měla přijmout opatření pouze tehdy, pokud se členskému státu zdá, že důležitý subjekt neplní povinnosti stanovené ve směrnici. Opatření přijatá příslušnými orgány musí být účinná, přiměřená a odrazující.

U obou typů subjektů budou mít příslušné orgány pravomoc podrobit je kontrolám na místě a následnému dohledu mimo pracoviště prováděnému vyškolenými odborníky, cíleným bezpečnostním auditům, bezpečnostním skenům, žádostem o přístup k údajům, dokumentům a informacím a žádostem o důkazy o vykonávání politik kybernetické bezpečnosti, jako jsou výsledky bezpečnostních auditů provedených kvalifikovaným auditorem a příslušné podklady. Seznam dále rozšiřují namátkové kontroly spolu s ad hoc audity v případě zásadních subjektů. S výjimkou řádně odůvodněných případů budou muset auditované subjekty nést náklady na bezpečnostní audity.

Kromě toho mohou členské státy za účelem prokázání souladu s opatřeními požadovat, aby základní a důležité subjekty používaly konkrétní produkty, služby nebo procesy IKT, které budou certifikovány v rámci evropských systémů certifikace kybernetické bezpečnosti přijatých podle Aktu o kybernetické bezpečnosti (nařízení (EU) 2019/881).

Kdo nese odpovědnost za dodržování požadavků?

Aby byla zajištěna skutečná odpovědnost za opatření v oblasti kybernetické bezpečnosti na organizační úrovni, zavádí směrnice NIS2 ustanovení o odpovědnosti fyzických osob zastávajících vedoucí funkce v subjektech spadajících do oblasti působnosti nové směrnice NIS2.

Pokud je vaše organizace subjektem, na který se vztahuje směrnice, a nepodaří se jí vybudovat a udržovat kybernetickou způsobilost, hrozí jí pokuty a sankce za nedodržení opatření k řízení rizik nebo ohlašovacích povinností.

Pokud je zjištěno porušení, mohou příslušné orgány vykonávat další donucovací pravomoci, například vydávat varování, přijímat pokyny, nařizovat subjektům, aby ukončily provádění činností, které jsou v rozporu se směrnicí, nařizovat subjektům, aby informovaly fyzické nebo právnické osoby, které mohou být pochybením dotčeny, nebo dokonce informace zveřejňovat. Pokud tato opatření nevedou k nápravě situace, mohou příslušné orgány dočasně pozastavit činnost subjektu a vedoucího organizace, který vykonává povinnosti na úrovni vedoucího pracovníka nebo právního zástupce.

Při výkonu svých donucovacích pravomocí by příslušné orgány měly náležitě zohlednit konkrétní okolnosti každého případu, jako je povaha, závažnost a doba trvání porušení, způsobená škoda nebo vzniklé ztráty a úmyslný nebo nedbalostní charakter porušení.

Jak se na NIS2 připravit?

Ještě, než vyjde v platnost aktualizovaná verze Zákona o kybernetické bezpečnosti a budou známy konkrétní požadavky, kterými byste se měli řídit, můžete podniknout některé kroky, aby byla vaše společnost na nadcházející změny lépe připravena. Dobrá příprava je polovinou úspěchu.

NIS2 bude vyžadovat, aby organizace vyhodnotily svá rizika v oblasti kybernetické bezpečnosti, což můžete udělat předem, abyste si udělali lepší obrázek o svých silných i slabých stránkách.

Začít můžete např. analýzou stavu vaší organizace na základě 1. kroku rámce NIST. Jedná se o krok „identifikace“, který zahrnuje identifikaci aktiv ve vaší organizaci (správa aktiv), zmapování procesů (sítě), provedení hodnocení rizik, zmapování současných předpisů, které dodržujete, určení úrovně zabezpečení vašich aktiv a sítě a také optimalizaci strategie řízení rizik.