Mladší sestra evropské směrnice NIS rozšiřuje svou působnost, netýká se NIS 2 i vás?
19.12.2023 17:00
V současné době rostou počty kybernetických útoků na uživatele internetu raketovou rychlostí. Tyto útoky však necílí jen na koncové uživatele, ale i řadu organizací, jejichž chod dokáže zcela ochromit. O vyšší kybernetickou bezpečnost, a hlavně její vyšší účinnost by se měla postarat nová směrnice EU NIS 2, která vstoupila v platnost na začátku roku 2023 a do české legislativy by se měla promítnout v roce 2024. Co přesně to znamená pro vaši organizaci?
Koho se směrnice NIS 2 týká?
Kybernetické útoky z posledních let ukázaly napříč společností, že současná ochrana je zcela nedostačující, a to i při splnění požadavků evropské směrnice NIS. Na tuto skutečnost reaguje směrnice NIS 2, která vstoupila v platnost v roce 2023, jež se nyní bude vztahovat místo původního úzkého výběru organizací s velkým dopadem na společnost i na poskytovatele dalších služeb, které jsou důležité pro fungování společnosti.
Podle prvotních odhadů se změna působnosti směrnice dotkne asi 6 000 firem a organizací v ČR a 3 000 na Slovensku. Ačkoli se s platností na českém území počítá až v druhé polovině roku 2024, nejedná se o zcela malý krok a je tak vhodné se předem připravit. Podrobnější informace o tom, zda se směrnice týká i vás, najdete v e-booku společnosti ESET, který je dostupný ke stažení.
Jaké povinnosti ukládá subjektům NIS 2?
Pokud patříte mezi dotčené subjekty touto směrnicí, měli byste počítat s tím, že do vašeho interního fungování je potřeba implementovat například následující skutečnosti.
- Absolvovat nejen vstupní, ale i pravidelná školení v oblasti kybernetické bezpečnosti a nabádat, ale i podporovat tímto směrem i své zaměstnance.
- Efektivně řídit rizika nejen v rámci svých sítích a informačních systémů, ale i v oblasti dodavatelského řetězce.
- Zavést v organizaci standardy, jež se budou týkat především bezpečnosti dodavatelského řetězce, řízení zranitelných míst, dále pak hodnocení, ale i řízení rizik kybernetické bezpečnosti a dalších.
- Každá organizace, jíž se NIS 2 týká by měla vytvořit vyškolený tým, který bude dohlížet na opatření aplikovaná v oblasti kybernetické bezpečnosti. Tento tým by měl aplikované standardy a řešení situací schvalovat na základě ověřených informací.
- Nezbytné je pak dodržovat lhůtu pro reakci na incident. To znamená, že do 24 hodin od zjištění incidentu je nutné jej nahlásit. Následně pak do 72 hodin vydat přesnější zprávu o rozsahu a cílení útoku. Do 30 dnů je pak nutné doložit standardizovanou závěrečnou zprávu o daném incidentu.
V případě, že nebude směrnice do fungování subjektů, jež se dotýká, implementována, vystavují se tyto subjekty možným finančním postihům, a to až do výše 10 000 000 Kč.
Jak prakticky vyřešit požadavky této směrnice?
Ačkoli se rozsah povinností, které ukládá nová směrnice NIS 2 zdá mnohým jistě nesplnitelný, protože odborníků na kybernetickou bezpečnost je stále nedostatek, je možné tuto povinnost splnit díky externím subjektům. Specializované firmy na kybernetickou bezpečnost, nejprve zanalyzují váš stávající stav kyberbezpečnosti a na tomto základě vám navrhnou ideální řešení ve formě ucelené služby. Vy se tak můžete nejen nadále věnovat předmětu vaší činnosti, ale získáte jistotu, že se o vaši kyberbezpečnost starají erudování specialisté.