Nové trendy v oblasti kybernetické bezpečnosti, rostoucí počet kybernetických útoků a hrozby spojené s digitalizací kritických průmyslových odvětví. To vše jsou důvody, proč Rada Evropské unie během českého předsednictví v listopadu 2022 schválila konečné znění směrnice o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů celé EU. Zatímco dosavadní právní úprava dopadala na poměrně úzký okruh subjektů, nově bude pod regulaci spadat každý podnik, který zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu alespoň 10 milionů euro nebo 250 milionů korun.
Nová směrnice NIS 2 navazuje na stávající směrnici NIS 1, ale značně rozšiřuje okruh povinných subjektů a odstraňuje často vytýkané nedostatky. Původní verze zavazovala členské státy k vypracování strategie v oblasti kybernetické ochrany a zaváděla povinnosti v oblasti kyberbezpečnosti pro některé společnosti. S rozvojem digitalizace a stále se zvyšujícím počtem kybernetických útoků ovšem dochází k navýšení rizik, než tomu bylo dříve, a proto nově Rada EU přistoupila k vytvoření směrnice NIS2 a zásadnímu rozšíření počtu společností, kterých se tato změna bude týkat. „Skok z 360 subjektů na více než 6 tisíc je dost razantní. Nicméně cíle jako takové jsou pochopitelné a nějak se začít musí, aby se v dohledné době kyberneticko-informační bezpečnost celkově zlepšila,“ říká expertka Kateřina Hůtová, spoluzakladatelka konzultantské společnosti Cybrela, která se zaváděním nové směrnice do firem zabývá.
Cílem je lepší kybernetická odolnost EU
Podle výroční zprávy Bezpečnostní informační agentury patří v posledních letech mezi hlavní hrozby především kybernetické útoky z Číny a Ruska. Zpráva BIS přímo uvádí, že v roce 2021 zaznamenala aktivity zejména ruských a čínských státních nebo státem podporovaných kyberšpionážních aktérů, kteří se zaměřovali nejen na Česko, ale směřovali také proti dalším členským zemím EU a NATO. Čína se přitom v posledních letech zařadila mezi nejčastější zdroje na poli kybernetických útoků. Zvýšilo se nejen jejich množství, ale zejména jejich závažnost a sofistikovanost. Zpravidla se totiž jedná o velmi technický pokročilé, dlouhodobé, a především skryté a těžko odhalitelné kyberšpionážní aktivity, jejichž důsledky mohou mít dopad na chod zasažených organizací i několik následujících let od odhalení. Covid a celková situace napomohly tomu, aby se urychlila práce na nové směrnici NIS 2, nicméně globální krize startérem iniciativy jako takové nebyly. „Dnešní svět funguje na informacích, datech. To nejcennější, co společnost má, jsou informace a ty je potřeba v digitálním světe chránit,“ popisuje Hůtová. Podle ní bychom si měli zároveň být vědomi toho, kolik věcí dnes funguje díky různým softwarům a IT oddělením ve společnostech obecně. „Představte si například situaci, kdy by například potravinové řetězce kvůli kybernetickému útoku nedovezly do obchodů jídlo, protože by nevěděly kam, komu a co. To by vyvolalo paniku. A to se nebavíme o velkých věcech jako systémy elektráren, vodáren a tepláren,“ vysvětluje.
Jaké povinnosti NIS 2 pro společnosti zavádí?
- Povinnost přijmout vhodná a přiměřená technická a organizační opatření k řízení bezpečnostních rizik
- Odpovědnost vedoucích orgánů za přijatá opatření v oblasti kybernetické bezpečnosti a povinnost dohledu. Za účelem získání dostatečných znalostí a dovedností mají členové vedoucích orgánů také povinnost absolvovat pravidelná školení v oblasti kybernetické bezpečnosti
- Oznamovací povinnost pro každý incident, který má závažný dopad na poskytování služeb
Konečné znění směrnice bylo zveřejněno v prosinci 2022 a vstupuje v platnost 20. den po jeho zveřejnění. Od této doby mají členské státy lhůtu 21 měsíců na implementaci směrnice do svých vnitrostátních právních předpisů. Stát a experti na kybernetickou bezpečnost se ovšem snaží komunikovat vše potřebné s předstihem. „V první řadě jde především o zvýšení kyberneticko-informační bezpečnosti. Aktuálně platí, že informace jsou cennější než zlato. A vy si musíte vybudovat stabilní zázemí tak, aby váš byznys přežil určité incident, které se dějí dnes a denně. Tím myslím snahy o získání citlivých dat samozřejmě. Zároveň jde ale i o to, aby i stát byl dostatečně silný a připravený udržet si odpovídající standard při poskytování služeb svým občanům,“ uzavírá Kateřina Hůtová.
