NIS2 a novinky pro české firmy: Co se mění v oblasti kybernetické bezpečnosti
NIS2. Evropská směrnice, která v České republice ovlivní fungování několika tisíců firem a zavede přísnější opatření na poli kybernetické bezpečnosti. Co o nové regulaci zatím víme a jak se na její příchod připravit?
- 12. 07. 2023
- 8 min čtení
MasterDC se nevěnuje poskytování právního poradenství. V článku pouze předkládáme naši technickou interpretaci přicházejícího návrhu zákona o kybernetické bezpečnosti. Informace jsme aktualizovali 7. 2. 2025.
Cílem směrnice NIS2 je na úrovni Evropské unie harmonizovat pravidla v oblasti kybernetické bezpečnosti a zajistit ochranu kritické infrastruktury jednotlivých zemí. Změny se už nebudou vztahovat jen na organizace doposud podléhající zákonu o kybernetické bezpečnosti. Nově je musí dodržovat i mnoho dalších subjektů, které se zatím ochranou svých systémů zabývat nemusely.
Hlavním důvodem pro zavedení nové regulace je zvyšující se počet kybernetických útoků a vznik nových hrozeb. K jejich narůstající intenzitě přispívá digitalizace většiny odvětví, přesun zaměstnanců na home office i nestabilní geopolitická situace. Koncepci proto musí členské země začlenit do svých právních předpisů.
Připravte se na NIS2
Získejte komplexní řešení pro sběr, správu a analýzu logů. Zajistíme platformu, konfiguraci pravidel i údržbu systému. Bez licencí a bez poplatků za počet EPS.
Implementace směrnice v Česku
NIS2 vstoupila v platnost v lednu 2023 a státy EU měly 21 měsíců na její převedení do národních legislativ, tedy do října 2024. V České republice směrnici transponuje novela zákona o kybernetické bezpečnosti.
Celý proces má na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Novela navazuje na platný zákon č. 181/2014 Sb., o kybernetické bezpečnosti, plní minimální požadavky evropské bezpečnostní směrnice a zároveň reflektuje dosavadní poznatky NÚKIBu.
Zákon zohledňující NIS2 schválila vláda v červenci 2024, doposud ale neprošel celým legislativním procesem. Předpokládá se, že účinnosti nabude v polovině roku 2025.
Kolik času je na přípravu
Jakmile bude novela zákona účinná, musí subjekty:
- zařadit své služby do správných kategorií, aby zjistily, jaké povinnosti mají splňovat;
- do 60 dní od platnosti zákona ohlásit poskytování těchto služeb NÚKIBu;
- následně do 12 měsíců implementovat potřebná procesní a technická opatření, která zahrnují i jmenování osob odpovědných za kybernetickou bezpečnost.
Začne-li nový zákon platit v červenci roku 2025 (informace aktuální k únoru 2025), měly by povinné subjekty začít plnit pravidla v září 2026. Na ideální postup českých firem a organizací jsme se zeptali solution architekta MasterDC Jana Sedláka v rozhovoru.
Jakých subjektů se regulace dotýká?
Směrnice NIS2 přináší zásadní změnu v rozšíření počtu regulovaných subjektů. Současný zákon o kybernetické bezpečnosti se vztahuje přibližně na čtyři sta organizací a dopadá hlavně na kritickou infrastrukturu státu. Po změně legislativy by měl zákon regulovat zhruba šest tisíc subjektů, podle některých odhadů až deset tisíc.
Návrh zákona klasifikuje subjekty do dvou skupin na základě jejich významu pro fungování státu. Jsou to:
- základní subjekty, které spadají do režimu plnění vyšších povinností. Patří sem např. odvětví energetiky, bankovnictví, finančních služeb, dopravy, digitálních služeb nebo zdravotnictví;
- důležité subjekty, které se budou řídit režimem nižších povinností. Jedná se např. o poštovní služby, organizace zabývající se výzkumem, odpadním hospodářstvím nebo potravinářstvím.
Skupiny se liší nejen v rámci šíře povinností, ale také systémem kontroly. Tu bude v režimu vyšších povinností nadále provádět NÚKIB, zatímco v režimu nižších povinností ji budou mít na starosti autorizovaní inspektoři.
Dalším kritériem pro posouzení, zda subjekt spadá pod regulaci NIS2, je jeho velikost. V regulovaných odvětvích bude zákon dopadat na střední a velké podniky, fungování malých a mikro podniků se zákon nedotkne. K určení velikosti podniku se bude aplikovat klasické rozdělení podle metodiky Ministerstva průmyslu a obchodu, a to dle počtu zaměstnanců a výše ročního obratu.
| Kategorie podniku | Počet zaměstnanců | Roční obrat | Bilanční suma roční rozvahy |
|---|---|---|---|
| Střední podnik | < 250 | ≤ 50 milionů EUR | ≤ 43 milionů EUR |
| Malý podnik | < 50 | ≤ 10 milionů EUR | ≤ 10 milionů EUR |
| Mikropodnik | < 10 | ≤ 2 miliony EUR | ≤ 2 miliony EUR |
V případě zvlášť důležitých subjektů nebude k velikosti podniku přihlíženo. Jedná se např. o poskytovatele veřejných elektronických komunikací nebo poskytovatele služeb DNS. Dále jsou zde zařazeny subjekty, které mají klíčový význam pro fungování státu a narušení jejich služeb by mělo závažné dopady na veřejnou bezpečnost a zdraví. Všechna regulovaná odvětví a princip rozdělení subjektů si můžete v přehledné infografice na stránkách NÚKIBu.
Pozor na samoidentifikaci a tvrdé sankce
Nová regulace vyžaduje, aby organizace zavedly systém řízení bezpečnosti informací a aktivně se zajímaly o úroveň kybernetické bezpečnosti. To je podmíněno zavedením přiměřených změn, které směrnice dělí na organizační a technické.
Významnou novinkou je forma samoidentifikace. NÚKIB již neplánuje určovat povinné subjekty ani je aktivně oslovovat. Bude tak na samotných subjektech, aby provedly interní zhodnocení a posoudily, zda splňují regulační kritéria. Pokud ano, musí se do 90 dnů od účinnosti zákona zaregistrovat na webových stránkách NÚKIBu a začít plnit své povinnosti. V případě, že si subjekt není při identifikaci jistý, může se obrátit přímo na NÚKIB.
Dalším úkolem směrnice je zajistit, aby zájem o kybernetickou bezpečnost pronikl až na úroveň top managementu. Proto zavádí osobní odpovědnost vyššího vedení a stanovuje tvrdé sankce za porušení bezpečnostních opatření. V případě závažného porušení může NÚKIB odpovědným osobám dočasně pozastavit výkon řídicích funkcí nebo povolení týkající se provozovaných služeb (tyto nejtvrdší sankce dopadají pouze na základní subjekty). Aby členové řídicích orgánů měli adekvátní povědomí o kybernetických hrozbách, budou absolvovat pravidelná školení.
V čem směrnice výrazně přitvrdí, jsou finanční sankce za porušení bezpečnostních opatření. Při závažném porušení opatření se sankce pro základní subjekty může vyšplhat až na 10 000 000 eur, nebo 2 % z celkového ročního obratu podniku v minulém roce. Pro důležité subjekty jsou sumy stanoveny na 7 milionů eur, nebo 1,4 % z celkového obratu. Při uložení finančního postihu se přihlíží k částce, která je vyšší.
Dopady na dodavatelský řetězec
Velkou debatu vyvolává změna týkající se posuzování bezpečnosti dodavatelského řetězce firem. V současné době je na samotných subjektech, jakým způsobem vyhodnotí rizikovost svých dodavatelů. Nově ale budou povinny zajistit, aby požadavky NIS2 splňovali také jejich dodavatelé.
Významné dodavatele poté musí subjekty nahlásit přímo NÚKIBu. V případě kriticky významných subjektů má NÚKIB právo rizikové dodavatele neschválit. Směrnice doporučuje podmínku o splnění požadavků NIS2 začlenit do smluvních ujednání nebo si sjednat možnost auditu v dodavatelských firmách.
Sdílení incidentů a kybernetických hrozeb
Směrnice dále vyžaduje ohlašovací povinnost bezpečnostních incidentů a hrozeb. Subjekty budou muset NÚKIBu neprodleně oznamovat každý incident, který má závažný dopad na poskytování služeb, i každou významnou kybernetickou hrozbu, kterou zjistí.
Co to znamená v praxi, jsme se zeptali provozního ředitele MasterDC Filipa Špačka: „Aby bylo možné incidenty zpracovávat a hlásit podle požadavků NIS2, je potřeba mít plnohodnotný SIEM systém. Ten shromažďuje logy o aktivitě všech IT systémů, strukturovaně je ukládá a vyhodnocuje. Podle nastavených pravidel podniku poté vytváří alerty a reporty. Na alerty je nutné reagovat hned, reporty se ukládají pro pozdější užití.”
Ceny SIEM systémů se liší v závislosti na konkrétním případu. V případě volby open source verze se náklady mohou omezit na cenu hardwaru a náklady spojené se zaměstnanci, kteří budou systém spravovat. Existují samozřejmě také licencované SIEM systémy. „Cena licencovaného SIEM systému je variabilní. Záleží na tom, kolik dat firma do systému ukládá, a tím pádem kolik vygeneruje eventů,” uzavírá Filip Špaček.
Sledování dostupnosti služeb
Co se týče technických opatření, tak směrnice příliš specifická není. Odkazuje na určitá řešení např. řízení přístupů, změnu hesel nebo vícefaktorové ověření pro některé systémy. Dále se zaměřuje na zajištění aplikační a síťové bezpečnosti.
Směrnice kromě bezpečnosti regulovaných služeb řeší také jejich dostupnost. „Regulované subjekty by si měly interně definovat cílovou dostupnost svých služeb, třeba webových stránek. V případě, že bude plánovaná dostupnost porušena, ať už útokem nebo třeba interním zásahem, měly by vytvořit report a tuto skutečnost nahlásit,” říká Špaček.
Jak velká změna to v praxi bude?
Mnoho požadavků, které směrnice ukládá, je v České republice zavedeno v aktuálním zákoně o kyberbezpečnosti. Pro podniky, které již nyní spadají pod jeho regulaci nebo jsou držiteli certifikátu ISO 27001, by přizpůsobení se novým požadavkům nemělo činit problém. Velká část opatření je navíc základního charakteru a v řadě firem je již implementována.
Náročnější to bude pro ty subjekty, které pod regulaci zákona dosud nespadaly nebo se řízením bezpečnosti informací nezabývaly. Pro ně bude klíčové provést analýzu současné situace a zhodnotit úroveň kybernetické bezpečnosti v podniku. Následné zavedení a přizpůsobení se novým bezpečnostním opatřením vyžaduje procesně řízený a strukturovaný přístup. Proto radíme s přípravami neotálet a případně celou situaci a postup konzultovat s odborníky.
Vliv nové regulace na pracovní trh
Ne všechny společnosti mají vlastní IT oddělení nebo osobou, která by mohla bezpečnostní opatření do podniku implementovat. Společnosti, které jsou součástí větších skupin a mají sdílený systém řízení bezpečnostních informací, mohou roli manažera pro kybernetickou bezpečnost sdílet. Pro jiné subjekty se nabízí tuto roli outsourcovat. V MasterDC pomáháme firmám zajistit, aby systémy odpovídaly novým požadavkům NIS2 konkrétně v těchto oblastech:
- zhodnocení aktuálního stavu kybernetické bezpečnosti a souladu s NIS2;
- návrh a implementace technických opatření, která nový zákon vyžaduje;
- zajištění rolí architekta a specialisty bezpečnosti, včetně kontroly a úpravy řešení.
Právě dopad implementace NIS2 na pracovní trh je velkým otazníkem. České firmy už nyní čelí nedostatku odborníků v kybernetické bezpečnosti a nová regulace tento problém pravděpodobně ještě prohloubí. Největší výzvou bude personální obsazení především pro podniky, které se kybernetickou bezpečností dosud nezabývaly, a pro subjekty ve státním sektoru.
Sledujte průběžné změny
NÚKIB je ohledně komunikace návrhu zákona o kybernetické bezpečnosti velice transparentní a pro tento účel vytvořil speciální web. Jsou zde zveřejněny pokyny k chystanému zákonu, vzdělávací materiály nebo odpovědi na dotazy veřejnosti. Doporučujeme webové stránky průběžně navštěvovat a sledovat změny, ke kterým bude v rámci návrhu nejspíše docházet.
