NIS2 a novinky pro české firmy: Co se mění v oblasti kybernetické bezpečnosti
NIS2. Evropská směrnice, která v České republice ovlivní fungování několika tisíců firem a zavede přísnější opatření na poli kybernetické bezpečnosti. Co o nové regulaci zatím víme a jak se na její příchod připravit?
- 12. 07. 2023
- 8 min čtení
MasterDC se nevěnuje poskytování právního poradenství. V článku pouze předkládáme naši technickou interpretaci přicházejícího návrhu zákona o kybernetické bezpečnosti.
Cílem směrnice NIS2 je na úrovni Evropské unie harmonizovat pravidla v oblasti kybernetické bezpečnosti a zajistit ochranu kritické infrastruktury jednotlivých zemí. Změny se budou vztahovat nejen na organizace, které již nyní podléhají zákonu o kybernetické bezpečnosti, ale také na mnoho dalších subjektů, které se dosud ochranou svých systémů zabývat nemusely.
Hlavním důvodem pro zavedení nové regulace je zvyšující se počet kybernetických útoků a vznik nových hrozeb. K jejich narůstající intenzitě přispívá digitalizace většiny odvětví, přesun zaměstnanců do prostředí home office i nestabilní geopolitická situace. Více jsme se tématu kybernetické bezpečnosti a predikcím na letošní rok věnovali v článku Jak jsme si vedli v kybernetické bezpečnosti? Přehled trendů a vyhlídky na rok 2023.
Připravte se na NIS2
Získejte komplexní řešení pro sběr, správu a analýzu logů. Zajistíme platformu, konfiguraci pravidel i údržbu systému. Bez licencí a bez poplatků za počet EPS.
Implementace směrnice v Česku
Směrnice NIS2 vstoupila v platnost v lednu 2023. Jednotlivé členské země nyní mají 21 měsíců na to, aby směrnici transponovaly do svého vnitrostátního práva. Směrnice předepisuje minimální opatření, která zákonodárci mají povinnost do své legislativy začlenit, každá země však může stanovit i přísnější požadavky. V případě České republiky se očekává tvrdší implementace, která dle názoru odborníků přesáhne průměr v rámci Evropské unie.
V ČR má transpoziční proces na starosti Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB). Kvůli významným změnám, které směrnice přináší, NÚKIB připravuje zcela nové znění zákona o kybernetické bezpečnosti. Tento zákon zatím neprošel legislativním procesem a nachází se v návrhové fázi. V následujícím textu se proto zabýváme jeho pracovní verzí a informacemi platnými ke konci června 2023.
Kolik času je na přípravu
Odborná veřejnost měla možnost návrh chystaného zákona ovlivnit a do 12. března zaslat NÚKIBu připomínky a komentáře. Dle dat úřadu byla zohledněna nadpoloviční většina obdržených podnětů, přičemž 15 % jich bylo akceptováno. Jak byly připomínky začleněny do aktualizované verze návrhu NÚKIB nepopisuje. Návrh zákona se momentálně nachází v mezirezortním připomínkovém řízení a předpokládá se, že jeho znění projde dalšími úpravami.
Nejpozději do 17. října 2024 pak směrnice musí být zanesena do národní legislativy. Na ni bude navazovat přechodné období, které subjektům umožní se na nové požadavky připravit. Délka tohoto přechodného období zatím není známa, ale jeho konec se předpokládá v průběhu roku 2025.
Jakých subjektů se regulace dotýká?
Směrnice NIS2 přináší zásadní změnu v rozšíření počtu regulovaných subjektů. Současný zákon o kybernetické bezpečnosti se vztahuje přibližně na čtyři sta organizací a dopadá hlavně na kritickou infrastrukturu státu. Po změně legislativy by měl zákon regulovat zhruba šest tisíc subjektů, podle některých odhadů až deset tisíc.
Návrh zákona klasifikuje subjekty do dvou skupin na základě jejich významu pro fungování státu. Jsou to:
- základní subjekty, které spadají do režimu plnění vyšších povinností. Patří sem např. odvětví energetiky, bankovnictví, finančních služeb, dopravy, digitálních služeb nebo zdravotnictví;
- důležité subjekty, které se budou řídit režimem nižších povinností. Jedná se např. o poštovní služby, organizace zabývající se výzkumem, odpadním hospodářstvím nebo potravinářstvím.
Skupiny se liší nejen v rámci šíře povinností, ale také systémem kontroly. Tu bude v režimu vyšších povinností nadále provádět NÚKIB, zatímco v režimu nižších povinností ji budou mít na starosti autorizovaní inspektoři.
Dalším kritériem pro posouzení, zda subjekt spadá pod regulaci NIS2, je jeho velikost. V regulovaných odvětvích bude zákon dopadat na střední a velké podniky, fungování malých a mikro podniků se zákon nedotkne. K určení velikosti podniku se bude aplikovat klasické rozdělení podle metodiky Ministerstva průmyslu a obchodu, a to dle počtu zaměstnanců a výše ročního obratu.
| Kategorie podniku | Počet zaměstnanců | Roční obrat | Bilanční suma roční rozvahy |
|---|---|---|---|
| Střední podnik | < 250 | ≤ 50 milionů EUR | ≤ 43 milionů EUR |
| Malý podnik | < 50 | ≤ 10 milionů EUR | ≤ 10 milionů EUR |
| Mikropodnik | < 10 | ≤ 2 miliony EUR | ≤ 2 miliony EUR |
V případě zvlášť důležitých subjektů nebude k velikosti podniku přihlíženo. Jedná se např. o poskytovatele veřejných elektronických komunikací nebo poskytovatele služeb DNS. Dále jsou zde zařazeny subjekty, které mají klíčový význam pro fungování státu a narušení jejich služeb by mělo závažné dopady na veřejnou bezpečnost a zdraví. Všechna regulovaná odvětví a princip rozdělení subjektů si můžete v přehledné infografice na stránkách NÚKIBu.
Pozor na samoidentifikaci a tvrdé sankce
Nová regulace vyžaduje, aby organizace zavedly systém řízení bezpečnosti informací a aktivně se zajímaly o úroveň kybernetické bezpečnosti. To je podmíněno zavedením přiměřených změn, které směrnice dělí na organizační a technické.
Významnou novinkou je forma samoidentifikace. NÚKIB již neplánuje určovat povinné subjekty ani je aktivně oslovovat. Bude tak na samotných subjektech, aby provedly interní zhodnocení a posoudily, zda splňují regulační kritéria. Pokud ano, musí se do 90 dnů od účinnosti zákona zaregistrovat na webových stránkách NÚKIBu a začít plnit své povinnosti. V případě, že si subjekt není při identifikaci jistý, může se obrátit přímo na NÚKIB.
Dalším úkolem směrnice je zajistit, aby zájem o kybernetickou bezpečnost pronikl až na úroveň top managementu. Proto zavádí osobní odpovědnost vyššího vedení a stanovuje tvrdé sankce za porušení bezpečnostních opatření. V případě závažného porušení může NÚKIB odpovědným osobám dočasně pozastavit výkon řídicích funkcí nebo povolení týkající se provozovaných služeb (tyto nejtvrdší sankce dopadají pouze na základní subjekty). Aby členové řídicích orgánů měli adekvátní povědomí o kybernetických hrozbách, budou absolvovat pravidelná školení.
V čem směrnice výrazně přitvrdí, jsou finanční sankce za porušení bezpečnostních opatření. Při závažném porušení opatření se sankce pro základní subjekty může vyšplhat až na 10 000 000 eur, nebo 2 % z celkového ročního obratu podniku v minulém roce. Pro důležité subjekty jsou sumy stanoveny na 7 milionů eur, nebo 1,4 % z celkového obratu. Při uložení finančního postihu se přihlíží k částce, která je vyšší.
Dopady na dodavatelský řetězec
Velkou debatu vyvolává změna týkající se posuzování bezpečnosti dodavatelského řetězce firem. V současné době je na samotných subjektech, jakým způsobem vyhodnotí rizikovost svých dodavatelů. Nově ale budou povinny zajistit, aby požadavky NIS2 splňovali také jejich dodavatelé.
Významné dodavatele poté musí subjekty nahlásit přímo NÚKIBu. V případě kriticky významných subjektů má NÚKIB právo rizikové dodavatele neschválit. Směrnice doporučuje podmínku o splnění požadavků NIS2 začlenit do smluvních ujednání nebo si sjednat možnost auditu v dodavatelských firmách.
Sdílení incidentů a kybernetických hrozeb
Směrnice dále vyžaduje ohlašovací povinnost bezpečnostních incidentů a hrozeb. Subjekty budou muset NÚKIBu neprodleně oznamovat každý incident, který má závažný dopad na poskytování služeb, i každou významnou kybernetickou hrozbu, kterou zjistí.
Co to znamená v praxi, jsme se zeptali provozního ředitele MasterDC Filipa Špačka: „Aby bylo možné incidenty zpracovávat a hlásit podle požadavků NIS2, je potřeba mít plnohodnotný SIEM systém. Ten shromažďuje logy o aktivitě všech IT systémů, strukturovaně je ukládá a vyhodnocuje. Podle nastavených pravidel podniku poté vytváří alerty a reporty. Na alerty je nutné reagovat hned, reporty se ukládají pro pozdější užití.”
Ceny SIEM systémů se liší v závislosti na konkrétním případu. V případě volby open source verze se náklady mohou omezit na cenu hardwaru a náklady spojené se zaměstnanci, kteří budou systém spravovat. Existují samozřejmě také licencované SIEM systémy. „Cena licencovaného SIEM systému je variabilní. Záleží na tom, kolik dat firma do systému ukládá, a tím pádem kolik vygeneruje eventů,” uzavírá Filip Špaček.
Sledování dostupnosti služeb
Co se týče technických opatření, tak směrnice příliš specifická není. Odkazuje na určitá řešení např. řízení přístupů, změnu hesel nebo vícefaktorové ověření pro některé systémy. Dále se zaměřuje na zajištění aplikační a síťové bezpečnosti. O důležitosti bezpečnosti sítě jsme vedli rozhovor s CTO MasterDC, Martinem Žídkem.
Směrnice kromě bezpečnosti regulovaných služeb řeší také jejich dostupnost. „Regulované subjekty by si měly interně definovat cílovou dostupnost svých služeb, třeba webových stránek. V případě, že bude plánovaná dostupnost porušena, ať už útokem nebo třeba interním zásahem, měly by vytvořit report a tuto skutečnost nahlásit,” říká Špaček.
Jak velká změna to v praxi bude?
Mnoho požadavků, které směrnice ukládá, je v České republice zavedeno v aktuálním zákoně o kyberbezpečnosti. Pro podniky, které již nyní spadají pod jeho regulaci nebo jsou držiteli certifikátu ISO 27001, by přizpůsobení se novým požadavkům nemělo činit problém. Velká část opatření je navíc základního charakteru a v řadě firem je již implementována.
Náročnější to bude pro ty subjekty, které pod regulaci zákona dosud nespadaly nebo se řízením bezpečnosti informací nezabývaly. Pro ně bude klíčové provést analýzu současné situace a zhodnotit úroveň kybernetické bezpečnosti v podniku. Následné zavedení a přizpůsobení se novým bezpečnostním opatřením vyžaduje procesně řízený a strukturovaný přístup. Proto radíme s přípravami neotálet a případně celou situaci a postup konzultovat s odborníky.
Vliv nové regulace na pracovní trh
Ne všechny společnosti disponují vlastním IT oddělením nebo osobou, která by mohla bezpečnostní opatření do podniku implementovat. Společnosti, které jsou součástí větších skupin a mají sdílený systém řízení bezpečnostních informací, mohou roli manažera pro kybernetickou bezpečnost sdílet. Pro jiné subjekty se nabízí tuto roli outsourcovat.
Právě dopad implementace NIS2 na pracovní trh je velkým otazníkem. České firmy se již v současnosti potýkají s nedostatkem odborníků na kybernetickou bezpečnost a s příchodem nové regulace je pravděpodobné, že se tato situace prohloubí. Personální obsazení bude největší výzvou pro podniky, které tuto oblast zatím řešit nemusely a pro subjekty působící ve státním sektoru.
Sledujte průběžné změny
NÚKIB je ohledně komunikace návrhu zákona o kybernetické bezpečnosti velice transparentní a pro tento účel vytvořil speciální web. Jsou zde zveřejněny pokyny k chystanému zákonu, vzdělávací materiály nebo odpovědi na dotazy veřejnosti. Doporučujeme webové stránky průběžně navštěvovat a sledovat změny, ke kterým bude v rámci návrhu nejspíše docházet.
