PRÁVNÍ SERVIS | Evropští zákonodárci, tedy parlament a Evropská rada, dosáhli dohody o revidované směrnici o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v Unii („NIS 2“). Ta je stěžejní legislativou v oblasti kybernetické bezpečnosti. Tisícům soukromých společností a orgánům veřejné správy v ČR tak vzniknou v této oblasti nové povinnosti.
Osobně nejsem ve většině případů velkým fandou rozsáhlé regulace, směrnici NIS 2 ale považuji za krok správným směrem. Jak nám dennodenně ukazuje Putinův teroristický režim, kybernetické útoky jsou cestou, jak napadat státy a jejich občany v době války i míru. I proto je nadmíru důležité nastavit vysokou společnou úroveň kybernetické odolnosti napříč celou Evropskou unií. Zejména pak v případě sektorů zásadních pro společnost a její fungování. A právě to je smyslem této právní úpravy. V minulém článku jsme popsali, na jaké firmy bude s největší pravděpodobností regulace dopadat. V tomto článku se více podíváme na povinnosti, které budou muset firmy splňovat a doporučení, které jim v této věci dáváme.
V rámci poskytování služeb v oblasti kybernetické bezpečnosti již některým klientům ze soukromé i veřejné sféry doporučujeme připravit se na povinnosti vyplývající z připravované směrnice NIS 2. V případě této směrnice totiž již došlo k takzvané „politické dohodě“, což znamená, že Evropský parlament a Evropská rada mají mezi sebou jasno o kompromisu a dolaďují se již technické detaily před samotným hlasováním v obou institucích a následném vyhlášení v úředním věstníku. Poté (což se dá čekat někdy po prázdninách) začne běžet zřejmě jednadvacetiměsíční implementační lhůta pro začlenění směrnice do národního práva.
Nová legislativa zejména rozšiřuje okruh subjektů, na které se budou vztahovat požadavky na zajištění kybernetické bezpečnosti. Subjekty se budou nově dělit na základní a důležité. Jak uvedl Evžen Tošenovský (ODS), který se otázce kybernetické bezpečnosti na půdě Evropského parlamentu dlouhodobě věnuje, „od prvně jmenovaných společností se budou vyžadovat přísnější kybernetická opatření a budou podléhat ex-ante kontrole ze strany NÚKIBu, zatímco druhá skupina bude kontrolována ex-post.“
V rámci předběžné přípravy na nové zákonné povinnosti a v zájmu zajištění vyšší míry kybernetické bezpečnosti klientům v prvé řadě doporučujeme provést komplexní audit kybernetické bezpečnosti, v rámci něhož se zmapuje současný stav kybernetické bezpečnosti dané organizace z právního, organizačního i technického hlediska. Identifikují se bezpečnostní opatření, která by firma jak ze zákonného, tak bezpečnostního hlediska měla zavést a následně se implementují. Kyberbezpečnostní audit by neměl být pouze zhodnocením technického zabezpečení, ale také posouzením organizační připravenosti firmy čelit kybernetickým útokům a incidentům, včetně úrovně vzdělanosti zaměstnanců v oblasti jejich prevence. Vždy tak firmám také doporučujeme úvodní školení zaměstnanců a vedoucích osob a následné nastavení jejich kontinuálního vzdělávání. Přes 80 % všech hackerských útoků totiž využívá chyb zaměstnanců.
Ve smyslu NIS 2 firmám zejména doporučujeme zavést efektivní systém řízení rizik a incidentů. V případě řízení incidentů se jedná o zavedení systému pro prevenci, detekci a reakci na incidenty, jako jsou například incidenty spojené s ransomwarovými útoky, které jsou v současné ransomwarové pandemii pro firmy obří hrozbou. Vybrané firmy také budou mít nově oznamovací povinnost, kdy musí neprodleně (dle předpokladů do 24 h) oznamovat Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) každý kyberbezpečnostní incident, který bude mít závažný dopad na poskytování jejich služeb.
V případě řízení rizik pak bude stěžejní roli hrát tzv. analýza rizik, která by měla doprovázet jakékoli pro bezpečnost relevantní rozhodnutí ve společnosti. V rámci analýzy rizik firma vyhodnocuje rizika, která mohou mít dopad na bezpečnost firmy a její činnosti, jako je například dlouhodobá schopnost poskytovat své služby bez výpadků. Významné v tomto ohledu bude hodnocení technických i netechnických rizik spojených s dodavateli a jejich dodavatelskými řetězci. Otázka, jejíž relevanci jasně prokázala nevyprovokovaná ruská invaze Putinova režimu na Ukrajinu a následně uvalené sankce.
Směrnice NIS 2 také zavede přímou odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich dodržování. Nebude tak dostačující problematiku kybernetické bezpečnosti delegovat na firemní IT oddělení, ale vedení firmy se bude muset o kybernetickou bezpečnost ve vlastním zájmu samo zajímat, jinak mohou za případný kybernetický incident nést přímou odpovědnost. A ta s ohledem na vysoké sankce uvedené v návrhu NIS 2 může být velmi bolestná.
Implementace povinností spojených s přijetím směrnice NIS 2 bude jistě znamenat vyšší náklady a administrativní zátěž pro soukromé firmy i orgány veřejné správy, které doposud žádné kyberbezpečnostní povinnosti nezavazovaly. Jak uvedla Kateřina Kalužová, manažerka pro digitální ekonomiku Svazu průmyslu a dopravy ČR, „musíme si uvědomit, že ne každá firma má finanční prostředky či personální kapacity na budování speciálních útvarů, které se této problematice budou věnovat.“ V tomto ohledu bude velmi důležité, aby byl stát firmám co nejvíce nápomocný a ve většině případů shovívavý. S nesplněním povinností bude totiž spojená nezanedbatelná pokuta. V tomto ohledu bude hrát ústřední roli NÚKIB, který se již nyní na implementaci směrnice NIS 2 připravuje. V některých případech bude také záležet na způsobu transpozice směrnice, kdy považuji za důležité, aby se zejména limitovala administrativní zátěž pro dotčené subjekty, s níž jsou mnohdy spjaty největší náklady.
Poslední lednový čtvrtek nám přinesl konferenci zaměřenou na problematiku směrnice NIS 2. Konkrétně se řečníci tentokrát věnovali procesům a technologiím. Nezapomnělo se však ani na
Nová směrnice Evropského parlamentu a Rady (EU) 2022/2555, o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii, neboli směrnice NIS 2 nabyla minulý
PRÁVNÍ SERVIS | V oblasti kybernetické bezpečnosti se v současnosti nejvíce diskutuje nová směrnice NIS 2. Ta bude znamenat – po implementaci do českého právního
PRÁVNÍ SERVIS | Evropští zákonodárci, tedy parlament a Evropská rada, dosáhli dohody o revidované směrnici o opatřeních k dosažení vysoké společné úrovně kybernetické bezpečnosti v Unii („NIS 2“). Ta je stěžejní legislativou v oblasti kybernetické bezpečnosti. Tisícům soukromých společností a orgánům veřejné správy v ČR tak vzniknou v této oblasti nové povinnosti.
Doby, kdy největší bezpečnostní hrozbou pro Vás či Vaše podnikání byl dvoumetrový svalovec s kuklou a zbraní, jsou dávno pryč. Záporáky současné doby jsou nově náctiletí počítačoví mágové, kteří dokáží z pohodlí svého domova (tedy spíše domova svých rodičů) trápit technologické giganty, jako jsou firmy Microsoft nebo Nvidia.
Kybernetická bezpečnost hraje významnou roli takřka v každé krizi současné doby.
© Chrenek, Toman, Kotrba advokátní kancelář 2023
