Přichází NIS2: Přísnější směrnice Evropské unie o kybernetické bezpečnosti
Rostoucí digitalizace prakticky ve všech odvětvích zvyšuje i riziko kybernetického útoku. Všechny firmy se musí přizpůsobit novým hrozbám a zajistit větší bezpečnost v kyberprostoru.
Obzvlášť ty, které spadají do odvětví kritické infrastruktury. Právě jich se dotkne nová směrnice Evropské unie NIS2, která zavádí v Česku přísnější pravidla pro zhruba 6 tisíc subjektů.
Jedná se o aktualizovanou směrnici EU, která začala platit už v roce 2016. Všechny členské státy, včetně Česka, se zavázaly ji dodržovat a implementovat do svých národních zákonů. V Česku by se směrnice koncem roku 2024 měla promítnout do nové podoby Zákona o kybernetické bezpečnosti.
Jakých odvětví se týkají přísnější pravidla směrnice NIS2
Směrnicí NIS2 se budou řídit jak soukromé instituce, tak i státní organizace. Hlavně ty, jejichž služby mají zásadní vliv na chod společnosti.
Nedávné vážné kybernetické útoky například na české nemocnice ukázaly, že podceňovat kyberbezpečnost se rozhodně nevyplácí. Investice do zabezpečení totiž dokážou zabránit milionovým škodám.
Původní směrnice NIS se týkala například zdravotnictví, bankovnictví, dodávek vody a energetiky nebo poskytovatelů digitální služeb a dopravy.
Nově budou muset směrnici NIS2 dodržovat také poštovní a kurýrní služby, veřejná správa, potravinářství, odpadní voda nebo poskytovatelé veřejných sítí a elektronických komunikací.
Kompletní seznam služeb, kterých se NIS2 týká najdete na stránce Národního úřadu pro kybernetickou bezpečnost.
Jaké sankce hrozí za nedodržování NIS2
Práce v IT přináší neustále nové výzvy a příležitosti. Pro firmy přijetí nové směrnice znamená větší důraz na kybernetickou bezpečnost a implementaci všech požadavků.
NIS2 totiž definuje minimální společnou úroveň kybernetické bezpečnosti napříč celou Evropskou unií. Do teď to měly státy více ve svých rukách a pravidla si nastavovaly do svých národních zákonů samy.
Směrnice nyní stanovuje deset základních okruhů, které musí firmy dodržovat, aby si zajistily dostatečnou úroveň kybernetické bezpečnosti. Patří sem například analýza rizik, zvládání incidentů, zálohování nebo bezpečnost v rámci dodavatelského řetězce.
A motivace dodržovat nové nařízení rozhodně není malá. Za porušení nařízení hrozí vysoké pokuty. Horní hranice sankcí se pohybují v řádech milionů eur. Firmám hrozí pokuty ve výši 7–10 milionů EUR. Případně od 1,4 –2 % ze světového obratu. Při posuzování sankce je rozhodující, která částka je vyšší.