Jan Pippal | QA Engineer & Security Consultant
Ano, čtete správně! Až 250 milionů ve formě pokuty může organizace od příštího roku zaplatit při závažném porušení povinností dle nově přijaté směrnice NIS2.
Evropská směrnice NIS2 (Network & Information Security) byla publikována Evropským parlamentem počátkem roku 2023 a v českém zákoně bude účinná nejpozději do 18. října 2024 .
Nahradí stávající Zákon o kybernetické bezpečnosti 181/2014 Sb. Oproti předchozí podobě směrnice nyní postihuje podstatně více subjektů skrze definici Regulované služby.
Regulovaná služba je taková, jejíž narušení by mohlo mít významný dopad na zabezpečení důležitých společenských a ekonomických činností.
Směrnice původní odvětví, kterými jsou například energetika, doprava, vodohospodářství a zdravotnictví, rozšiřuje o vybrané služby a přidává další odvětví.
Nově povinnosti dopadají i na organizace poskytující služby v odvětví výroby, potravinářství a třeba i odpadového hospodářství.
Jestliže už nyní spadáte pod legislativu ustupujícího Zákona 181/2014 Sb., měli byste prověřit soulad aktuálního řízení kybernetické bezpečnosti ve vaší organizaci s připravovanou legislativou.
Pokud je pro vás téma kybernetické bezpečnosti nové, doporučuji nahlédnout do vyhlášek zákona. Pro maximální zjednodušení je dostupné grafické znázornění.
Grafické znázornění regulovaných odvětví [zdroj: osveta.nukib.cz]
Odpovídá některé odvětví předmětu poskytovaných služeb vaší organizace?
Ano? Asi ne? Nejste si jisti?
V Linksoftu vám můžeme s odpovědí na tuto otázku pomoci.
Pokud se identifikujete v některém z uvedených odvětví regulovaných služeb, čeká vás sebeposouzení velikosti organizace podle počtu zaměstnanců a ročního obratu. Pokud je vaše organizace příliš malá, máte šanci, že se regulaci nového zákona vyhnete.
V opačném případě se podle velikosti organizace určí povinnosti, a to buď ve vyšším režimu, nebo v nižším režimu. Vyšší režim povinností představuje striktnější a širší rámec organizačních a technických opatření ve vztahu ke kybernetické bezpečnosti.
Čeká vás registrace regulovaných služeb u Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) a to do 90 dnů od data účinnosti nového zákona.
Od toho momentu začíná běžet lhůta jednoho roku pro zavedení požadovaných bezpečnostních opatření.
S NÚKIBem budete dále aktivně spolupracovat, hlásit mu veškeré změny týkající se regulované služby, případné kybernetické bezpečnostní incidenty.
Jak bylo avizováno na začátku článku, neznalost zákona neomlouvá, a za neplnění povinností plynoucích ze zákona jsou nastavené pokuty od 50 tisíc do 250 milionů Kč.
Rok se může jevit jako komfortní časový rámec, berte v potaz, že podobné nastavení můžete sdílet s dalšími tisícovkami organizací, kterých se NIS2 může v následujícím roce nově týkat.
Doporučuji nezahálet a začít s procesem posouzení již dnes. Ať už to zvládnete sami v rámci organizace, nebo si přizvete na pomoc specialisty. S přístupem ranního ptáčete neuděláte chybu a můžete ušetřit vaší organizaci nejenom vrásky na čele, ale i náklady na pozdní reakci.
V Linksoftu vám můžeme nabídnout pomoc se všemi kroky potřebnými k naplnění požadavků NIS2. Společně se podíváme, zda pod nový zákon spadáte a v jakém režimu povinností. Projdeme aktuální stav řešení kybernetické bezpečnosti ve vaší organizaci a pomocí rozdílové analýzy navrhneme řešení. Aktivně bezpečnostní opatření otestujeme a zjistíme, zda vyhovují zákonu i posledním trendům v oblasti kyberbezpečnosti.
