NIS2; rizika a příležitosti pro podniky

Úvod a odkazy na právní předpisy

NIS je zkratka, která znamená „bezpečnost sítí a informací“.

Touto zkratkou mělo Evropské společenství označit legislativní snahu o vymezení jednotného přístupu k kybernetické bezpečnosti ve všech členských státech EU.

V roce 2018 bylo přijato první evropské nařízení známé pod názvem NIS1 (směrnice EU 2016/1148), které bylo na vnitrostátní úrovni provedeno legislativním nařízením č. 65 ze dne 18. května 2018.

Nařízení o národní informační bezpečnosti rovněž stanovilo přijetí „národní strategie kybernetické bezpečnosti“ a zřídilo italský tým CSIRT (Computer Security Incident Response Team), jehož technické úkoly zahrnují prevenci, reakci a monitorování kybernetických incidentů ve spolupráci s evropskými týmy CSIRT.

NIS1 byl následně nahrazen směrnicí NIS2 (směrnice EU 2022/2555), která byla na vnitrostátní úrovni provedená zákonem č. 138 ze dne 4. září 2024.

Cílem směrnice NIS 2 je překonat omezení směrnice NIS 1, která při provádění do vnitrostátního práva ponechávala členským státům příliš velkou volnost, což vedlo k tomu, že se nepodařilo dosáhnout cíle harmonizace, a která rovněž vylučovala určité kategorie subjektů, které měly být regulovány vzhledem k jejich významu pro evropský trh.

Kromě toho byla směrnice NIS2 zavedena jako reakce na zrychlení digitalizace, k němuž došlo ve všech členských státech a které ještě urychlila pandemie; tím se rozšířila plocha pro kybernetické útoky, aniž by došlo k odpovídajícímu posílení bezpečnostních systémů.

A konečně, dalším cílem směrnice NIS2 je uložit provozovatelům služeb zásadního a významného významu a poskytovatelům digitálních služeb povinnost přijmout přiměřená bezpečnostní opatření a neprodleně hlásit incidenty příslušným orgánům a uživatelům svých služeb.

Nová směrnice byla sjednocena s dalšími specifickými evropskými odvětvovými předpisy, mezi něž patří:

- směrnice o digitální provozní odolnosti finančního sektoru (DORA). Jedná se o nařízení schválené dne 10. listopadu 2022, jehož cílem je posílit bezpečnostní opatření ve prospěch odolnosti a kybernetické bezpečnosti finančního sektoru prostřednictvím zavedení řady povinných bezpečnostních opatření, která zaručují integritu informací a kybernetickou bezpečnost služeb;

- směrnice o odolnosti kritických infrastruktur (CER); jejím cílem je zajistit právní jasnost a soulad mezi jednotlivými směrnicemi.

Dotčené společnosti byly rozděleny do následujících skupin:

• Klíčové sektory (energetika; doprava; zdravotnictví; zásobování vodou; veřejná správa; finance; vesmír; digitální infrastruktura)
• Klíčová odvětví (výzkum; chemický průmysl; potravinářství; průmyslová výroba; poskytovatelé digitálních služeb; poštovní služby; odpadové hospodářství)
• Veřejné orgány: Ústřední vláda (ústavní a ústavně relevantní orgány; Úřad předsedy vlády a ministerstva; daňové úřady; nezávislé správní orgány) | Regionální samospráva (regiony a autonomní provincie) | Místní samospráva (metropolitní města; obce s více než 100 000 obyvateli; krajská města; místní zdravotnické orgány) | Ostatní veřejné subjekty (orgány hospodářské regulace; poskytovatelé hospodářských služeb; sdružení; poskytovatelé sociálních, rekreačních a kulturních služeb; výzkumné orgány a instituce; experimentální zooprofilaktické ústavy) | Ostatní typy subjektů (subjekty poskytující služby místní veřejné dopravy; vzdělávací instituce provádějící výzkumnou činnost; subjekty provádějící činnosti kulturního zájmu; interní společnosti; společnosti, do nichž se investuje, a společnosti pod veřejnou kontrolou)
• Dodavatelé: organizace, které poskytují klíčové služby subjektům, na něž se vztahuje směrnice NIS2, musí posílit svou kybernetickou bezpečnost, a to i v případě, že jsou výslovně zařazeny mezi povinné sektory.

Obsah směrnice NIS2

Obecné povinnosti vyplývající z obsahu směrnice NIS2 lze shrnout na základě čtyř hlavních pilířů:

Řízení: Vedení musí schválit opatření v oblasti řízení rizik přijatá organizací a průběžně hodnotit jejich účinnost: pravidelně se účastnit školení o otázkách kyberbezpečnosti a podobná školení nabízet i zaměstnancům.

Řízení rizik: organizace musí posoudit bezpečnostní a síťová rizika a přijmout vhodná a přiměřená technická, provozní a organizační opatření, aby předešla dopadům incidentů na příjemce svých služeb nebo je minimalizovala.

Kontinuita provozu: organizace musí zavést opatření k zajištění kontinuity provozu (např. zálohování, plán obnovy po havárii a postupy pro řízení krizových situací), jejichž cílem je minimalizovat dopady případných přerušení poskytovaných služeb.

Dodavatelský řetězec: společnost musí posoudit zranitelnost každého přímého dodavatele a celkovou kvalitu produktů svých dodavatelů i jejich postupy v oblasti kybernetické bezpečnosti. Posouzení se bude týkat dodavatelů informačních a komunikačních technologií (IKT) a dalších klíčových dodavatelů, kteří by mohli způsobit narušení služby, kvůli níž byla organizace zařazena do rozsahu působnosti směrnice NIS2.

Společnosti proto budou muset být schopny měřit a podávat zprávy o:

• Analýza rizik a zásady zabezpečení informačních systémů
• Postupy pro řešení mimořádných událostí
• Řešení pro zajištění kontinuity podnikání (zálohování a obnova po havárii) a postupy pro krizové řízení a komunikaci
• Zásady zabezpečení dodavatelského řetězce (dodavatelé a poskytovatelé služeb)
• Zabezpečení při pořizování, vývoji, údržbě a správě informačních systémů a síťových zranitelností

Časová osa NIS2

Podniky a orgány veřejné správy budou muset provést posouzení, aby zjistily, zda se na ně vztahují povinnosti vyplývající ze směrnice NIS2.

V období od 1. prosince 2024 do 28. února 2025 by se společnosti měly přihlásit na portálu ACN (Národní agentura pro kybernetickou bezpečnost) pomocí svých přihlašovacích údajů SPID. Během tohoto období budou uživatelé označeni jako /Registration Service.

Konkrétně jsou společnosti povinny:

• Uveďte, zda je subjekt součástí skupiny společností, a v příslušných případech uveďte daňové identifikační číslo mateřské společnosti.
  
• Uveďte seznam přidružených společností a jejich daňové identifikační čísla.
  
• Uveďte kódy ATECO, které popisují činnost subjektu.
• Uveďte příslušné odvětvové předpisy Evropské unie.
• Uveďte údaje o obratu, rozvaze a počtu zaměstnanců, aby bylo možné určit kategorii společnosti.
• Uveďte typy subjektů, k nimž společnost patří.

Do 17. ledna 2025 by se na platformě měli zaregistrovat provozovatelé registrů domén nejvyšší úrovně, poskytovatelé služeb systému doménových jmen a registrace doménových jmen, poskytovatelé cloudových služeb, datová centra, poskytovatelé sítí pro doručování obsahu, poskytovatelé spravovaných služeb, poskytovatelé spravovaných bezpečnostních služeb, jakož i poskytovatelé online tržišť, poskytovatelé online vyhledávačů a poskytovatelé platforem sociálních sítí.

Do 31. března 2025 sestavila ACN na základě registrací přijatých prostřednictvím platformy seznam nezbytných a důležitých subjektů.

V období od 1. dubna 2025 do 15. dubna 2025 informovala ACN dotčené subjekty o tom, zda byly zařazeny na seznam klíčových nebo významných subjektů.

Do 15. dubna 2025 byly subjekty, kterým bylo doručeno oznámení, povinny jmenovat prostřednictvím zvláštního úkonu subjekt odpovědný za plnění povinností vyplývajících z tohoto nařízení.

Poté budou subjekty, na které se směrnice vztahuje, muset splnit další požadavky:

• do 1. ledna 2026; povinnost hlášení incidentů
• do 1. října 2026; je třeba splnit povinnosti týkající se správních orgánů a bezpečnostních opatření

ACN bude každý rok aktualizovat seznam dotčených subjektů. Společnosti a orgány veřejné správy budou mít možnost se každoročně v období od ledna do února zaregistrovat, pokud se považují za dotčené subjekty.

Rizika pro firmy, ale také příležitosti

Po vstupu směrnice NIS2 v platnost a po určení dotčených provozovatelů mohou příslušné orgány provádět dohled a namátkové kontroly s cílem ověřit, zda jsou dodržovány požadavky směrnice. V případě nedodržení předpisů budou dotčeným společnostem uloženy sankce.

Sankce jsou velmi přísné: pro velké společnosti až 10 milionů eur nebo 2 % celosvětového obratu; pro střední podniky až 7 milionů eur nebo 1,4 % celosvětového obratu.

Ačkoli dodržování předpisů vyžaduje ze strany firem značné úsilí a investice, je třeba si uvědomit, že samotné předpisy mají za cíl přinést podstatné řešení problému kybernetických útoků, vůči nimž jsou italské firmy stále velmi zranitelné a které často z důvodu ochrany své reputace zamlčují. Z ekonomického hlediska se odhadovaná průměrná škoda způsobená každým jednotlivým kybernetickým útokem pohybuje nad 2 miliony eur, a to bez ohledu na obrat dané firmy.

Jak může ERA pomoci při řízení souladu s nařízením NIS2

Navzdory všemu výše uvedenému, což by mohlo naznačovat, že firmy se o otázky kybernetické bezpečnosti velmi zajímají a aktivně se jimi zabývají, není neobvyklé – zejména mezi malými a středními podniky – narazit na firmy, které v této oblasti dosud podnikly jen velmi málo nebo vůbec nic a v současné době nejsou schopny vymezit svůj postoj, pokud jde o rizika, jimž jsou vystaveny, a to jak z technického hlediska, tak z hlediska dodržování různých platných předpisů.

Některé společnosti řeší otázku kyberbezpečnosti prostřednictvím pojištění. Pojišťovny však často váhají s nabídkou tohoto typu ochrany firmám, které dosud nepřijaly žádná konkrétní opatření v kyberprostoru. Důvodem je skutečnost, že neexistuje spolehlivá metoda pro přesný odhad škod způsobených kyberútokem. V důsledku toho se „balíčky NIS2“ zaměřují na služby posuzování kybernetických rizik, ale ponechávají na firmách, aby přijaly nezbytná opatření k odstranění případných nedostatků. Společnost ERA může nabídnout komplexnější služby a opírá se přitom o síť vysoce kvalifikovaných dodavatelů za velmi konkurenceschopných obchodních podmínek.

Konkrétně se podpora ze strany ERA skládá z:

• Posouzení organizační a technické struktury společnosti; s využitím dotazníků pro sebehodnocení na základě předem stanovených ukazatelů;
• Osvětové a školicí kurzy; včetně základních kurzů pro všechny zaměstnance a pokročilých modulů pro vrcholový a střední management; v souladu s pokyny NIS2;
• Specializované a vysoce odborné testy v oblasti analýzy zranitelnosti; řešení phishingu a posuzování rizik spojených s ransomwarem;
• Podpora ze strany specializovaných konzultantů během fáze nápravných opatření navazující na posouzení;
• Odborná podpora ze strany specializovaných konzultantů, kteří vám pomohou při strategickém rozhodování v oblasti kyberbezpečnosti.

Naše řešení zahrnuje analýzu souladu s nařízením NIS2, což je bezpochyby nejnaléhavější úkol; můžeme však zákazníka doprovázet i při řízení projektu v nápravné fázi, tedy ve fázi, kdy musí zákazník odstranit různé „nedostatky“ zjištěné v rámci diagnostického procesu; právě v této fázi se nejvíce projevují potíže některých společností, a to jak z hlediska interních kompetencí, tak z hlediska dostupnosti času a zdrojů.