Doba digitální je tu s námi už nějaký ten rok a stejně jako v jakékoli jiné době existovaly osoby vytvářející pravidla, nyní tomu není jinak. Některé zlé jazyky si možná myslí, že jsme pod čím dál větším dohledem (v tom lepším případě), nicméně opak je pravdou. Aby právě nedošlo na to, že si našimi daty a osobními údaji nemohl jen tak někdo dělat co se mu zlíbí, je na místě stanovit pravidla pro zacházení s nimi.
Normy – ať už samostatně vzniklé, nebo nějakou autoritou vytvořené – najdeme v každé oblasti, nejen tržní. A protože to co bylo dříve bráno jako samozřejmost, dnes už takovou jistotou není. Do roku 2004 jsme všichni bez obav ukládali fotky do svých stolních počítačů a stejně tak tomu bylo i s dokumenty a dalším elektronickým obsahem.
V roce 2018 vešla v platnost první, a současně velmi nepopulární, norma z „úst“ Evropské Unie mířící na jednu z nejméně zabezpečených oblastí vůbec – ochranu osobních údajů. GDPR si klade za cíl omezit neřízené nakládání s osobními údaji na minimum. Dává firmám v rámci EU povinnosti týkající se ochrany osobních údajů, jak s nimi nakládat a další. Ať už tato legislativní změna vyvolala jakékoli pohledy na věc, norma je to rozhodně důležitá a po 5 letech se ukazuje, že i prakticky prosaditelná. Udělení pokut na sebe nedalo dlouho čekat a od působnosti GDPR český ÚOOÚ udělil pokuty v celkové výši 11 mil. Kč.
V nejbližší budoucnosti nás čeká další velmi důležitá směrnice, tzv. NIS2 (směrnice o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii). NIS2 nahradí zastaralou normu NIS a přidává nová opatření a zásady k ochraně nejen firemních aktiv, ale i dalších oblastí IT technologií. Působnost směrnice je mnohem širší než u té původní. Přikazuje jednotlivým členským státům implementaci do národních zákonů a řídí podobu minimální ochranu v různých oblastech, zejména potom kritické infrastruktury, výrobních a potravinářských firem, technologických společností a dalších.
Jak se potkává NIS 2 a GDPR?
Často se setkáváme s názorem, že s NIS2 to bude stejné jako s GDPR. To ale není pravda. I přesto, že se jedná o dvě naprosto odlišné normy, byla NIS2 tvořena tak, aby do sebe obě normy navzájem zapadly. Obě legislativní úpravy se navzájem doplňují v několika oblastech a ve výsledku NIS je jakousi nadstavbou GDPR, kdy dohlíží právě na to, na co ochrana osobních údajů explicitně nemyslí – tj. například technologické minimum pro zabezpečení dat, mezi které patří i zmiňované osobní údaje.
Současně NIS2 cílí na vyšší bezpečnost důležitých ekonomických subjektů v rámci Unie, které by v případě kybernetického útoku mohly znamenat významný dopad na ekonomiku a bezpečnost členských států.
Ve stručnosti se dá tedy říci, že splní-li společnost požadavky jedné z legislativ, současně splní i některé z požadavků té druhé normy. A totéž platí i v opačném pořadí – má-li společnost správně zavedenou ochranu osobních údajů dle GDPR, s největší pravděpodobností splní i některé z požadavků NIS2.