Na téma NIS 2 pro vás připravujeme webinář. Registrovat se na něj můžete zde. Bližší informace o termínu vám zašleme v návaznosti na vaši registraci co nejdříve.
Průmysl 4.0, zemědělství 4.0, Cloud, GDPR, ZoKB a podobné pojmy jsou již naprosto běžnou součástí dnešního technologického věku. Stejně jako odstavené nemocnice, úniky dat od mobilních operátorů a další incidenty o kterých jste už určitě slyšeli. To vše postupně vede k narůstající potřebě ochrany dat a procesů. Počty IT specialistů narůstají po celém světě a už teď je jasné, že vysoké školy nestíhají nové odborníky vzdělávat dostatečně rychle. Více se můžete dočíst v této statistice.
Se vším výše uvedeným také souvisí potřeba legislativní podpory v oblasti kybernetické bezpečnosti. Doposud se zákonné povinnosti týkaly primárně kritické infrastruktury což se ale od roku 2016 změnilo. Postupně byly uvedeny normy upravující ochranu osobních údajů (GDPR) nebo například pravidla pro marketingové využití elektronické pošty, a další. V prosinci 2022 byla vydána pod hlavičkou Evropské unie asi nejzásadnější právní úprava kybernetické bezpečnosti – směrnice NIS 2, jež navazuje na původní směrnici NIS z roku 2016.
Co vlastně NIS 2 je?
Jedná se o novou zákonnou normu upravující přístup k oblasti kybernetické bezpečnosti. Ta se stává v poslední době čím dál důležitější a je možná pouze otázkou času, kdy nabere stejnou důležitost jako již dnes zavedená pravidla bezpečnosti práce.
Samotná norma přímo říká, které organizace se působnosti normy budou nově podřizovat a v jaké míře budou muset technologie a elektronické systémy ochránit. Současně však také umožňuje jednotlivým státům tzv. „přitvrdit“ v rámci transpozice do dané státní sbírky zákonů. V ČR má tento proces na starost Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) a z poslední podoby navrhovaného nového zákona o kybernetické bezpečnosti je už teď jasné, že se bude víceméně držet nastavení představeného Evropskou unií.
Koho se NIS dotkne?
Aktuálně se v ČR původní normě NIS z roku 2016 podřizuje cca 450 subjektů. Nová směrnice NIS 2 rozšíří počet subjektů na cca 7.000 (předběžný odhad NÚKIB). Prakticky každá výrobní, technologická či vývojářská společnost s počtem zaměstnanců 25 a více (tzv. malý podnik) se bude muset normě přizpůsobit alespoň v základní míře. Pravidla jsou konkrétně stanovena a směrnice pracuje s tzv. samoidentifikací vycházející z transponované legislativy v daném státě. Finální podobu nového zákona o kybernetické bezpečnosti prozatím neznáme, avšak vzhledem k tomu že se jedná o směrnici, je jasné že pravidla budou minimálně na úrovni EU, nebo tvrdší.
Srovnání se zavedením GDPR
Mnozí si ještě pamatujete tlak na zavedení pravidel dle nařízení o ochraně osobních údajů. Nejen že jsme se dočkali vzniku nových společností, ale také tlaku na výdělek díky uměle vytvořené panice. GDPR však svůj důvod má a ne malý. Vysoké pokuty vycházející z porušení pravidel možná působily poněkud nereálně a fakticky vyvolaný strach není natolik oprávněný v případě, že jste se k zavedení GDPR postavili aktivně a vlastníte dokumentaci, kterou udržujete aktuální a dodržujete nastavená pravidla. V opačném případě je hrozba pokuty reálná. Ostatně už nemalé pokuty padly nejen ve světě, ale i v ČR (článek o pokutách).
Směrnice NIS 2 je už na úrovni EU pevně daná a aktuálně jednotlivé státy pracují na její transpozici do svých zákonných norem. Pokud bychom měli srovnat nutnost zavedení pravidel pro ochranu osobních údajů s nutností zavedení pravidel kybernetické bezpečnosti, pohybujeme se prakticky na stejné úrovni. Kybernetické bezpečnosti přikládáme dokonce důležitost i vyšší. Současně však doporučujeme zvýšenou obezřetnost v rámci výběru dodavatelů s kterými budete na poli NIS 2 spolupracovat. Dá se očekávat, že se stejně jako tomu bylo v případě GDPR, objeví nové společnosti prezentující se jako specialisté na kybernetickou bezpečnost avšak bez faktických potřebných znalostí.
Více informací
Bližší informace k aktuálnímu stavu najdete na webu www.nukib.cz
S přípravou na splnění podmínek dle NIS 2 vám rádi poradíme či pomůžeme. Své dotazy můžete směřovat na email dpo@hcv.cz či telefonicky na +420 604 278 838