English
+420 225 006 555
info@algotech.cz

NIS2 a nový zákon o kybernetické bezpečnosti už ťuká na dveře. Koho se týká?

NIS2 a nový zákon o kybernetické bezpečnosti už ťuká na dveře. Koho se týká?
Články a zajímavosti

Svět IT se mění téměř každý den, ale změna v zákoně o kybernetické bezpečnosti, která nás čeká na podzim roku 2024, bude naprosto zásadní. Jakmile novelu zákona o kybernetické bezpečnosti odhlasuje poslanecká sněmovna, nabude právní účinnosti evropská směrnice NIS2. Změny poznamenají přes 9000 soukromých i veřejných subjektů a pokuty za její nedodržení mohou být naprosto likvidační. Přečtěte si, co směrnice NIS2 obnáší a koho se týká.

Směrnice NIS2 (Network and Information Security Directive 2) je aktualizací původní směrnice NIS z roku 2016. Tato směrnice přijatá Evropskou unií má za cíl zlepšit úroveň kybernetické bezpečnosti a odolnosti klíčové infrastruktury ve všech členských státech EU. V ČR nabude právní účinnosti v rámci novely kybernetického zákona.

 

Směrnice NIS2 a nový zákon o kybernetické bezpečnosti – koho se týká

Směrnice NIS2 se rozšiřuje na více sektorů, které se považují za kritické pro fungování společnosti a ekonomiky. Směrnice bude mít dopad do oborů, jako jsou: 

  • Zdravotnictví – nemocnice, lékařské laboratoře, poskytovatelé zdravotní péče. 
  • Doprava – letecká doprava, železnice, námořní doprava, silniční doprava. 
  • Energetika – elektrické sítě, plynárenské společnosti, ropné rafinérie. 
  • Vodohospodářství – dodávky pitné vody, kanalizační systémy. 
  • Digitální infrastruktura – poskytovatelé internetových služeb, datová centra, cloudové služby. 
  • Veřejná správa – ministerstva, úřady, regionální a městské samosprávy. 
  • Finanční sektor – banky, pojišťovny, investiční společnosti. 
  • Dodavatelé potravin – velké maloobchodní řetězce, výrobci potravin.

 

Koho se týká směrnice NIS2 v ČR?

Podle odhadů se směrnice NIS2 bude v České republice týkat přibližně 6000 až 9000 organizací napříč různými sektory. Tento počet zahrnuje veřejné i soukromé subjekty, které jsou kritické pro národní bezpečnost a ekonomickou stabilitu. 

Bude se týkat směrnice NIS2 i vás? Povinným subjektem se daná organizace stává automaticky, pokud splní následující kritéria: 

  • Jde o střední nebo velký podnik (tzn. 50 a více zaměstnanců nebo roční obrat či rozvaha více než 10 mil. €) a současně 
  • tato organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice NIS2 (hrubý nástin okruhu těchto služeb jsme načrtli v předchozím odstavci).

 

Implementace směrnice

Implementace směrnice NIS2 se skládá z několika kroků, které musí organizace provést, aby splnily nové požadavky: 

  • Hodnocení rizik – organizace musí pravidelně provádět hodnocení kybernetických rizik, aby je mohly identifikovat a řídit. 
  • Technická opatření – zavedení pokročilých bezpečnostních technologií, jako jsou firewally, antiviry a systémy detekce a prevence průniků (IDS/IPS). 
  • Organizační opatření – vypracování a implementace politik a postupů řízení kybernetické bezpečnosti. 
  • Školení zaměstnanců – zaměstnanci musí být pravidelně školení v oblasti kybernetické bezpečnosti, aby byli schopní rozpoznat a reagovat na potenciální hrozby. 
  • Hlášení incidentů – organizace mají povinnost hlásit kybernetické incidenty do 72 hodin od jejich zjištění příslušným národním autoritám. 

Implementace směrnice NIS2 může být finančně poměrně náročná. Organizace musí investovat do technologií, školení a procesů potřebných k dosažení souladu s požadavky směrnice. Přestože počáteční náklady mohou být vysoké, dlouhodobé výhody v podobě zvýšené kybernetické odolnosti a ochrany citlivých dat budou s největší pravděpodobností převažovat nad vysokými počátečními investicemi. S naší pomocí můžete ovšem čerpat dotace na poradenství a ušetřit až 40 % výdajů.

 

Na implementaci už není moc času!

Organizace už mají jen omezený čas na to, aby splnily všechny nové požadavky. Termíny pro zavedení opatření se rychle blíží, což zvyšuje tlak na organizace, aby co nejdříve přizpůsobily své systémy a procesy novým legislativním požadavkům. Nečinnost nebo zpoždění v implementaci může vést k vážným právním a finančním důsledkům: 

  • Pokuty až do výše 10 milionů € nebo 2 % celkového celosvětového ročního obratu společnosti, podle toho, která hodnota je vyšší. 
  • Kromě finančních pokut může státní regulátor (tj. Národní úřad pro kybernetickou a informační bezpečnost – NÚKIB) nařídit nápravná opatření nebo omezit činnost organizace, což může mít dlouhodobé negativní dopady na podnikání a pověst organizace.

 

Jak se připravit na nový zákon o kybernetické bezpečnosti

Implementace směrnice NIS2 představuje významné změny v oblasti kybernetické bezpečnosti. Organizace musí přijmout konkrétní kroky, aby splnily nové požadavky a minimalizovaly riziko sankcí. NÚKIB doporučuje postupovat v těchto krocích:

1) Hodnocení aktuálního stavu

Prvním krokem je provedení důkladného hodnocení současného stavu kybernetické bezpečnosti. Organizace by měly: 

  • Identifikovat klíčové systémy a data. 
  • Zhodnotit stávající bezpečnostní opatření. 
  • Určit slabiny a zranitelnosti.

2) Aktualizace bezpečnostních opatření

Na základě hodnocení je třeba aktualizovat a zavést nová bezpečnostní opatření. To znamená: 

  • Implementaci technických opatření, jako jsou firewally, antiviry a šifrování dat. 
  • Zavedení organizačních opatření, jako jsou politiky kybernetické bezpečnosti a školení zaměstnanců.

3) Školení zaměstnanců

Pravidelné školení zaměstnanců slouží k zajištění, že všichni členové organizace jsou obeznámení s novými postupy a politikami kybernetické bezpečnosti. Školení by mělo zahrnovat: 

  • Základy kybernetické bezpečnosti. 
  • Postupy pro rozpoznání a reakci na kybernetické hrozby. 
  • Specifické požadavky směrnice NIS2.

4) Vytvoření plánů pro hlášení incidentů

Organizace musí mít jasně definované postupy pro hlášení kybernetických incidentů. Je tedy nutné: 

  • Určení odpovědných osob za hlášení incidentů. 
  • Vytvoření postupů pro rychlé a efektivní hlášení incidentů národním autoritám do 72 hodin od jejich zjištění.

Více vysvětlíme dále v článku.

5) Spolupráce a komunikace

Organizace by měly spolupracovat s dalšími společnostmi a regulačními orgány, tzn.: 

  • Vytvořit komunikační kanály pro sdílení informací o hrozbách a incidentech. 
  • Účastnit se národních a mezinárodních cvičení a školení.

6) Pravidelné přezkoumání a aktualizace

Kybernetické hrozby se neustále vyvíjejí, proto je důležité pravidelně přezkoumávat a aktualizovat bezpečnostní opatření a postupy. Organizace by měly: 

  • Pravidelně provádět bezpečnostní audity
  • Aktualizovat své politiky a postupy na základě nových hrozeb a technologií. 
  • Monitorovat a reagovat na změny v právních předpisech a standardech.

 

Směrnice NIS2 ukládá podrobné hlášení bezpečnostních incidentů

Kybernetické incidenty představují pro organizace vážná rizika a směrnice NIS2 zavádí konkrétní postupy pro jejich hlášení. Cílem je zajistit rychlou reakci na incidenty a minimalizovat jejich dopad. 

Kybernetické incidenty, které je třeba hlásit, zahrnují: 

  • Útoky typu DDoS (Distributed Denial of Service). 
  • Malware a ransomware útoky. 
  • Neoprávněný přístup k systémům a datům. 
  • Úniky citlivých informací. 
  • Technické selhání kritických systémů.

Proces pro hlášení incidentů by měl odpovídat následujícímu postupu:

1. Příprava na incidenty

Organizace musí mít připravené plány pro zvládání incidentů, které zahrnují: 

  • Identifikaci odpovědných osob a týmů. 
  • Definování kroků pro reakci na incidenty. 
  • Zajištění pravidelného školení zaměstnanců.

2. Detekce a analýza

Rychlá detekce incidentů je zásadní pro efektivní reakci. Je zapotřebí zajistit: 

  • Monitorování síťového provozu a systémových logů. 
  • Používání bezpečnostních nástrojů pro detekci anomálií. 
  • Analýzu zjištěných událostí pro potvrzení incidentu.

3. Hlášení incidentů

Po potvrzení incidentu musí organizace hlásit událost příslušným národním autoritám do 72 hodin. Hlášení zahrnuje: 

  • Sběr informací o incidentu (čas, typ útoku, zasažené systémy). 
  • Vyplnění formuláře pro hlášení incidentu. 
  • Odeslání hlášení NÚKIB.

4. Zmírňování následků

Organizace musí přijmout opatření k minimalizaci dopadů incidentu, mimo jiné následující: 

  • Izolaci zasažených systémů. 
  • Obnovu ztracených dat ze záloh. 
  • Opatření pro zabránění opakování incidentu.

5. Vyhodnocení a zlepšení

Po vyřešení incidentu je důležité provést vyhodnocení a zavést zlepšení: 

  • Analýza příčin incidentu a efektivity reakce. 
  • Aktualizace bezpečnostních politik a postupů. 
  • Další školení zaměstnanců na základě získaných zkušeností.

 

Implementace směrnice NIS2 bude mít významný finanční dopad na organizace, které spadají pod její působnost. Tyto náklady mohou zahrnovat investice do technologií, školení zaměstnanců, procesních změn a externích konzultací. Pochopení a plánování těchto nákladů je klíčové pro úspěšné a efektivní zavedení směrnice.

 

Na kolik implementace směrnice NIS2 vyjde?

Jednou z největších položek v rámci implementace NIS2 jsou investice do nových technologií a bezpečnostních opatření. Tyto investice zahrnují: 

  • Nástroje pro detekci a prevenci hrozeb (IDS/IPS) – organizace musí nasadit pokročilé systémy pro monitorování síťového provozu a identifikaci potenciálních hrozeb. Týká se to hardwarových i softwarových komponentů. 
  • Šifrování a zabezpečení dat – implementace šifrovacích technologií pro ochranu citlivých informací během přenosu i uložení. To může zahrnovat nákup licencí na šifrovací software a potřebný hardware. 
  • Zálohovací systémy – investice do robustních zálohovacích řešení, která umožní obnovu dat v případě kybernetického útoku. To zahrnuje on-premise i cloudová řešení.

Náklady na školení zaměstnanců

Efektivní implementace NIS2 dále vyžaduje pravidelné a důkladné školení všech zaměstnanců: 

  • Základní školení kybernetické bezpečnosti – zaměstnanci musí být seznámení se základními principy kybernetické bezpečnosti a konkrétními postupy podle směrnice NIS2.
  • Pokročilá školení pro IT personál – specializovaná školení pro IT odborníky zaměřená na nové technologie a bezpečnostní opatření zaváděná podle NIS2.
  • Simulace a cvičení – organizace by měly provádět pravidelné simulace kybernetických útoků a cvičení, aby zaměstnanci byli připravení efektivně reagovat na skutečné incidenty.

Procesní změny

Implementace NIS2 často vyžaduje změny v interních procesech a postupech organizace. Týká se to následujícího: 

  • Revize a aktualizace bezpečnostních politik – vypracování nových nebo aktualizace stávajících politik a postupů kybernetické bezpečnosti. V zásadě jde o dokumentaci všech procesů a zajištění jejich souladu s požadavky směrnice NIS2. 
  • Integrace nových technologií – přizpůsobení existujících systémů a procesů tak, aby byly schopné efektivně využívat nové technologie a bezpečnostní opatření. 
  • Zajištění souladu s právními požadavky – právní konzultace a auditní služby, které zajistí, že všechny procesy a technologie jsou v souladu s novou legislativou.

Dlouhodobé náklady

Implementace směrnice NIS2 není jednorázovou investicí, vyžaduje dlouhodobě další náklady a aktualizace – nejvýznamnější položky tvoří: 

  • Pravidelné bezpečnostní audity – organizace musí provádět pravidelné audity a hodnocení bezpečnostních opatření, aby zajistily jejich aktuálnost a efektivitu. 
  • Aktualizace technologií – pravidelné upgrady a patchování bezpečnostních systémů a softwaru, aby byly chráněné před nově vznikajícími hrozbami. 
  • Školení a vzdělávání – nepřetržité školení zaměstnanců, aby byli obeznámení s nejnovějšími bezpečnostními hrozbami a postupy.

 

Na směrnici NIS2 a nový zákon o kybernetické bezpečnosti nejste sami!

Chcete vědět, zda bude mít směrnice NIS2 dopad právě na vaši organizaci? Potřebujete zaregistrovat vaši organizaci do seznamu povinných subjektů? Rádi byste vypracovali plán zavádění povinných bezpečnostních opatření?  

V Algotechu rozumíme náročnosti plnění požadavků směrnice NIS2 a jsme tu, abychom vám se vším pomohli. Nabízíme komplexní zajištění NIS2 od auditu a identifikace rizik až po implementaci bezpečnostních opatření a školení zaměstnanců. S našimi zkušenostmi zajistíte nejen soulad s legislativou, ale především posílíte svou kybernetickou odolnost. Nečekejte, až udeří kybernetický útok – obraťte se na nás a získejte odborníky na svoji stranu. Na poradenství můžete čerpat dotace a ušetřit až 40 % výdajů

KATEGORIE
Rozhovory se zaměstnanci
Články a zajímavosti
Proběhlé události
Rozviňte naplno potenciál vašeho IT ještě dnes
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.
MOHLO BY VÁS ZAJÍMAT

Podobné články

Další články
Prevence před únikem dat: Naučte se vytvářet a spravovat bezpečná hesla
Prevence před únikem dat: Naučte se vytvářet a spravovat bezpečná hesla
Články a zajímavosti
Co je výhodou cloudu pro vaši firmu? Pohled na migraci infrastruktury do cloudu v roce 2025
Co je výhodou cloudu pro vaši firmu? Pohled na migraci infrastruktury do cloudu v roce 2025
Články a zajímavosti
90% přesnost a rychlost: Jak analýza sentimentu pohání moderní zákaznickou komunikaci
90% přesnost a rychlost: Jak analýza sentimentu pohání moderní zákaznickou komunikaci
Články a zajímavosti
Najdeme řešení i pro vás
Kontaktovat
KONTAKT

Kontaktujte nás

Máte zájem o vyzkoušení našich služeb nebo konzultaci? Zanechte nám na sebe kontakt, ozveme se vám do 3 hodin.
- Ozveme se vám do 3 hodin
- Non-stop podpora v češtině i angličtině
- Předběžnou nabídku máte do týdne
- Garance dostupnosti dat 99,99 %
Zavolejte nám
Nechcete čekat na odpověď?
Zavolejte nám na číslo
+420 225 006 555
Volbou "Odeslat" beru na vědomí zásady zpracování osobních údajů.
Algotech, a.s.
FUTURAMA Business Park
Sokolovská 668/136 D
186 00 Praha 8
UKÁZAT NA MAPĚ
Kontaktovat
+420 225 006 555 info@algotech.cz
Facebook Linkedin
NAŠE ŘEŠENÍ
INFORMACE
O NÁS

Copyright © 2024 - Algotech a.s., all rights reserved

| Zpracování osobních údajů | Všeobecné obchodní podmínky