Společnosti, instituce, ale i jednotlivci čelí stále častěji různým typům kybernetických útoků. Připomeňme aspoň ty nejznámější. K nejčetnějším patří v posledních letech tzv. DDoS útoky, jejichž cílem je především zahltit servery napadených subjektů, což vede k jejich zpomalení či úplnému výpadku. Známým typem útoku je také ransomware, kdy útočníci zašifrují data organizace a následně požadují výkupné za jejich zpřístupnění, případně nezveřejnění. A zmiňme rovněž phishing, při kterém se útočníci, vydávající se za důvěryhodné osoby či organizace, snaží získat citlivá data, jako jsou hesla, čísla kreditních karet či bankovního účtu, nebo se pokouší přimět potenciální oběti, aby si stáhly nebezpečný malware.

Ale pojďme zpět k evropské, potažmo české legislativě. Metody útočníků jsou stále sofistikovanější a nebezpečnější. Evropská komise a členské země EU většinově vyhodnotily, že původní evropská směrnice NIS již nestačí pokrývat hrozby, které se v kyberprostoru objevují. To vedlo k rozhodnutí přistoupit v roce 2022 k přijetí směrnice NIS2, jež sjednocuje pravidla pro kybernetickou bezpečnost v celé EU. Jejím hlavním cílem je zabezpečit kritickou infrastrukturu a celá odvětví ekonomiky před kyberútoky a zabránit tak katastrofickým scénářům v podobě plošného výpadku energií, ztráty citlivých dat či znemožnění komunikace. Členské státy měly na transpozici do národních legislativní řádů lhůtu 21 měsíců. Vzhledem k náročnosti celého procesu se však tento termín zatím nepodařilo splnit většině zemí, Českou republiku nevyjímaje. Přesto však již dnes známe hlavní parametry nového zákona, víme, na koho dopadne a k jakým opatřením budou muset dotčené entity přistoupit. A jisté je jedno – na zahájení příprav je nejvyšší čas!

Zjistěte s naším nástrojem, jak jste na NIS2 připraveni

Nejste si jistí, co pro vás bude nový zákon o kybernetické bezpečnosti znamenat? Chcete se dozvědět, jaká opatření musíte splňovat, kde jsou v současné době vaše slabá místa a jak je odstranit? Vyzkoušejte náš nástroj NIS2 Maturity Assessment Tool. Zde v online dotazníku vyplníte potřebné údaje, z nichž naši odborníci provedou analýzu vaše současného nastavení, identifikují případné nedostatky a navrhnou strategii, jak je odstranit.

Připravit se musí více než 6 tisíc firem

Mezi nejzásadnější změny, které nový zákon o kybernetické bezpečnosti přináší, patří především skutečně výrazné navýšení počtu firem, na které se vztahuje. Zatímco dosud platný zákon se týká asi 400 strategicky významných firem a organizací, jež jsou důležité pro běh společnosti a státu, v souvislosti s novou legislativou se hovoří minimálně o 6 tisících soukromých i státních subjektů.

O které firmy a organizace tedy podle nového zákona půjde? Zjednodušeně řečeno, dotčený subjekt je definován jako střední nebo velký podnik, což znamená, že zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň ve výši 10 milionů eur (cca 250 milionů CZK).

Druhou podmínkou je pak působení v jednom z 18 odvětví, do nichž je rozděleno 60 služeb. Jedná se o následující oblasti: energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, řízení ICT služby, veřejná správa, vesmír, poštovní služby, odpadní hospodářství, chemický průmysl, potravinářství, výroba, poskytování digitálních služeb a výzkum.

Jaké povinnosti na dotčené subjekty čekají?

Opatření, která musí firmy a instituce zavést, jsou dvojího druhu. První typem jsou organizační opatření, kam spadá například zpracování bezpečnostní dokumentace, rozdělení bezpečnostních rolí v organizaci, řízení ICT dodavatelů, zajištění kontinuity činnosti podniku nebo školení zaměstnanců v oblasti kybernetické bezpečnosti. Druhým typem jsou technická opatření, která zahrnují činnosti, jako je například řízení identit a přístupových oprávnění, detekce nežádoucích aktivit v podnikové síti a zařízeních nebo zajištění fyzické bezpečnosti podnikových prostor a ICT prostředků.

Pozor na sankce!

Co se stane, když požadované povinnosti subjekty nesplní? Podle nového zákona hrozí v takovém případě pokuta až 250 milionů Kč, případně 2 % čistého celosvětového ročního obratu – podle toho, která částka bude vyšší.

3 otázky pro Viktora Paggia, experta na oblast kybernetických rizik, Deloitte

 

Viktore, nový zákon o kybernetické bezpečnosti měl vejít v účinnost v říjnu letošního roku. Již teď je však možné říct, že se tak nestane. Proč se legislativní proces zadrhl? A hrozí České republice v případě zmeškání termínu nějaký postih ze strany EU?

Návrh nového zákona je aktuálně projednáván Poslaneckou sněmovnou, ale provází ho řada problémů. Do Parlamentu se probojoval až na třetí pokus, protože neprošel Legislativní radou vlády. S jeho podobou nejsou spokojena ani některá ministerstva, Hospodářská komora nebo organizace zastupující mobilní operátory. Zaznamenal jsem také kritiku na Hospodářském výboru sněmovny, a to i od koaličních poslanců.

Suma sumárum – říjnový termín zapracování směrnice NIS2 do českého právního řádu se nestihne. Nebudeme v tom však sami, aktuálně v EU směrnici do národních právních řádů transponovaly jen asi čtyři země. Nečekám tedy, že by Evropská komise nyní vůči České republice nebo dalším zemím ihned zahajovala formální řízení o nesplnění povinnosti, protože implementovat NIS2 je skutečně oříšek. Ale to se může změnit, pokud bude tato situace trvat dlouho.

A jak jsou na tom subjekty, kterých se bude NIS2 týkat? Jak by se měly připravovat?

Zejména velké podniky se složitou vnitřní strukturou by se měly na nový zákon začít připravovat již nyní, protože zavést potřebná technická a organizační opatření trvá relativně dlouho. Dá se také očekávat, že věcné jádro zákona zejména ve vyšším režimu v podobě systému řízení informací (ISMS), primárních a podpůrných aktiv, mapování jejich závislostí atd.  vycházející z aktuálního zákona, zažité praxe a potažmo standardu ISO 27000, zůstane více méně nedotčeno.

Jaký je podle tebe největší přínos NIS2? Skutečně zvýší kybernetickou bezpečnost v EU?

Směrnice NIS2 je dle mého názoru příliš široká. Více se mi líbil český risk-based přístup, založený na regulaci pouze těch hráčů, jejichž výpadek má významný dopad na běh státu a společnosti. Tedy ano, směrnice NIS2 ve svých důsledcích kybernetickou bezpečnost zvýší, ale otázka je, za jakou cenu. Zde bych rád zmínil, že i NÚKIB prosazoval v diskusi s evropskými partnery jiný než „plošný“ model, ale směrnici musí transponovat podle její platné podoby.

Jak vám můžeme v Deloitte pomoci? Vše o našich službách v souvislosti s NIS2 a novým kybernetickým zákonem najdete na našem webu.