NIS2 bude pozitivním, ale přísným krokem ke zlepšení kyberbezpečnosti firem i států

V reakci na rostoucí hrozby, které představuje digitalizace a nárůst kybernetických útoků, předložila Komise již v prosinci 2020 návrh, který má nahradit směrnici NIS, a tím posílit bezpečnostní požadavky a přinést nové výzvy, které vyžadují přizpůsobené a inovativní reakce. Nový návrh si klade za cíl řešit nedostatky předchozí směrnice o bezpečnosti sítí a informací, přizpůsobit ji současným potřebám a zajistit, aby byla připravena na budoucnost.

Nová směrnice NIS2 také odstraňuje rozdíl mezi provozovateli základních služeb a poskytovateli digitálních služeb. Kromě toho Komise navrhuje řešit bezpečnost dodavatelských řetězců a dodavatelských vztahů tím, že bude od jednotlivých společností vyžadovat, aby se zabývaly riziky kybernetické bezpečnosti v dodavatelských řetězcích a dodavatelských vztazích.

Je nutné si uvědomit, že legislativa EU a také i česká legislativa, zahrnuje pro organizace sankce a pokud organizace nevybuduje nebo neudrží kybernetickou bezpečnost na požadované úrovni, čekají ji pokuty a sankce.

Mezi zásadní změny patří například rozšíření regulace na více subjektů soukromé i veřejné sféry. NIS2 subjekty rozděluje na dvě skupiny:

• Zásadní entity, kam se řadí například zdravotnictví, energetika, doprava, bankovnictví, infrastruktury finančních trhů, veřejná správa a další.
• Důležité entity, kde jsou poštovní a kurýrní služby, nakládání s odpady, výroba (zdravotnických prostředků, počítačů, elektronických a optických zařízení, elektrozařízení, strojů, motorových vozidel, přívěsů a návěsů, ostatních dopravních prostředků a zařízení), aj.

Dále NIS2 posílí důležitost řízení rizik. Hodnocení rizik bude stěžejní před jakoukoliv změnou ve společnosti, jejíž vedení ponese odpovědnost za dodržování opatření týkajících se řízení kybernetických bezpečnostních rizik. A dalším pilířem je zlepšení kooperace mezi členskými státy EU.

Organizace budou muset práci zadat externím odborníkům nebo posílit a přeorganizovat vlastní IT oddělení, což bude vyžadovat větší finanční prostředky. V rámci navrhované dohody mají členské státy Evropské unie mandát začlenit ustanovení do svých vnitrostátních právních předpisů do 21 měsíců od vstupu směrnice v platnost.

Nyní je na Evropském parlamentu a Radě EU, aby prozkoumaly a přijaly navrhovanou směrnici NIS2. V platnost pravděpodobně vstoupí před polovinou roku 2023. Jakmile bude návrh schválen, státy EU budou povinny přijmout a zveřejnit právní a správní předpisy nezbytné pro dosažení souladu s touto směrnicí. Můžeme tedy očekávat aktualizaci zákona o kybernetické bezpečnosti a souvisejících prováděcích předpisů.

https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-cybersecurity-across-union

https://www.systemonline.cz/it-security/nis2-zprisni-naroky-na-kyberbezpecnost-firem-i-statu.htm

https://ec.europa.eu/commission/presscorner/detail/cs/qanda_20_2392#directive

https://thehackernews.com/2022/05/europe-agrees-to-adopt-new-nis2.html