Cílem směrnice NIS2, přijaté Evropskou unií v roce 2022, je posílit odolnost členských států proti kybernetickým útokům a zajistit vyšší úroveň bezpečnosti informačních systémů. Směrnice rozšiřuje povinnosti a zahrnuje i větší počet sektorů a typů organizací. 

Směrnice NIS2 se vztahuje na široký rozsah odvětví a sektorů, včetně energetiky, dopravy, zdravotní péče, dodávek pitné vody, digitální infrastruktury, telekomunikací, veřejné správy a mnoha dalších klíčových oblastí. 

Pod NIS2 spadají společnosti, které poskytují služby alespoň v jednom z odvětví stanovených NIS2, zaměstnávají 50 a více pracovníků, nebo dosahují ročního obratu alespoň 10 mil. euro, nebo bilanční sumy roční rozvahy ve stejném objemu.

V Česku se jedná minimálně o 6 000 subjektů

Do naší legislativy by měla být NIS2 transponována v podobě nového Zákona o kybernetické bezpečnosti do 18. října 2024. 

• Technická a organizační opatření v podobě nezávislého auditu, zmapování svého prostředí, identifikace nástrojů k zajištění chodu regulované služby, vyhodnocení rizik, která mohou službu ohrozit, a zavedení přiměřených opatření, kterými se daná rizika sníží na akceptovatelnou úroveň
• povinnost provádění vlastního posouzení rizik,
• řešení kybernetických bezpečnostních incidentů a povinnost jejich hlášení,
• vyčlenění finančních prostředků potřebných pro budoucí splnění daných povinností,
• nutnost ukládat logy ze všech systémů a IT infrastruktury a jejich následné ukládání v nezměnitelné podobě po dobu alespoň 18 měsíců aj.

Odpovědnost nově nesou konkrétní vedoucí osoby v organizaci, např. majitelé, jednatelé, ředitelé, IT manažeři a specialisté, správci sítě, vedoucí oddělení kybernetické bezpečnosti apod.

Kromě sankčních trestů v podobě dočasného pozastavení certifikace anebo zákazu výkonu činnosti jakékoli vedoucí osobě může jít i o peněžité pokuty ve výši až 10 mil. euro, nebo 2 % z globálního obratu firmy. Sankce je navíc možné udělovat opakovaně, dokud nedojde k nápravě.

Prvním krokem by vždy měl být nezávislý audit kybernetické bezpečnosti, který odhalí slabiny ICT infrastruktury ve vaší organizaci a doporučí kroky nezbytné pro soulad se stanovenými povinnostmi.

Aliance zajišťuje prostřednictvím svých členů komplexní řešení v oblasti kybernetické bezpečnosti (KB) pro soukromý i veřejný sektor, a to v souladu s platnou legislativou v čele s požadavky nové směrnice NIS2 a ZKB. Nabídka služeb zahrnuje vše od vstupní analýzy KB, penetračních a jiných testů, návrhu a zavedení systému řízení bezpečnosti informací a báze znalostí v oblasti KB včetně souvisejících procesů a dokumentace přes pořízení přes dodávku a implementaci nástroje pro analýzu a monitoring síťového provozu, pro zálohování a archivaci, pro správu aktiv a řízení rizik a zranitelností, multifaktorovou autentizaci, log management, SIEM, SOC, serverů a diskových úložišť až po vzdělávání v oblasti KB. 

Podrobné informace najdete na stránkách Národního úřadu pro kybernetickou bezpečnost (NÚKIB): https://osveta.nukib.gov.cz/course/view.php?id=145