Menu

NS2: Revoluce v oblasti kybernetické bezpečnosti pro evropskou infrastrukturu

14.11.2024 Doporučujeme Vytisknout

Evropská směrnice NIS2 přináší přelomové změny, které mají zásadní vliv na kybernetickou bezpečnost a ochranu kritických systémů. Směrnice NIS2, která nahrazuje původní NIS z roku 2016, se zaměřuje na ochranu kritické infrastruktury a zavádí přísnější a širší bezpečnostní požadavky pro organizace v celé EU. Očekává se, že více než 100 000 subjektů bude muset splnit tyto nové standardy. NIS2 nahradila 18. října 2024 předchozí variantu NIS.

TÜV SÜD Czech

Kdo musí splňovat požadavky NIS2?

Směrnice rozděluje organizace do dvou kategorií: „základní subjekty“ a „důležité subjekty“. Základními subjekty jsou organizace s více než 250 zaměstnanci a obratem přesahujícím 50 milionů EUR, které působí v odvětvích jako je energetika, zdravotnictví, doprava, digitální infrastruktura či bankovnictví. Důležité subjekty zahrnují menší organizace, které splňují podmínky pro zařazení do odvětví kritické infrastruktury.

Směrnice zavádí přísné požadavky na řízení kybernetických rizik, bezpečnost dodavatelských řetězců a na odpovědnost vrcholového managementu. Ten musí schvalovat opatření kybernetické bezpečnosti a dohlížet na jejich implementaci. Firmy, které nebudou v souladu s NIS2, čelí vysokým pokutám – až 10 milionů EUR nebo 2 % z ročního obratu u základních subjektů a až 7 milionů eur nebo 1,4 % obratu u důležitých subjektů.

Klíčové změny oproti NIS

Původní směrnice NIS z roku 2016 měla zajistit vysokou úroveň kybernetické bezpečnosti v EU, ale výsledkem byla roztříštěná implementace mezi členskými státy. NIS2 se snaží tuto situaci napravit zavedením přísnějších pravidel a rozšířením sektorů, které musí dodržovat kybernetickou bezpečnost.

Mezi klíčové změny patří:

  • Širší rozsah: NIS2 se vztahuje na více sektorů, včetně finančních trhů, zdravotnictví, výroby chemikálií, správy ICT služeb a veřejné správy.
  • Větší odpovědnost managementu: Vrcholový management bude nést přímou odpovědnost za implementaci opatření a může být penalizován za nesplnění povinností.
  • Striktnější sankce: Pokuty mohou dosahovat až 10 milionů EUR nebo 2 % obratu, což výrazně zvyšuje finanční riziko nesouladu.
  • Zlepšená spolupráce mezi členskými státy: NIS2 posiluje mechanismy pro výměnu informací a koordinaci mezi jednotlivými státy, aby byla zajištěna jednotná kybernetická bezpečnost v celé EU.

Implementace NIS2

Podle směrnice musí členské státy do 18. října 2024 přijmout vlastní legislativu, která stanoví, jak budou pravidla NIS2 aplikována na jejich území. Každá země může stanovit přísnější pravidla, než jaká jsou uvedena v samotné směrnici.

Směrnice se zaměřuje zejména na řízení kybernetických rizik. To zahrnuje například provádění hodnocení rizik, zavedení opatření pro kybernetickou ochranu, posílení bezpečnosti dodavatelských řetězců a zavedení mechanismů pro hlášení incidentů. Organizace budou muset hlásit kybernetické incidenty počínaje varovným oznámením a konče závěrečnou zprávou o řešení incidentu.

NIS2 a ISO/IEC 27001

I když NIS2 nevyžaduje certifikaci podle normyISO/IEC 27001, směrnice doporučuje využití mezinárodních standardů pro implementaci opatření řízení kybernetických rizik. ISO/IEC 27001 poskytuje komplexní rámec, který organizacím umožňuje splnit požadavky NIS2 na řízení rizik, včetně ochrany dodavatelských řetězců, školení zaměstnanců a zapojení vrcholového vedení.

Dopad na firmy

Směrnice NIS2 se očekává, že bude mít na kybernetickou bezpečnost podobný dopad jako GDPR na ochranu osobních údajů. Přestože se NIS2 vztahuje především na kritickou infrastrukturu, její vliv může zasáhnout i další oblasti, které budou směrnici vnímat jako standard pro tvorbu vlastních zákonů o kybernetické bezpečnosti.