Přichází nová Evropská směrnice (NIS2)

AXENTA NIS2

Přichází nová Evropská směrnice (NIS2), která bude znamenat rozšíření působení kybernetického zákona.

Co je to ta směrnice NIS2?

NIS2 je obnovena směrnice NIS (Directive on Security of Network and Information Systems), která začne platit po provedení do českého zákona o kybernetické bezpečnosti již v roce 2024. Během období roku 2023 a poloviny 2024 mají firmy z veřejného, ale i soukromého sektoru, čas na přípravu plnění povinností.

NIS2 je vlastně mladší sestra NIS. Je ale zkušenější, poučená z chyb minulosti, ale zejména přísnější a nekompromisní.

Směrnice vs nařízení

Důležité je si uvědomit, že NIS2 je směrnicí, nikoli nařízením. Z toho vyplývá, že každý stát EU k obsahu směrnice může přistupovat takzvaně „po svém“, pod podmínkou splnění povinných částí směrnice.

Ale co to znamená? Organizace budou muset sledovat změny, které se uskuteční v legislativě jednotlivých států EU, protože státy po splnění povinných částí, mají volnou ruku při změně legislativy. Směrnicí definovaná odvětví nemusí být jediná, která stát zahrne do povinností plnění legislativních nařízení.

Každý stát provede analýzu rizik na základě které bude rozhodovat o rizikových odvětvích. Odvětví, která se na základě provedené analýzy rizik ukážou jako riziková, budou daným státem vtažena do povinností. (Např. NÚKIB avizoval, že uvažuje o přiřazení k regulovaným subjektům i vysoké školy). Směrnice definuje základní povinná opatření, která také státy mohou ve své legislativě zpřísnit.

A o co směrnici NIS2 jde?

Směrnice má za cíl zajištění společné úrovně bezpečnosti sítí a informačních systémů v Unii. Má zajistit společnou úroveň bezpečnosti skrze všechny členské státy. (Aby organizace zavedly a dodržovaly bezpečnostní opatření). EU prostě nechce mít nepořádek v tom, jak jednotlivé státy řeší kybernetickou bezpečnost a chce poskytnout jednotnost v této problematice.

NIS2 jde také o větší spolupráci mezi členskými státy. Na principu sdružování expertů z jednotlivých zemí např. při řešení závažných bezpečnostních incidentů. Více hlav, více rozumu, lepší a rychlejší řešení, která jsou v odvětví kybernetické bezpečnosti více než žádoucí vzhledem k rychlosti vývoje. Během uplynulých let a událostí v jejich průběhu, ovlivňující Evropské státy, je spolupráce více než žádoucí.

Proč bychom se měli zajímat o NIS2?

Prvním důvodem budou povinnosti plynoucí z legislativy, kontrola dodržování ze strany státu a následně sankce při nedodržení povinností. Druhým důvodem je obecný stav kybernetické bezpečnosti. Rapidní nárůst počtu kybernetických útoků nepostihuje pouze velké společnosti, ale také malé a střední podniky z důvodu nižší úrovně zabezpečení. Počet útoků typu ransomware podle dostupných statistik (Sophos) vzrostl meziročně až o 62 %. Celkově byly napadeny 2 organizace ze 3. Náklady na řešení útoků, nebyly rovněž zanedbatelné. Průměrná částka celkových nákladů byla v přepočtu 1,9 mil. €.

Efektivně čelit útokům je však možné pomocí zavedení bezpečnostních opatření, která právě NIS2 definuje a zejména zpřísňuje. Zavedením preventivních opatření mohou organizace předcházet bezpečnostním incidentům lépe, a tak zvýšit svoji odolnost. Stoprocentní bezpečnost neexistuje, ale preventivní opatření jsou vždy méně nákladná a bolestivá než řešení dopadů kybernetického incidentu.

Regulační změny

NIS2 vzhledem k situaci ve státech EU také výrazně rozšiřuje odvětví a pododvětví, která budou povinně řešit kybernetickou bezpečnost, a tím i množství povinných subjektů. Jedná se o tato nová odvětví, která přibydou k současným:

  • Axenta logoZdravotnictví – výroba a výzkum léků
  • Dálkové vytápění a chlazení
  • ICT service providers
  • Řízení služeb ICT
  • Vesmír
  • Odpadové hospodářství
  • Odpadní voda
  • Kurýrní služby
  • Potravinářství – výroba, distribuce
  • Výroba (automobilů, strojů, zdravotnických prostředků, PC a elektronika)
  • Výzkum
  • Sociální sítě

 

Rozsah bezpečnostních opatření bude určen podle regulovaného režimu, do kterého společnost spadne. Bezpečnostní opatření jsou povinná pro všechna regulovaná odvětví. Rozdíl bude jen v přísnosti a rozsahu bezpečnostních opatření.

Regulované režimy budou dva:

  • Klíčové subjekty (tzv. Essential) – přísnější opatření
  • Důležité subjekty (tzv. Important) – méně přísná opatření

 

První podmínka pro identifikaci povinné osoby je poskytovat alespoň 1 službu ze seznamu regulovaných služeb. Celý proces probíhá na principu samo identifikace.

Druhá podmínka je velikost společnosti. Regulovány budou střední a velké podniky (podle platných definic velikostí podniků). U některých služeb bude organizace regulována bez ohledu na velikost. Právě z tohoto důvodu je nutné sledovat legislativní změny. Nesmíme zapomínat na další fakt, a to sčítání velikosti podniků v případě např. holdingových společností, kde se z malé firmy může rychle stát podnik střední až velký.

Dohady o tom, kdo by měl v dnešní době řešit kybernetickou bezpečnost, jsou již bezpředmětné. EU si je však vědoma faktu výše financí, které je nutné vynaložit na kybernetickou bezpečnost. Proto do regulace nezahrnula malé a mikro podniky, ale střední a velké podniky. Při této velikosti podniku předpokládá, že společnosti mají k dispozici dostatečné finance na řešení kybernetické bezpečnosti.

Lepší orientaci, zda organizace bude spadat pod připravovanou regulaci, poskytuje tento diagram.

Kdo bude zodpovědný?

Novinkou, kterou NIS2 přináší, je zodpovědnost vrcholového managementu za zavedení bezpečnostních opatření a jejich dodržování. V návaznosti na zodpovědnost vrcholového managementu je povinnost školení, nejen zaměstnanců, ale i zmiňovaného vrcholového managementu. Zavedením školení a odpovědnosti se EU snaží zbavit rozšířeného nešvaru a to, že kybernetická bezpečnost spadá pod IT oddělení. Vzhledem k dopadům, které má kybernetická bezpečnost na skoro všechny části společnosti, je nutno tuto problematiku řešit nezávisle a s podporou vrcholového managementu.

Co hrozí za nedodržení povinností?

Změnu, kterou směrnice přináší je i výrazné navýšení pokut za nedodržení povinností ale i jiné typy sankcí a to:

  • Pozastavení licence k poskytované službě, odebrání certifikace
  • Dočasný zákaz výkonu řídící funkce fyzické osobě v regulované organizaci
  • Výše sankce pro důležitý subjekt – horní hranice 7 milionů € nebo 1,4 % z obratu (to, co je výše)
  • Výše sankce pro klíčový subjekt – horní hranice 10 milionů € nebo 2 % z obratu (to, co je výše)

 

Jaké povinnosti budou například plynout z regulace?

Povinnosti, které budou ze směrnice vyplývat, jsou pro některé společnosti již známy. Pro nově regulované subjekty tomu tak ale být nemusí. Proto tyto body poskytují výpis těch nejdůležitějších.

  • analýza rizik a politika bezpečnosti informačních systémů
  • řešení incidentů (prevence a odhalování incidentů a reakce na ně)
  • řízení kontinuity provozu a krizové řízení
  • zajištění dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb
  • zajištění zadávání, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení
  • politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti
  • používání kryptografie a šifrování
  • a mnoho dalšího…

 

Evropská unie si je vědoma závažnosti v problematice kybernetické bezpečnosti, stejně bychom měli přemýšlet i my, ať už jsme majitelem společnosti nebo jejím zaměstnancem. Kybernetická bezpečnost se týká opravdu každého z nás a směrnice NIS2 bude důležitým opěrným bodem v této oblasti.

Autor: Alexandra Rusňáková, Security Analyst, AXENTA a.s.