Na vašem soukromí nám záleží!

Používáme soubory cookie ke zlepšení uživatelského prostředí a pro reklamní účely. Prohlášení o zásadách ochrany osobních údajů.

Za nedodržování NIS 2 hrozí pokuty až 10 milionů EUR. Co byste o nové kyberneticko-bezpečnostní směrnici pro střední a velké podniky měli vědět

EU zpřísňuje bezpečnostní regulace. Nová pravidla vyplývající ze směrnice NIS2 kompletně změní požadavky na kybernetickou bezpečnost ve firmách a státní správě. Co směrnice znamená pro organizace? Jak poznat, zda dopadne i na váš podnik? Jak se připravit na příchod NIS2? Seznámíme vás s podrobnosti a pomůžeme vám vyhovět legislativním požadavkům.
Jana Šilarová

13. 7. 2023

Proč NIS2 vznikla?

Směrnice má zvýšit kyberneticko-informační bezpečnost ve firmách a veřejné/státní správě. Počet úspěšných útoků na organizace, které vyústí v únik dat, každoročně roste. U podniků jako nemocnice či veřejná správa hackeři nezůstávají u sabotáže dat – útočí s cílem vypnout proud či znemožnit fungování organizace.

A proto se Evropská unie snaží do podniků zavést metody jako – řízení rizik či monitorování aktiv. Cílem NIS je zvýšit kybernetickou úroveň v jednotlivých státech, čímž by se měla odolnost proti hackerům zvýšit v celé EU.

Nová směrnice o kybernetické bezpečnosti navazuje na NIS1

Původní směrnice z roku 2016 – NIS1 sjednotila minimální úroveň kybernetické bezpečnosti v jednotlivých státech EU. Směrnice zavedla bezpečnostní požadavky pro některé provozovatele základních a digitálních služeb a přinesla povinnosti na národní úrovni – např. určení příslušných státních orgánů – vznik NÚKIBu.

Každý stát musel představit národní strategii kybernetické bezpečnosti, která zahrnovala strategické cíle a konkrétní opatření, kterými se stát ochrání.

Dále pak u některých organizací (banky, ISP, poskytovatelé obsahu) dala NIS1 vzniknout speciálnímu CSIRT týmů, který se zabývá řešením bezpečnostních incidentů.

Jaké změny přinese NIS2?

EU zastává jasné stanovisko. Odkazuje na provázanost společností ve státě, které fungují jako celek. Unie zjednodušeně říká, že pokud by jedna organizace byla úspěšně napadena, může její výpadek ohrozit další a další firmy. V podstatě by mohlo dojít k dominovému efektu. A proto se nová směrnice dotýká nejen stovek podniků, ale i jejich subdodavatelů a dceřiných společností.

Z původních zhruba 360 subjektů, které NIS1 podléhaly se regulace z NIS2 dotknou až 6000 firem a organizací. 

Na koho regulace z NIS2 dopadne

Směrnice změní fungování ve více než 60 typech služeb. Dle komise EU se tyto odvětví dělí do příloh č. I a II, přičemž vaše zařazení určuje množství požadavků, které musíte splnit v rámci bezpečnostních opatření.

Seznam regulovaných odvětví NIS2

Přehled odvětví, na která se regulace NIS2 vztahuje

NIS2 změní chod ve středních a velkých podnicích

Pozor! To, že vaše firma působí v jednom z regulovaných odvětví, ještě neznamená, že musíte přijmout bezpečnostní opatření. NIS2 neukládá povinnosti každému, kdo definované služby poskytuje.

Zda vaše organizace podlehne regulaci, závisí také na velikosti vašeho podniku:

Pokud splňujete alespoň 1 službu uvedenou ve výčtu regulovaných odvětví a zároveň jste středním nebo velkým podnikem, tedy zaměstnáváte 50 a více zaměstnanců, nebo dosahujete ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK) patříte do regulovaných odvětví.

Holdingy zpozorněte

Do posuzovaných čísel se započítávají i mateřské a dceřiné společnosti. V praxi se může stát, že dceřiná společnost, která by sama o sobě byla zařazena mezi malé podniky, bude při připočtení velikosti mateřské společnosti definovaná jako střední či velký podnik.

Jak spočítat vliv dceřinek a mateřských společností na zařazení do regulace NIS2

Podniky vlastněné z méně než čtvrtiny jiným podnikem se nezařazují do výpočtu o velikosti – z pohledu podniku, který ji vlastní.

Naopak, pokud je společnost vlastněná v rozmezí 25 % až 50 %, její údaje se přičítají k velikosti společnosti, která ji vlastní, ve výši procentuálního vlastnického podílu

Je-li společnost vlastněná z více než 50 %, údaje za tento podnik se přičítají v plné výši bez ohledu na procentuální vlastnický podíl.

U holdingů se počítají hodnoty celé skupiny, avšak povinnosti budou uloženy pouze tomu subjektu, který poskytuje služby spadající pod NIS2.

Jaká míra opatření vás postihne

Na základě vaší velikosti a oboru vašeho podnikání dokážete posoudit, zda NIS2 ovlivní i vaše podnikání. Nyní je třeba definovat, do kterého stupně regulace se zařadíte.

Míru regulace ovlivňuje vaše zařazení do příslušné kategorie. Regulované služby budou rozdělené na „základní“ (essential) a „důležité“ (important).

V českém zákoně se nesetkáte s pojmy základní a důležité, nýbrž s pojmy vyšší a nižší povinnosti.

Rozdílná opatření mezi základními a důležitými službami

Rozdíly mezi dělením jsou dány mírou rizika na fungování společnosti a možným vlivem na zbytek EU či podniků v dalších státech.

Dle aktuálních odhadů bude cca 1000 organizací spadat do  kategorie základní (essential) a zbylých cca 5000 se zařadí do kategorie důležité (important), ve které nemusí plnit tak přísné požadavky na kybernetickou bezpečnost.

Zjednodušené vysvětlení – jaké regulace dopadnou na vaše podnikání

Do režimu základní služby (essential) spadají pouze organizace, které poskytují některou ze služeb v příloze I a zároveň jsou velkým podnikem. Pokud jste středním podnikem a poskytuje služby z přílohy I, budete zařazeni do režimu důležité služby (important).

Kategorizace firem dle velikosti pro NIS2

Jednoduchý přehled a kategorizace podniků

Jestliže svým klientům poskytujete služby dle přílohy II, bez ohledu na velikost (velký nebo střední podnik), budete zařazeni do kategorie important.

Možné výjimky, na které regulace NIS2 dopadne

NIS2 dává členským státům do rukou pravomoc využít dodatečných kritérií a vztáhnout regulaci na organizace, které poskytují výše zmíněné služby bez ohledu na jejich velikost.

V praxi to znamená, že nejenom střední a velké firmy, ale také některé mikropodniky mohou pod regulaci spadat – typicky poskytovatelé DNS služeb.

Organizace mohou být zařazeny do regulace NIS2 nehledě na velikost, pokud:

  • je firma výhradní poskytovatelem služby, která má zásadní význam pro zachování kritických společenských nebo hospodářských činností,
  • narušení služeb dané organizace může vyústit ve významný dopad na veřejný pořádek, veřejnou bezpečnost nebo ochranu zdraví,
  • narušení služeb dané organizace může vyvolat významné systémové riziko, zvláště s přeshraničním dopadem.

Státy EU mohou do rozřazení NIS2 zasáhnout

Směrnice navíc udává státům možnost určit některým organizacím spadajícím pod režim important přísnější režim essential.

NÚKIBU se ozvete vy sami po zhodnocení vaší velikosti

Samotné firmy by měly zhodnotit, zda naplňují kritéria pro zařazení do regulací NIS2 a následně by se měly nahlásit NÚKIBU. Avšak pozor, nyní se ještě nikam nehlaste.

Kdy začne regulace platit

NIS2 se stala platnou letos 16. 1. 2023. Od ledna běží lhůta 21 měsíců, během které vznikne a bude schválen nový zákon o Kybernetické bezpečnosti, který NIS2 zavede do českého práva. Nejpozději tedy do října 2024. A právě až od schválení zákona poběží lhůta, během níž se musíte NÚKIBU přihlásit.

Jak ALVAO pomáhá se směrnicí NIS 2 průvodce ke stažení.

Jaké povinnosti NIS2 přinese

I přestože nejsou všechny povinnosti 100% jisté, doporučujeme opatření nenechávat na poslední chvíli. Od schválení zákona, které může proběhnout již na konci roku, se rozběhne 1 rok na implementaci nutných regulací. Pro mnoho společností, které bezpečnost zatím neřešili, může být lhůta nedostačující.

Připravte organizaci na NIS 2

Odebírejte CIO newsletter

  • to nejlepším z našeho blogu
  • tipy a triky z IT managmentu
  • inspirativní rozhovory s CIO českých i zahraničních firem
  • pozvánky na webináře a konference


Přihlaste se k odběru newsletteru