Co je směrnice NIS2?
NIS2 je aktualizovanou verzí směrnice NIS (Network and Information Security) z roku 2016. NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a představuje nové řešení pro posílení a zabezpečení evropského kyberprostoru. Členské státy EU mají za povinnost tuto směrnici adaptovat do svého právního řádu.
V rekordním čase od publikování finálního znění směrnice NIS2 v Úředním věstníku Evropské unie publikoval NÚKIB na konci ledna 2023 návrh znění nového Zákona o kybernetické bezpečnosti a osm návazných vyhlášek. NÚKIB navrhl nejít cestou novelizace současného zákona, ale kompletně novým zákonem.
Hlavní navržené změny tohoto zákona
- Větší počet regulovaných organizací a služeb
- Větší nároky na bezpečnost dodavatelského řetězce
- Lokalizace dat
- Hlášení incidentů
- Pokuty
- Odpovědnost a povinnosti vedení
Větší počet regulovaných organizací a služeb
Jedním z cílů směrnice NIS2 je zvýšení úrovně bezpečnosti nejen v prostředí „VIP klubu“, ale zajistit bezpečnost u většiny významných prvků národní infrastruktury a služeb. Nový zákon se bude vázat nejen na nové regulované subjekty (podle úvodních odhadů NÚKIB se jedná o 6000 subjektů), ale často bude také rozšiřovat rozsah účinnosti zákona na větší počet systémů a služeb v rámci stejné organizace, které již podléhají současnému zákonu z roku 2014.
Z regulovaných oblastí služeb se jedná o veřejnou správu, energetiku, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, drážní, vodní a silniční dopravu, digitální infrastrukturu a služby, finanční trhy, zdravotnictví, vědu, výzkum a vzdělávání, poštovní služby, vojenský a vesmírný průmysl. Kompletní výčet je k dispozici v návrhu Vyhlášky o regulovaných službách.
Větší nároky na bezpečnost dodavatelského řetězce
Evropský regulátor i NÚKIB přikládají stále větší významnost bezpečnosti dodavatelů. Důvodem jsou jak stále častější úspěšné útoky z poslední doby skrze dodavatelský řetězec (jako tomu bylo v případech Solarwinds, Okta, LastPass a mnoho dalších), tak i zvyšující se závislosti v řetězci. V analogii z fyzického světa jsou vidět závislosti v dodavatelském řetězci u dostupnosti a cen energií a pohonných hmot v kontextu války na Ukrajině. Z pohledu kybernetické bezpečnosti mohou tyto vazby na třetí strany být daleko nenápadnější a v určitých ohledech fatálnější (například nedávné zranitelnosti Log4j nebo OpenSSL).
Návrh zákona udává (podobně jako současná právní úprava) povinnost aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů, kdy pro významné dodavatele stanovuje další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv a pravidelnou kontrolu opatření dodavatele.
Úplnou novinkou v návrhu je začlenění hodnocení NÚKIB do procesu výběru významného dodavatele (platné pro organizace spadající do režimu vyšších povinností). Cílem je zde začlenění a zmírnění závislostí v kontextu strategických a politických zájmů České republiky. NÚKIB v rámci tohoto procesu plánuje vyhodnocovat oblasti, jako jsou země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti podrobněji popsané ve Vyhlášce o kritériích rizikovosti dodavatele.
Lokalizace dat
Pro organizace spadající do režimu vyšších povinností NÚKIB navrhuje požadavky na lokalizaci dat pouze na území České republiky, případně Evropské unie (data se nesmí fyzicky vyskytovat jinde, než na povoleném území). Tento požadavek se vztahuje na případy zpracování dat, které mohou mít za následek incident s významným dopadem (například vede ke zranění více než 2500 osob, vede k finančním ztrátám nad 10 % běžných výdajů ročního rozpočtu povinné osoby a dalším dopadům).
Obdobný požadavek můžeme znát již z GDPR, kde je možné za určitých podmínek zpracovávat osobní údaje pouze na území Evropské unie.
Pokud se tento požadavek dostane do konečného znění zákona, bude to pravděpodobně pro společnosti znamenat významné výdaje na migraci dat ze současných úložišť do České republiky, resp. Evropské unie.
Hlášení incidentů
Hlášení kybernetických incidentů NÚKIB, resp. národnímu CERT je zakotveno již v současné právní úpravě. Nově tuto povinnost bude mít větší rozsah společností (v návaznosti na rozšíření rozsahu povinných subjektů popsaných v bodě 1). Povinnost je dále rozšířena také na oznámení incidentu uživatelům služby.
Pokuty
Návrh zákona přitvrzuje v oblasti pokut, které mohou vystoupat až do výše 10 000 000 Eur nebo 2 % z čistého obratu za poslední ukončené účetní období.
Odpovědnost a povinnosti vedení
Dle záměru NIS2 by měla být zvýšena odpovědnost vrcholového vedení organizace za kyberbezpečnost a dodržování souladu se zákonem. Relativně významná část navrhovaného zákona je věnována právě povinnostem vrcholového vedení, mezi které patří zajištění stanovení bezpečnostní politikya cílů, zajištění dostatečných zdrojů, komunikaci důležitosti bezpečnosti ve společnosti, participace na řízení kybernetických rizik a řada dalších povinností.
Co naopak zůstává podobné
Návrh nového zákona o kybernetické bezpečnosti je, stejně jako současné znění, založený na mezinárodně uznávaných standardech rodiny ISO 27000, a tedy nepředstavuje (až na výjimky) nové koncepty a opatření, které by již jinak vyspělá společnost přirozeně neaplikovala.
Jak vám může pomoci PwC
Tým PwC složený jak z expertů na kyberbezpečnost, tak i právníků PwC Legal a případně odborníků na veřejný sektor nabízí kompletní balíček služeb zaměřených na splnění povinností souvisejících s NIS2.
- Analýza dopadu aplikování směrnice na organizaci a určení rozsahu řízení kybernetické bezpečnosti
- Rozdílová analýza současného stavu bezpečnosti.
- Analýza rizik bezpečnosti informací
- Právní analýza smluv a dalších právních dokumentů
- Threat Intelligence a OSINT analýza
- Cyber Hygiene Assessment (Technická analýza úrovně bezpečnosti skrze nástroj Tanium)
- Compromise Discovery Assessment (Analýza kompromitace prostředí skrze nástroj Tanium)
- Strategie programu transformace bezpečnosti
- Zřízení bezpečnostní organizace, správy, řízení rizik a funkcí dodržování předpisů
- Definice cílového operačního modelu
- Plán transformace
- Projektový a Programový plán
- Analýza možností financování strategie z veřejných zdrojů a dotací Evropské Unie
- Návrh řešení financování
- Podpora v rámci procesu žádosti dotačního programu
- Následná podpora - výběrová řízení, součinnost při kontrolách, monitorovací zprávy
- Návrh a podpora dodání bezpečnostních opatření
- Tvorba a úprava řízené dokumentace
- Návrh změn a implementace organizačních, právních i technických opatření z našeho portfolia služeb
- Vývoj a konfigurace vybraných technických opatření (EDR, SIEM, VM, IAM/PAM, OT, Cloud security a další)
- Návrh právních změn (smluvní ujednání s dodavateli, zaměstnanci, nastavení procesů)
- Podpora či zastupování při komunikaci s NÚKIB či dalšími úřady při registraci regulované služby nebo oznamování incidentů
- Podpora a řízení projektu implementace
- Provoz ISMS
- Managed service vybraných opatření
- Vzdělávání a školení zaměstnanců
- právní služby (v pracovněprávní, korporátní či trestněprávní oblasti) při řešení incidentů
Kde začít - úvodní balíček
V rámci vyrovnání se s dopady požadavků NIS 2 na fungování společnosti PwC doporučuje zvolit následující postup:
Analýza dopadu směrnice NIS 2
Pomůžeme vám analyzovat postavení vaší organizace vůči požadavkům NIS2 a identifikovat režim (Základní nebo Důležité), pod který spadáte. Provedeme vás určením rozsahu řízení kybernetické bezpečnosti ve vztahu k regulovaným službám, které identifikujeme.
Rozdílová analýza současného stavu a požadavkům
Pomůžeme vám identifikovat nedostatky vůči požadavkům a potřebná nápravná opatření pro zajištění souladu.
Analýza a návrh financování
Pomůžeme vám analyzovat možnosti financování z dotačního programu Evropské Unie pro vaši organizaci.
Kontakty
Ondřej Ptáček
expert na financování environmentálních projektů, PwC Česká republika
Tel: +420 770 104 795
