NIS2 a nový zákon o kybernetické bezpečnosti

S novelou zákona o kybernetické bezpečnosti implementující směrnici NIS2 přichází celá řada změn. Zpřísňuje například regulaci a rozšiřuje okruh povinných osob, na které se bude nové nařízení vztahovat, představuje také některé nové povinnosti. Přestože je transpozice směrnice v České republice teprve na začátku legislativního procesu, účinnost zákona se předpokládá již do konce roku, je proto nejvyšší čas se na něj intenzivně připravovat.

Co je NIS2 a jak souvisí se zákonem o kybernetické bezpečnosti?

Network and Information System Directive 2 (NIS2) je evropská směrnice, která stanovuje pravidla a požadavky pro oblast kybernetické bezpečnosti a ICT systémů a sítí (návaznost na směrnici NIS). V platnost vstoupila na začátku roku 2023. NIS2 je vedle nařízení DORA a směrnice CER dalším z legislativních nástrojů Evropské unie, které mají za cíl zvýšit digitální provozní odolnost a kybernetickou bezpečnost všech relevantních subjektů operujících v Evropské unii a chránit tak kritickou infrastrukturu. 

Konečné znění směrnice NIS2 bylo zveřejněno v Úředním věstníku Evropské unie dne 27. prosince 2022 ve všech úředních jazycích Evropské unie. V České republice přitom jako jedné z prvních členských států EU rozběhl proces formulace vnitrostátních zákonů a pravidel, které bude nutné plnit. 

Implementace NIS2 v  ČR je zajištěna novelou zákona o kybernetické bezpečnosti (ZoKB) z  pera NÚKIB, jenž zcela první verzi zveřejnil již počátkem roku 2023 a vyzval k  diskusi, na kterou navazoval sběr připomínek z  mezirezortního řízení a následné přepracování znění zákona. V  prosinci 2023 NÚKIB představil druhou verzi upravenou právě na popud připomínek, které obdržel. Stále se nicméně nejedná o finální znění a předpokládá se, že v  rámci standardního legislativního procesu dojde k  dalším změnám, které bude třeba vzít v  potaz.

 

Na koho se NIS2 a ZoKB budou vztahovat?

Nová pravidla vycházející z NIS2 se vztahují na jakékoli provozovatele regulovaných služeb nejen z EU, ale také ty operující v EU a subjekty splňující kritéria středního nebo velkého podniku dle Evropské komise, tj. více než 50 zaměstnanců a obrat od 10 milionů EUR. Jde o organizace operující ve veřejném i soukromém sektoru a představující kritické či důležité sektory, například subjekty zajišťující výrobu a distribuci elektřiny, zdravotní péči nebo služby elektronických komunikací. Celkově se ale jedná o více než 60 služeb, jejichž přehled je uveden níže. V České republice samotné se tak NIS2 dotkne odhadem nejméně 6 000 entit.

Co bude hrozit v případě nedodržování pravidel?

Aby bylo možné požadavky směrnice NIS2 po promítnutí jejího obsahu do českého právního řádu efektivně vymáhat, zavádí směrnice sadu sankcí a kontrolních prostředků, a to včetně pokut, tzv. jiných správních trestů jako pozastavení platnosti certifikace a výkonu řídicí funkce a pozastavení výkonu řídicí funkce fyzické osobě.

Jak můžeme pomoci?

V Deloitte nabízíme právní i konzultační služby související s novou legislativou.

PRÁVNÍ POMOC

  • Právní analýza dopadů: Posoudíme, zda směrnice NIS2 nějakým způsobem ovlivní vaše podnikání, a poradíme vám, jaké kroky musíte podniknout, abyste se přizpůsobili novým požadavkům na kybernetickou bezpečnost.
  • Právní poradenství: Poskytneme vám právní poradenství související se směrnicí NIS2, včetně základních požadavků, které se vás týkají, a navrhneme postup, jak mohou být tyto požadavky splněny.
  • Dotační poradenství: Posoudíme možnosti využití finančních prostředků poskytovaných na podporu opatření ke zvýšení kybernetické bezpečnosti v rámci EU nebo na národní úrovni, včetně právních služeb v oblasti posouzení poskytnutých prostředků z pohledu předpisů o veřejné podpoře a přípravy a podání žádosti o finanční podporu za naše klienty.
  • Smluvní dokumentace: Připravíme nezbytnou smluvní dokumentaci, která je nutná k ochraně kritických informačních infrastruktur a splnění požadavků směrnice NIS2.
  • Školení a vzdělávání: Poskytujeme školení a vzdělávání pro vedoucí zaměstnance a statutární orgány vaší organizace, aby mohli pochopit a splnit požadavky směrnice NIS2 a přijímat vhodná opatření pro ochranu kritických informačních infrastruktur.
  • Zastupování před orgány veřejné správy: Zastoupíme vás před orgány veřejné správy, včetně ochrany vašich práv a zájmů v souvislosti s povinnostmi vyplývajícími ze směrnice NIS2. Zastoupíme vás také v legislativním procesu – nabízíme sledování vývoje legislativy, analýzu dopadů a strategické plánování a komunikaci s orgány veřejné správy s cílem prosazování zájmů vaší organizace.

KONZULTAČNÍ SLUŽBY

Zavedení NIS2 do podnikové praxe často znamená sesouladění předpisů s podnikovými procesy, organizační strukturou, personálním zabezpečením a také technologickou základnou. V praxi se nám při obdobných implementacích velmi osvědčil níže uvedený přístup. V rámci analýz používáme vlastní osvědčené nástroje, které nám umožňují efektivně identifikovat mezery a prioritizovat jednotlivé kroky. Příkladem je Deloitte NIS2 Maturity Assessment Tool i specializovaný NIS2 a ZoKB Maturity Assessment Tool. 

  • Analýza existujících procesů: Provedeme analýzu existujících procesů, aplikací a personálního zabezpečení v kontextu směrnice NIS2.
  • Implementační roadmapa: Navrhneme implementační roadmapu NIS2 zohledňujícího technologickou, procesní a organizační připravenost společnosti. V technologické rovině často doporučujeme využití cloudových služeb a jejich optimální mix pro společnost v kombinaci s tradičním podnikových ICT (např. kombinace AWS, MS Azure, M365 s on-premise infrastrukturou).
  • Další technologie: Provedeme IT, business a finanční posouzení zvažovaných variant.
  • Navrhneme změny: Navrhneme konkrétní změny na úrovni celku, jednotlivých domén a společně validujeme návrhy se zákazníkem.
  • Implementační plán: Připravíme detailní návrh implementačního plánu.

Po přípravě implementační plánu obvykle pomáháme i při implementaci a integraci on-premise a cloud technologií. Právě cloud technologie chápeme jako výrazný akcelerátor zavedení NIS2 do společnosti. Máme praktické zkušenosti z malých i rozsáhlých implementací cloudových služeb M365, Azure, AWS, GCP a řady dalších SaaS cloudových služeb v doméně kybernetické bezpečnosti i při projektech, které výrazně akcentují synergii bezpečnosti a IT s business procesy společnosti.

POMŮŽEME VÁM I S ŘÍZENÍM KYBERNETICKÝCH RIZIK

  • Jak se zapojíme: Společně naplánujeme podobu a hloubku našeho zapojení podle vašich potřeb a očekávání.
  • Kontext vaší firmy: Zmapujeme vaši organizaci, důvody pro zavádění NIS2 či zákony o kybernetické bezpečnosti a personální, finanční a technický kontext.
  • Rozsah činnosti: Finálně určíme rozsah naší činnosti a očekávané výstupy.
  • Shromáždění informací: Shromáždíme informace o kybernetické bezpečnosti ve vaší organizaci, konkrétně o ICT aktivech, souvisejících hrozbách, pracovních rolích a postupech a dalších proměnných.
  • Rizika bezpečnosti: Identifikujeme rizika kybernetické bezpečnosti vztažená na vaši organizaci.
  • GAP analýza: Provedeme GAP analýzu, při níž porovnáme stav kybernetické bezpečnosti s požadovaným cílovým stavem, v tomto případě v plném souladu s NIS2 nebo zákonem o kybernetické bezpečnosti.
  • Bezpečnostní opatření: Společně zavedeme bezpečnostní opatření v oblasti kybernetické bezpečnosti, abychom zmírnili vybraná rizika.
  • Pravidelný kontakt: Opatření doladíme a zpětně zachytíme získané zkušenosti. Ujistíme se, že jsou zavedená opatření udržitelná a budou procházet pravidelným přezkumem.

Brožury na této stránce jsou pouze informativní a byly vytvořeny podle předběžného návrhu novely zákona o kybernetické bezpečnosti z dílny NÚKIB, který byl mezitím přepracován a momentálně je v legislativním procesu. Jeho finální podoba bude známa až na jeho konci.