Směrnice NIS 2: Nové povinnosti v oblasti kybernetické bezpečnosti pro firmy

DomovBlogSměrnice NIS 2: Nové povinnosti v oblasti...
Blog

Směrnice NIS 2: Nové povinnosti v oblasti kybernetické bezpečnosti pro firmy

V dnešní digitální éře je kybernetická bezpečnost klíčovou prioritou pro firmy všech velikostí. S narůstajícím počtem kybernetických útoků a rostoucí závislostí na technologiích se stává nezbytností zavedení opatření na ochranu systémů a údajů.

Evropská unie reaguje na tuto výzvu přijetím směrnice NIS 2 (Network and Information Systems Directive), která stanoví nová pravidla pro zvýšení kybernetické bezpečnosti. Tato legislativa je navržena tak, aby posílila odolnost a bezpečnost sítí a informačních systémů v členských státech EU. Česká republika směrnici NIS 2 transponuje přijetím zákona č. 264/2025 Sb., o kybernetické bezpečnosti, který vstoupí v platnost od 1. 11. 2025. V článku se dozvíte, jaké změny směrnice přináší, na koho se vztahuje a jak se na ni připravit.směrnice přináší, na koho se vztahuje a jak se na ni připravit.

Co je směrnice NIS 2?

Směrnice NIS 2 je legislativní akt Evropské unie, který navazuje na původní směrnici NIS 1 přijatou v roce 2016. Jejími hlavními cíli jsou:

  • Zvýšenie kybernetickej odolnosti: Zavedenie povinných opatrení na ochranu pred kybernetickými hrozbami.
  • Zlepšení spolupráce: Podpora výměny informací mezi státy a firmami.
  • Zvýšení povědomí: Rozšiřování znalostí o kybernetických rizicích a řešeních.
  • Rozšíření působnosti: Zapojení širšího spektra sektorů a organizací včetně kritické infrastruktury a digitálních služeb.

Rozdíly oproti předchozí směrnici:

  • Rozšířený rozsah: Směrnice se vztahuje na širší okruh sektorů, včetně digitálních služeb a kritické infrastruktury.
  • Přísnější požadavky: Firmy musí podrobněji řídit rizika a hlásit incidenty.
  • Vyšší sankce: Nedodržování pravidel může vést ke značným pokutám.

Jaké nové povinnosti přináší směrnice NIS 2?

Pro firmy směrnice stanoví několik klíčových povinností:

  • Řízení rizik: Zavedení systémů pro identifikaci, hodnocení a zmírňování kybernetických rizik.
  • Hlášení incidentů: Povinnost předběžného (včasného) hlášení kybernetického incidentu národním autoritám do 24 hodin od jeho zjištění a 72 hodin od zjištění jsou povinni hlásit oznámení o KB incidentu.
  • Bezpečnostné opatrenia: Zavedenie technických a organizačných riešení, ako je šifrovanie, firewall, plány obnovy a ich testovanie, zálohovanie údajov alebo monitorovanie incidentov a iné.
  • Vzdelávanie: Pravidelné školenia zamestnancov o najnovších kybernetických hrozbách a postupoch.
  • Spolupráca: Firmy by mali aktívne komunikovať s autoritami a ostatnými organizáciami v oblasti kybernetickej bezpečnosti.

Směrnice NIS 2 (Network and Information Systems Directive) se vztahuje na široké spektrum subjektů, které jsou rozděleny do dvou hlavních kategorií: klíčové subjekty – provozující kritickou základní službu a důležité subjekty – ostatní provozovatelé základních služeb. Tyto kategorie pokrývají organizace, jejichž činnost má zásadní význam pro ekonomiku, bezpečnost a společnost v rámci Evropské unie.

Klíčové subjekty

Jsou považovány za strategicky nejdůležitější a jejich výpadek může mít významný dopad na fungování společnosti. Patří sem:

  • Energetika: Elektřina, ropa, plyn, dálkové vytápění a vodík.
  • Doprava: Letecká, železniční, vodní a silniční doprava.
  • Bankovnictví a infrastruktura finančních trhů.
  • Zdravotnictví: Včetně výroby farmaceutických výrobků.
  • Zásobování pitnou vodou a zpracování a distribuce vody.
  • Digitální infrastruktura: poskytovatelé DNS, cloudových služeb, datových center, obsahových sítí.
  • Řízení služeb IKT: Spravované služby a bezpečnostní služby.
  • Veřejná správa
  • Kosmický prostor

Důležité subjekty

Mají významný vliv na bezpečnost a odolnost společnosti, ale jejich výpadek není až tak kritický jako u klíčových subjektů. Patří sem:

  • Poštovní a kurýrní služby.
  • Výroba (zdravotnických pomůcek, elektro, stroje a zařízení, motorová vozidla apod.)
  • Výroba a distribuce chemických látek.
  • Potravinářské podniky.
  • Odpadové hospodářství
  • Poskytovatelé digitálních služeb.
  • Výzkum

Další kritéria pro určení povinných subjektů

Směrnice NIS 2 se nevztahuje pouze na odvětví, ale také na konkrétní firmy na základě:

  • Velikosti organizace: pokud jsou minimálně středním podnikem (min. 50 zaměstnanců a obrat nebo rozvaha 10 milionů Eur a více).
  • Kritičnosti jejich služeb: Subjekty poskytující služby zásadní pro fungování společnosti a ekonomiky.
  • Rizikového profilu: Organizace, jejichž činnost představuje vyšší kybernetické riziko.

Jak zajistit soulad s požadavky?

Na zabezpečenie súladu so smernicou NIS 2 je potrebné vykonať audit aktuálneho bezpečnostného stavu, aby sa identifikovali slabé miesta v bezpečnosti. Následne je potrebné vypracovať plán riadenia rizík, ktorý zahŕňa stratégiu na ich zmierňovanie. Firmy by mali implementovať technické opatrenia, ako sú firewally, šifrovanie či monitoring sietí, pravidelne vzdelávanie zamestnancov prostredníctvom školení a iné. Dôležitou súčasťou je aj spolupráca s národnými autoritami (Národný bezpečnostný úrad – NBÚ) a externými odborníkmi.

Nedodržování směrnice může mít pro firmy vážné důsledky. Mezi ně patří riziko vysokých pokut, jejichž výše závisí na závažnosti porušení. Firmy mohou čelit i právním sporům, které mohou negativně ovlivnit jejich reputaci. Kromě toho může nedostatečná bezpečnost vést ke ztrátě důvěry zákazníků a obchodních partnerů, což může oslabit obchodní vztahy.

Směrnice představuje příležitost pro firmy zlepšit svá bezpečnostní opatření a zvýšit odolnost vůči kybernetickým hrozbám. I když implementace může být náročná, investice do kybernetické bezpečnosti přináší dlouhodobé výhody. Chcete-li zajistit, že vaše firma splňuje požadavky směrnice NIS 2 a novelizace zákona České republiky, obraťte se na ECTA, s.r.o.