To je určitě na mnoha úrovních přínosem. Ale stejně tak, jako je tomu v „reálném“ světě kolem nás, tak i v tom virtuálním, když se něco dělá pro dobro lidstva a všeobecný užitek, spolu s tím se ruku v ruce najde spousta lidí, kteří se na této vlně chtějí svézt, a jejich záměr není zdaleka správný.
A tak díky možnostem, které současné IT technologie přináší, na druhé straně dramaticky přibývá nejrůznějších útoků v podobě hackerských útoků, zneužití dat, úniku osobních informací, phishingu, ransomware, sociálního inženýrství a dalších a dalších forem kyberzločinu (viz např. článek ČTK).
Jaký je postoj firem, institucí a občanů obecně? Bohužel stále velice vlažný.
A tím, že kromě několika incidentů, které se podařilo ve větší míře medializovat, jako je např. Benešovská nemocnice nebo útok na ŘSD či z poslední doby např. katastr nemovitostí na Slovensku, je téma pro většinu lidí stále velmi nové, a tak nabývají pocitu, že se jich netýká. Následně tedy ani nepodnikají žádné kroky k zabezpečení svých dat a IT infrastruktury, a tím v podstatě otevírají dveře útočníkům, kteří si je mohou velice snadno najít a udeřit.
A zde se dostáváme k tomu, co je NIS2 a proč existuje.
Kybernetické útoky představují obrovský problém, který velice často přináší mnohamilionové škody a bankroty firem. Dochází k úniku kompletních firemních dat a jejich následné zveřejňování, což může vést k ochromení veřejné správy v oblasti zdravotnictví, dopravy, školství a mnoho jiných.
Tím, že v poslední době takových útoků skutečně prokazatelně exponenciálně přibývá, vzal zákonodárce dění na této úrovni do svých rukou.
Po NIS1, kterou v businessové sféře, kromě největších korporací, v podstatě nikdo zásadněji nezaznamenal, vydává Evropská komise směrnici NIS2 (Network and Information Systems Directive 2; Směrnice (EU) 2022/2555 přijata dne 27. prosince 2022), která má přinést zásadní změny, a na jejím základě vznikají konkrétní povinnosti pro členské státy a dotčené subjekty.
Je zde tedy konkrétní snaha nastavit pravidla toho, co se má považovat za standard zabezpečení, kdo ho musí dodržovat a jak se bude dodržování kontrolovat.
A pokud nebudou subjekty konat to, co je jim uloženo, může kontrolní orgán uložit pokuty v astronomické výši (až 10mil. EUR nebo 2% z celkového ročního celosvětového obratu.).
Na úrovni členských států EU pak vzniká pro vlády povinnost vydání prováděcího předpisu. V našich podmínkách je to pak zákon
č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a v návaznosti pak vyhláška č. 82/2018 Sb. Vyhláška o kybernetické bezpečnosti, které stále čekají na svoji novelizaci, na které se pracuje.
Pokud se budeme bavit na úrovni soukromého sektoru, povinnost vzniká na úrovni dvou kritérií. Jednak je to velikost firmy (povinné jsou subjekty nad 50 zaměstnanců), a zároveň se jedná o subjekty, které působí v jednom z taxativně vyjmenovaných segmentů, které zákonodárce vyhodnotil jako klíčové, kde je ochrana nezbytná (zdravotnictví, IT a další). Směrnice nadále rozlišuje mezi tzv. základními
a důležitými subjekty.
Obecně je stále předmětem vášnivých debat, zda a v jakém rozsahu má subjekt povinnost splnit požadavky NIS2. Je třeba říci, že řada subjektů nemá v této oblasti doposud zcela jasno. S tímto problémem se snažil pomoci NÚKIB na svých stránkách zde prostřednictvím své „kalkulačky“. Minimálně pro základní přehled určitě užitečný nastroj.
Důvodem je, že prováděcí předpisy v ČR stále čekají na svou novelizaci, která byla v poslední době opět odložena.
Pro aktuální informace o tom, zda Vaší firmě vzniká povinnost řídit se směrnicí NIS2 a jak konkrétně, nás můžete kontaktovat, rádi Vám pomůžeme se stanovením toho, jaké povinnosti Vám vznikají, nebo naopak nevznikají.
Povinností, které NIS2 ukládá soukromoprávním subjektům, je celá řada a smyslem tohoto článku není je tady nyní všechny rozebírat. Jedná se rámcově o povinnost registrace povinného subjektu, zavedení bezpečnostních opatření, povinnost hlásit kybernetické incidenty, vést záznamy a dokumentace, určení odpovědných osob atd.
Co je naopak klíčové zmínit, je fakt, že na rozdíl od jiných předpisů podobného charakteru, se kterými jsme se setkávali v minulosti, u NIS2 NELZE SPLNIT POŽADAVKY, KTERÉ SMĚRNICE UKLÁDÁ, POUHÝM ZAKOUPENÍM UNIVERZÁLNÍHO PRODUKTU/ŘEŠENÍ.
Toto je velmi důležité pochopit, protože řada firem prezentuje svůj zázračný produkt, při jehož zakoupení budete mít vše splněno a kontroly se Vám budou obloukem vyhýbat.
TO OVŠEM NEMŮŽE BÝT DÁLE OD PRAVDY.
NIS2 má velice široký záběr a zabývá se velmi komplexním tématem IT a IT bezpečnosti, kde je při realizaci požadavků, které firmě vznikají, vyžadován ZCELA INDIVIDUÁLNÍ PŘÍSTUP ke každému klientovi. Konzultanti, kteří ve firmě NIS2 zavádí, musí mít hluboké znalosti z oblasti IT a kybernetické bezpečnosti, spolu se znalostí právních aspektů NIS2 a související legislativy na poli kyberbezpečnosti, včetně zkušenosti s vedením IT dokumentace a auditem.
Každá firma je co do IT infrastruktury unikátní a používá jiné produkty a řešení, a proto je naprosto klíčové zprvu provést vstupní analýzu, ze které vznikne navrhovaný postup řešení, který se může následně realizovat.
K otázce termínu, ke kterému jsou subjekty povinny realizovat požadovaná opatření, je nutné sledovat vývoj na úrovni legislativního procesu, konkrétně zákona č. 181/2014 Sb. Zákon o kybernetické bezpečnosti, který stále čeká na svou novelizaci. Poslední datum bylo opět odsunuto, a tak do té doby, než tato nabude účinnosti, se můžeme jen domnívat.
Obecně se ale dá předpokládat, že v následujících měsících bude novela zákona uvedena, poté se budou muset povinné subjekty registrovat u příslušného úřadu a budou mít 1 rok na zavedení požadovaných opatření a splnění povinností vyplývajících z NIS2.
Pokud bychom tedy měli uvést hrubý odhad, můžeme se bavit o druhé polovině roku 2026, kdy by se teoreticky mohly povinnosti vyplývající z NIS2 stát vymahatelnými.
Je ovšem nutné myslet na to, že proces zavádění opatření je ve valné většině případů velmi časově a organizačně náročný,
a proto je důležité nepodcenit čas na přípravu.
Naši konzultanti mají bohaté zkušenosti na poli IT a jsou pravidelně školeni a certifikováni. Tím, že jsou v úzkém kontaktu s hlavními orgány, které nastavují pravidla kyberbezpečnosti v ČR a následných kontrol, máme veškeré potřebné informace k tomu, abychom správně vyhodnotili situaci u klienta a navrhli vhodné řešení, které bude plně v souladu s povinnostmi, které nová legislativa přináší.
Na rozdíl o jiných společností, nabízejících zavedení NIS2, naši konzultanti přistupují ke každému klientovi s individuální péčí. Prvním krokem je nezbytná důsledná analýza stavu IT ve firmě klienta, kde podrobně procházíme jednotlivé části IT infrastruktury, definujeme aktiva, stávající míru zabezpečení a dokumentace. Po zpracování získaných informací z úvodní analýzy prezentujeme klientovi jeho povinnosti z pohledu NIS2 a navrhovaná řešení. U návrhů se neomezujeme pouze na jeden, ale rádi prezentujeme více variant řešení, spolu s vysvětlením výhod každé z nich. V průběhu realizace průběžně informujeme klienta o aktuálním stavu a striktně dodržujeme osobní přístup, tj. zodpovědné osoby za realizaci jsou vždy dostupné na telefonu, e-mailu a účastní se pravidelných schůzek.
O výsledku realizace se vypracuje závěrečná zpráva, popisující realizovaná řešení a finální stav.
Po dokončení realizace jsme i nadále dostupní a otevřeni dalším možnostem spolupráce.
V případě kontroly budeme osobně přítomni tak, abychom zabezpečili její bezproblémový průběh.
Pokud máte zájem třeba i jen o nezávaznou schůzku, kde bychom se o otázkách kyberbezpečnosti pobavili, stačí, když nám na sebe necháte kontakt a my se Vám do 24 hodin ozveme