17 září 2022
Směrnice NIS 2 (Network and information system)
Doby, kdy největší bezpečnostní hrozbou pro vás či vaše podnikání byl svalovec s kuklou a zbraní, jsou dávno pryč. Záporáky současné doby jsou nově náctiletí počítačoví mágové, kteří dokáží z pohodlí svého domova (tedy spíše domova svých rodičů) trápit technologické giganty, jako jsou firmy Microsoft neboNvidia. Nebo ve větším měřítku státy kontrolované nebo podporované hackerské skupiny, které se neštítí v době covidu vyřadit z provozu třeba i nemocnice.
Cílem zavedení směrnice NIS2, je dosáhnout vysoké společenské úrovně kyberbezpečnosti ve všech členských státech EU a způsobí velkou kvalitativní změnu v této oblasti,.
Co NIS2 přináší a jak se na ni připravit?
Opravdu významnou změnu představuje rozšíření počtu organizacích (povinných subjektů), které budou muset plnit náležitosti zákona a vyhlášky o kybernetické bezpečnosti (ZoKB a VoKB). Nově bude těchto subjektů v řádu tisíců a nachází se zde jak organizace z veřejné správy, tak soukromého sektoru.Jedním z hlavních důvodů je rozšíření odvětví, na která se legislativa o kybernetické bezpečnosti vztahuje. Nově do této skupiny povinných subjektů patří např. firmy zabývající se potravinářstvím, výrobou, dodávkou pitné vody, odpadovým hospodářstvím apod.
Přestože na nás může směrnice NIS2 působit jako strašák, je potřeba se na ni dívat jako na příležitost, která by měla zajistit zvýšení úrovně bezpečnosti v organizaci. Zásady, doporučení a opatření, které z NIS2 vyplývají, je třeba implementovat do reálného provozu každé organizace.Např. povinnost zpracovávat analýzu rizik - která umožní jednoduše vydefinovat a ohodnotit všechna aktiva, upozornit na jednotlivá rizika, vyhodnotit je a navrhnout konkrétní opatření na jejich snížení.
Neignorujme cybersecurity!
Covid: hackeři útočí na nezabezpečené nemocnice. Ukrajina: ruští hackeři útočí na vše demokratické. Hlášení cen paliv: hackeři zaútočili na aplikaci ministerstva financí. I přesto, bohužel, mnozí význam kyberbezpečnosti podceňují. A právě pro ně tu je z dílny EU nová regulace, kterou se doslova nevyplatí ignorovat.
NIS2 má za cíl rozšířit oblast působnosti aktuálně platné a účinné směrnice o opatřeních pro vysokou společnou úroveň bezpečnosti sítí a informačních systémů celé EU (směrnice NIS) NIS2 má NIS přizpůsobit aktuálním potřebám vyplývajícím ze stále rychlejší digitální transformace ve společnosti, neboť úprava vycházející z NIS se dnes jeví jako nedostatečná a nejednotná. Na české legislativní úrovni se v návaznosti na směrnici NIS2 předpokládá rozšíření působnosti zákona o kybernetické bezpečnosti.
Jaké hlavní změny návrh směrnice NIS2 přináší?
V první řadě jde o rozšíření okruhu subjektů, na něž se má návrh směrnice NIS2 vztahovat, a to tak, aby bylo zajištěno komplexní pokrytí všech odvětví a služeb, které mají zásadní význam pro klíčové společenské a hospodářské činnosti v rámci vnitřního trhu EU.
Dosud se povinnosti dle platné a účinné směrnice NIS vztahují na dvě skupiny subjektů – na tzv. provozovatele základních služeb a poskytovatele digitálních služeb. Tyto subjekty musí ze zákona zavádět fungující systémy kyberbezpečnosti, které mimo jiné zahrnují způsob reakce na kybernetické hrozby nebo řešení nastalých bezpečnostních incidentů. Mezi provozovatele základních služeb se řadí vybrané subjekty z následujících odvětví:
energetika (elektřina, ropa, zemní plyn),
doprava (letecká, železniční, vodní, silniční),
bankovnictví (úvěrové instituce),
infrastruktura finančních trhů,
zdravotnictví (zdravotnická zařízení, včetně nemocnic a soukromých klinik),
dodávky a rozvody pitné vody (dodavatelé a distributoři),
digitální infrastruktura (výměnné uzly internetu (IXP),
poskytovatelé služeb systému doménových jmen (DNS),
registry internetových domén nejvyšší úrovně (TLD).
K poskytovatelům digitálních služeb, se pak řadí subjekty poskytující služby v následujících oblastech: online tržiště, internetové vyhledávače, služby cloud computingu.
Směrnice NIS2 však dotčené oblasti značně rozšiřuje a zároveň mění i terminologii. Místo dělení subjektů na provozovatele základních služeb a poskytovatele digitálních služeb mají být nově subjekty děleny na základní a důležité, a to v návaznosti na kritickou důležitost daného odvětví/služby a úroveň závislosti jiných odvětví/služeb na daném odvětví.
Pokud jde o základní subjekty, sem budou řazeny vybrané subjekty označené výše jako provozovatelé základních služeb dle směrnice NIS a k tomu navíc ještě:
v odvětví energetiky – pododvětví dálkového vytápění a chlazení a také vodíku (provozovatelé výroby, skladování a přepravy vodíku),
do odvětví zdravotnictví se budou vedle zdravotnických zařízení nově řadit také referenční laboratoře EU, subjekty provádějící výzkum a vývoj léčivých přípravků, subjekty vyrábějící základní farmaceutické výrobky a přípravky a zdravotnické prostředky považované za kritické v případě ohrožení veřejného zdraví),
vedle odvětví pitné vody se přidává i odvětví odpadní vody,
do odvětví digitální infrastruktury se nově řadí také poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, služeb vytvářejících důvěru, veřejných sítí elektronických komunikací, služeb elektronických komunikací (jsou-li jejich služby veřejně dostupné),
nově se sem řadí také subjekty v odvětví veřejné správy (ústřední subjekty veřejné správy, orgány samosprávy), a vesmíru (pozemní infrastruktury podporující využívání kosmického prostoru).
Pokud jde o důležité subjekty, sem budou patřit následující odvětví:
poštovní a kurýrní služby,
nakládání s odpady,
výroba, produkce a distribuce chemických látek,
výroba, zpracování a distribuce potravin,
výroba (zdravotnických prostředků a diagnostických zdravotnických prostředků in vitro; počítačů, elektronických a optických přístrojů a zařízení; elektrických zařízení; strojů a zařízení j.n. (tj. strojů a zařízení, které mechanicky nebo tepelně působí na materiály nebo na materiálech provádějí výrobní procesy); motorových vozidel; přívěsů a návěsů a ostatních dopravních prostředků a zařízení),
digitální služby (poskytovatelé online tržišť, internetových vyhledávačů a platforem služeb sociálních sítí).
Vedle přidání nových odvětví na základě jejich ekonomické a společenské kritičnosti návrh směrnice NIS2 zároveň přidává kritérium velikosti subjektu. Z něho vyplývá, že do působnosti směrnice budou zahrnuty všechny střední a velké podniky ve vybraných odvětvích, na něž se má vztahovat směrnice NIS2.
Velikost podniku bude posuzována ve smyslu doporučení Komise 2003/361/ES, které stanovuje kritéria pro určení toho, zda je určitá společnost mikropodnik, malý nebo střední podnik, a to následovně:
mikropodnik – má méně než 10 zaměstnanců a roční obrat (finanční částka získaná za určité období) nebo rozvahu (výkaz aktiv a pasiv společnosti) do 2.000.000 eur,
malý podnik – má méně než 50 zaměstnanců a roční obrat nebo rozvahu do 10.000.000 eur,
střední podnik – má méně než 250 zaměstnanců a roční obrat do 50.000.000 eur nebo rozvahu do 43.000.000 eur,
(pozn. z povahy věci je pak za velký podnik považován ten, který má nad 250 zaměstnanců nebo bilanční suma jeho roční rozvahy přesahuje 43.000.000 eur nebo roční obrat přesahuje 50.000.000 eur).
Z výše uvedeného je zřejmé, že nová úprava má dopadnout na opravdu rozsáhlý okruh subjektů (očekává se dopad na tisíce nově povinných subjektů). Právě tento aspekt byl, a stále je, jedním z největších předmětů diskusí, které vyvstaly v procesu přijímání směrnice NIS2. Je totiž otázkou, zda lze u všech dotčených subjektů shledávat potřebnou míru společenského, kritického nebo ekonomického významu, aby byla ospravedlnitelná míra finanční a administrativní zátěže, kterou s sebou povinnosti vyplývající z návrhu směrnice jistě přinesou.
Jaké povinnosti budou na dotčené subjekty kladeny?
V první řadě je v návrhu směrnice NIS2 stanovena povinnost základních subjektů přijmout vhodná, přiměřená a odpovídající technická a organizační opatření k řízení bezpečnostních rizik], jimž čelí sítě a informační systémy, které tyto subjekty používají při poskytování svých služeb. Součástí opatření má být i posouzení a řízení bezpečnostních rizik vyplývajících z dodavatelských řetězců a dodavatelských vztahů, a to s přihlédnutím jak k technickým, tak netechnickým faktorům .Opatření k řízení rizik v oblasti kybernetické bezpečnosti přitom mají zahrnovat alespoň následující aspekty:
analýzu rizik a politiku bezpečnosti informačních systémů;
řešení incidentů (prevence a odhalování incidentů a reakce na ně);
řízení kontinuity provozu a krizové řízení;
zabezpečení dodavatelského řetězce včetně bezpečnostních aspektů týkajících se vztahů mezi každým subjektem a jeho dodavateli nebo poskytovateli služeb, jako jsou poskytovatelé služeb ukládání a zpracování dat nebo řízených bezpečnostních služeb;
zabezpečení pořizování, vývoje a údržby sítě a informačních systémů, včetně zveřejňování informací o zranitelnostech a jejich řešení;
politiky a postupy (testování a audit) za účelem posouzení účelnosti opatření k řízení rizik v oblasti kybernetické bezpečnosti;
používání kryptografie a šifrování.
Opatření nastavená těmito dotčenými subjekty budou schvalovat jejich vedoucí orgány. Tyto také mají dohlížet na jejich uplatňování a nést odpovědnost za neplnění povinností dotčeného subjektu vyplývajících z návrhu směrnice NIS2. Za účelem získání dostatečných znalostí a dovedností v oblasti kybernetické bezpečnosti mají členové vedoucího orgánu pravidelně absolvovat školení .
Dále mají mít dotčené subjekty povinnost neprodleně oznamovat každý incident, který má závažný dopad na poskytování jejich služeb. Podle návrhu budou muset hlásit i každou významnou kybernetickou hrozbu, kterou tyto subjekty zjistí, a která by mohla mít za následek významný incident Subjekty by měly informovat příslušné orgány nebo tým CSIRT (computer security incident response team splňující požadavky stanovené v čl. 10 návrhu směrnice NIS2) a v určitých případech i příjemce svých služeb ….
Jaké hrozí pokuty za zanedbání kybernetické bezpečnosti?
Směrnici NIS2 je nutné věnovat pozornost nejen proto, že kybernetická bezpečnost je dnes ohrožována více než kdy dříve, a plnění povinností dle návrhu směrnice má přispět k lepšímu zajišťování kybernetické bezpečnosti na národní i nadnárodní úrovni. Přípravě na NIS2 by se subjekty měly začít věnovat i kvůli tomu, že za nedodržení některých pravidel stanovených směrnicí (zejm. přijetí opatření k řízení bezpečnostních rizik a plnění oznamovací povinnosti) má hrozit pokuta ve výši minimálně 10 mil.eur (nebo 2 procenta z celkového celosvětového ročního obratu podniku, ke kterému patřil základní nebo důležitý subjekt v předchozím rozpočtovém roce – podle toho, co je vyšší).
Osobně nejsem ve většině případů velkým fandou rozsáhlé regulace, směrnici NIS 2 ale považuji za krok správným směrem. Jak nám dennodenně ukazuje Putinův teroristický režim, kybernetické útoky jsou cestou, jak napadat státy a jejich občany v době války i míru. I proto je nadmíru důležité nastavit vysokou společnou úroveň kybernetické odolnosti napříč celou Evropskou unií. Zejména pak v případě sektorů zásadních pro společnost a její fungování. A právě to je smyslem této právní úpravy.
Co mnohé firmy a orgány veřejné správy čeká?
V rámci přípravy na nové zákonné povinnosti a v zájmu zajištění vyšší míry kybernetické bezpečnosti zákazníkům v prvé řadě doporučujeme provést komplexní audit Kyber bezpečnosti , v rámci něhož se zmapuje současný stav dané organizace z právního, organizačního i technického hlediska. Identifikují se bezpečnostní opatření, která by firma jak ze zákonného, tak bezpečnostního hlediska měla zavést a následně se implementují. Kyberbezpečnostní audit by neměl být pouze zhodnocením technického zabezpečení, ale také posouzením organizační připravenosti firmy čelit kybernetickým útokům a incidentům, včetně úrovně vzdělanosti zaměstnanců v oblasti jejich prevence. Vždy tak firmám také doporučujeme školení zaměstnanců a vedoucích osob a následné nastavení jejich kontinuálního vzdělávání. Přes 80 % všech hackerských útoků totiž využívá chyb zaměstnanců.
Zavedení řízení rizik a incidentů
Ve smyslu NIS 2 firmám zejména doporučujeme zavést efektivní systém řízení rizik a incidentů. V případě řízení incidentů se jedná o zavedení systému pro prevenci, detekci a reakci na incidenty, jako jsou například incidenty spojené s ransomwarovými útoky, které jsou v současné ransomwarové pandemii pro firmy obří hrozbou. Vybrané firmy také budou mít nově oznamovací povinnost, kdy musí neprodleně (dle předpokladů do 24 h) oznamovat Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) každý kyberbezpečnostní incident, který bude mít závažný dopad na poskytování jejich služeb.
V případě řízení rizik pak bude stěžejní roli hrát tzv. analýza rizik, která by měla doprovázet jakékoli pro bezpečnost relevantní rozhodnutí ve společnosti. V rámci analýzy rizik firma vyhodnocuje rizika, která mohou mít dopad na bezpečnost firmy a její činnosti, jako je například dlouhodobá schopnost poskytovat své služby bez výpadků. Významné v tomto ohledu bude hodnocení technických i netechnických rizik spojených s dodavateli a jejich dodavatelskými řetězci.
Odpovědnost statutárních orgánů
Směrnice NIS 2 také zavede přímou odpovědnost statutárních orgánů za zavedení kyberbezpečnostních opatření a jejich dodržování. Nebude tak dostačující problematiku kybernetické bezpečnosti delegovat na firemní IT oddělení, ale vedení firmy se bude muset o kybernetickou bezpečnost ve vlastním zájmu samo zajímat, jinak mohou za případný kybernetický incident nést přímou odpovědnost. A ta s ohledem na vysoké sankce uvedené v návrhu NIS 2 může být velmi bolestná.
Znamená to vyšší náklady pro firmy?
Implementace povinností spojených s přijetím směrnice NIS 2 bude jistě znamenat vyšší náklady a administrativní zátěž pro soukromé firmy i orgány veřejné správy, které doposud žádné kyberbezpečnostní povinnosti nezavazovaly. Jak uvedlaKateřina Kalužová, manažerka pro digitální ekonomiku Svazu průmyslu a dopravy ČR, „musíme si uvědomit, že ne každá firma má finanční prostředky či personální kapacity na budování speciálních útvarů, které se této problematice budou věnovat.“ V tomto ohledu bude velmi důležité, aby byl stát firmám co nejvíce nápomocný a ve většině případů shovívavý. S nesplněním povinností bude totiž spojená nezanedbatelná pokuta. V tomto ohledu bude hrát ústřední roli NÚKIB, který se již nyní na implementaci směrnice NIS 2 připravuje. V některých případech bude také záležet na způsobu transpozice směrnice, kdy považuji za důležité, aby se zejména limitovala administrativní zátěž pro dotčené subjekty, s níž jsou mnohdy spjaty největší náklady.
Kybernetickou bezpečností se tak ve firmě či instituci bude zabývat opravdu každý. Od řadových zaměstnanců až po vedení firmy.
NIS 2 potvrdí tezi, že CBS musí řešit vedení firem a institucí. Přijatá opatření totiž budou muset přímo schvalovat a ponesou za ně odpovědnost v souladu se zásadou péče řádného hospodáře vedoucí orgány daných subjektů. Nejde totiž jen o zavedení technických opatření, ale i organizačních a právních, která na firemní IT oddělení prostě není možné delegovat.
Kdy byste se tím měli začít zabývat?
S ohledem na zvyšující se počet kyberbezpečnostních incidentů a hlavně na zvyšující se náklady, které s sebou nesou, se vyplatí kybernetickou bezpečností zabývat hned. Podle studie společnosti IBM ve spolupráci s Ponemonovým institutem byly loni průměrné ztráty z jednoho kyberbezpečnostního incidentu 4,24 miliony dolarů, což je o deset procent víc než v roce 2020. Dobrým začátkem je školení zaměstnanců a managementu. Přes 80 % hackerských útoků totiž využívá chyb lidí.
Zabývat se plošně kybernetickou bezpečností je totiž opravdu na místě. Pokud se tedy firma nechce nechat vydírat totalitními hackery nebo náctiletými kluky.Přestože dosud není definitivně implementována NIS 2 do české zákoné normy , doporučujeme přípravu nepodcenit. V ČR dlouhodobě chybí odborníci na kybernetickou bezpečnost a nelze tak spoléhat na to, že i “za pět dvanáct” bude snadné najít odbornou pomoc.