Teroristické útoky totiž už dávno nemusí mít jen přímou podobu jako útoky Al-Káidy na „dvojčata“ newyorského Světového obchodního centra či ruské armády na jadernou elektrárnu v ukrajinském Záporoží. Hackerské útoky dnes dovedou potenciálně mnohem elegantněji (a přitom nikterak méně destruktivně) vyřadit z provozu široké spektrum klíčové infrastruktury kteréhokoli ze států EU.
Na směrnici NIS1 (Network and Information Security) o síťové a informační bezpečnosti z roku 2016, jež byla první zásadní vlaštovkou na unijní kyberbezpečnosti, od roku 2024 naváže nová směrnice NIS2. Ta bude jednak mnohem přísnější, jednak se bude týkat nikoli již pouhých stovek našich institucí a firem, ale úhrnem jich jen u nás bude více než 6 000.
Stručně řečeno jsou hlavními cíli NIS2 sjednocení strategií států EU v boji proti kybernetickým hrozbám a zvýšení kybernetické bezpečnosti. Samozřejmě, po schválení směrnice vždy následuje období pro implementaci do legislativ jednotlivých států. Nové povinnosti budou ale tak zásadní, že není možné oddalovat přípravu na ně, pokud se vás budou týkat.
Koho NIS2 zasáhne
Mezi organizace spadající pod regulaci NIS2 patří třeba instituce v bankovnictví, energetice, dopravě, zdravotnictví, potravinářství či petrochemii, ale i v odpadovém hospodářství. Týká se přirozeně též poskytovatelů digitálních a informačních služeb, provozovatelů datových center, veřejné správy a pošty.
Zařazené subjekty jsou rozděleny do dvou skupin – essential entities a important entities (tedy základní a důležité subjekty). Přísnější požadavky budou na základní organizace, kterých je zhruba tisíc, jako jsou třeba nemocnice, elektrárny či letiště. Důležitých organizací, na něž se vztahují méně striktní pravidla, bude kolem pěti tisíc. Zde půjde třeba o kurýrní služby, odpadový či chemický průmysl.
Směrnice dopadne i na odvětví dosud nepolíbené zákonným dohled nad svým kyberzabezpečením. Jde třeba o odpadní vody či poskytovatele veřejných ICT služeb. Česká republika bude směrnici teprve zavádět, a to pomocí novely zákona o kybernetické bezpečnosti.
Povinnosti
Subjekty dotčené NIS2 budou muset přijmout technická a organizační opatření ke zvýšení síťové a informační bezpečnosti. Nejde o žádné zásadní inovace, spíše o sjednocení užívání dílčích segmentů bezpečnosti. Na běžný pořad dne se tak dostanou například analýza rizik, dbání na odolnost vnitřní sítě a informačních systémů, důsledné šifrování a prevence či neodkladné řešení incidentů a efektivní prostředky krizového řízení. Stěžejní bude nově též zabezpečení dodavatelského řetězce, směrnice též přenese příslušnou přímou odpovědnost na statutární orgány firem.
Pro zmíněné organizace z toho vyplyne zavádění interních procesů, jako jsou bezpečnostní dokumentace či vzdělávání uživatelů. Také doplnění určitých technologií či zlepšení stávajících, například programy na vyhodnocování incidentů. Subjekty již podchycené směrnicí NIS však budou celkem v klidu, ty budou především optimalizovat stávající situaci, větší nápor čeká na dosud neregulované organizace.
Výrazný nárůst počtu regulovaných organizací zasáhne i personál NÚKIB (Národního úřadu pro kybernetickou a informační bezpečnost). Ten jednak bude muset navýšit počet zaměstnanců, jednak se bude muset o to více opřít o technologie a automatizaci.
Sankce
NÚKIB se nechal dopředu slyšet, že primárně půjde zpočátku spíše cestou konzultací a metodické podpory než razantních pokut. Ostatně mnohé podniky si již uvědomují, že kyberbezpečnost není sprosté slovo a že respektování příslušných směrnic je pro podniky zdravé i jinak než preventivně. Optimalizované IT procesy jsou přece přehledné a efektivní. A bezpečné.
Mnohé podniky u nás jsou již dnes bezpečnostně řešeny na světové úrovni, například elektrárny či část automatizovaných dopravních provozů. Ale ke konkrétní výši hrozících sankcí lze říci, že fatální prohřešky proti NIS2 budou moci být pokutovány částkou až 10 000 000 eur nebo dvěma procenty z obratu organizace dosaženého v předchozím roce.
Více podrobností o NIS2 naleznete na přehledném webu NÚKIB.