Jste připraveni na NIS2?
O evropské směrnici NIS2, zaměřené na kybernetickou bezpečnost, jste už pravděpodobně slyšeli. Možná však nevíte, že termín pro její implementaci do českého právního řádu již uplynul v říjnu 2024. Přestože Česká republika tento termín nestihla, očekává se, že nový zákon o kybernetické bezpečnosti, který směrnici transponuje, vstoupí v platnost v polovině roku 2025. Firmy tak budou mít povinnost řídit se novými pravidly již v průběhu tohoto roku. Co to pro vás znamená a co je třeba vyřešit? Máme odpovědi.
Důležité otázky a odpovědi na jednom místě
Jsou české firmy připraveny?
Odpověď bohužel není příliš pozitivní. Podle průzkumu společnosti EY Česká republika by požadavky směrnice NIS2 aktuálně splnila pouze 2 % českých společností. Mnoho firem směrnici buď neřeší vůbec, nebo se domnívá, že se jich netýká. Nízká informovanost je dalším problémem; až 72 % respondentů nedávného průzkumu uvedlo, že o NIS2 dosud neslyšeli. Podcenění přípravy na novou legislativu může mít pro firmy vážné důsledky.
Co to vlastně je NIS2?
NIS2 (Network and Information Security 2) je aktualizovaná evropská směrnice zaměřená na posílení kybernetické bezpečnosti v členských státech EU. Jejím cílem je zvýšit odolnost organizací vůči kybernetickým útokům a sjednotit úroveň bezpečnosti napříč Evropou. Směrnice rozšiřuje okruh subjektů, na které se vztahuje, a zavádí přísnější požadavky na zabezpečení informačních systémů. Za nesplnění těchto požadavků hrozí vysoké sankce, které mají motivovat firmy k aktivnímu přístupu ke kybernetické bezpečnosti.
Jaké požadavky bude třeba splnit?
Směrnice NIS2 klade důraz na několik klíčových oblastí:
- Řízení rizik: Pravidelné hodnocení a řízení kybernetických rizik.
- Bezpečnostní opatření: Implementace technických a organizačních opatření k ochraně informačních systémů.
- Hlášení incidentů: Povinnost hlásit kybernetické incidenty relevantním orgánům v stanovených lhůtách.
- Dodavatelské řetězce: Zajištění bezpečnosti v rámci celého dodavatelského řetězce.
- Sankce: Za nedodržení povinností hrozí pokuty až do výše 10 milionů eur nebo 2 % z celosvětového ročního obratu firmy, podle toho, která částka je vyšší.
Kolika firem se směrnice týká?
Odhaduje se, že v České republice se směrnice NIS2 dotkne přibližně 6 000 subjektů, včetně organizací z kritických sektorů, jako jsou energetika, doprava, zdravotnictví, finance a digitální infrastruktura. Mnoho z těchto firem však dosud nepřijalo potřebná opatření k dosažení souladu s novými požadavky. Nedodržení směrnice může vést nejen k finančním postihům, ale také k poškození reputace a ztrátě důvěry zákazníků či obchodních partnerů.
Co by měly firmy udělat?
- Monitorovat a aktualizovat: Průběžně sledovat stav kybernetické bezpečnosti a přizpůsobovat opatření aktuálním hrozbám.
- Informovat se: Seznámit se s požadavky směrnice NIS2 a zjistit, zda se na ně vztahuje.
- Provést analýzu rizik: Zhodnotit aktuální stav kybernetické bezpečnosti ve firmě a identifikovat slabá místa.
- Implementovat opatření: Zavést potřebná technická a organizační opatření k posílení bezpečnosti.
- Školit zaměstnance: Zajistit, aby zaměstnanci byli informováni o nových postupech a pravidlech.
- Monitorovat a aktualizovat: Průběžně sledovat stav kybernetické bezpečnosti a přizpůsobovat opatření aktuálním hrozbám.
Příprava na směrnici NIS2 by měla být pro firmy prioritou, aby se vyhnuly možným sankcím a zajistily kontinuitu svého podnikání v digitálním prostředí.