Lekce 27 - Evropská regulace kyberbezpečnosti NIS2 Nové

V předchozí lekci, Monitoring a log management v kyberbezpečnosti, jsme si ukázali, jak monitoring a log management pomáhají sledovat dění v IT systémech a odhalovat bezpečnostní incidenty.

V tomto tutoriálu se seznámíme se směrnicí NIS2, která představuje nový evropský rámec pro kybernetickou bezpečnost a stabilní fungování digitálních služeb. Směrnice dopadá na široký okruh organizací – od poskytovatelů klíčové infrastruktury přes výrobní podniky až po digitální služby. Významně ovlivňuje způsob, jakým organizace přistupují k ochraně informačních systémů, řízení bezpečnosti i odpovědnosti vedení.

V úvodní části si vysvětlíme, proč NIS2 vznikla, jak se evropská regulace vyvíjela a na jaké subjekty se vztahuje.

Vývoj evropské regulace kybernetické bezpečnosti

Evropská unie řeší oblast kybernetické bezpečnosti dlouhodobě. V roce 2016 vstoupila v platnost směrnice NIS (Network and Information Security). Jejím cílem bylo stanovit základní bezpečnostní požadavky a posílit ochranu důležitých služeb.

Tento předpis dnes označujeme jako NIS1.

Postupem let se však ukázalo, že původní rámec je příliš úzký a nereflektuje rychlý vývoj digitálních služeb ani rostoucí počet bezpečnostních incidentů. Zároveň se mezi členskými státy projevily výrazné rozdíly v tom, jak NIS1 zaváděly do praxe.

Na tyto problémy reaguje nová směrnice NIS2, přijatá v roce 2023. Rozšiřuje působnost na více odvětví, zpřesňuje požadavky a klade větší důraz na odpovědnost vedení organizací a na řízení rizik. NIS2 zároveň sjednocuje pravidla v rámci EU, aby úroveň kybernetické bezpečnosti byla stabilnější a předvídatelnější.

Následující přehled shrnuje hlavní milníky vývoje evropské regulace kybernetické bezpečnosti:

• 2016 – přijetí směrnice NIS (NIS1).
• 2016–2021 – vývoj hrozeb a nedostatky původní směrnice.
• 2023 – schválení směrnice NIS2.
• 2025 – účinnost nového zákona o kybernetické bezpečnosti v ČR (1. listopadu).

NIS2 tak představuje aktualizovaný rámec pro současné digitální prostředí a určuje směr, kterým se bude evropská kybernetická bezpečnost v následujících letech ubírat.

Rozsah působnosti směrnice NIS2

Směrnice NIS2 se vztahuje na organizace, jejichž činnost je z hlediska společnosti nebo ekonomiky zásadní. Oproti původní směrnici NIS1 dopadá na širší okruh subjektů a zahrnuje nejen veřejné instituce, ale i celou řadu podniků. Působnost je rozdělena do několika hlavních kategorií.

Významné subjekty

Mezi tzv. významné subjekty (Essential Entities) patří především organizace, které zajišťují chod klíčové infrastruktury a služeb nezbytných pro fungování celé společnosti. Tato skupina zahrnuje instituce, jejichž výpadek by měl okamžitý a rozsáhlý dopad na běžné fungování státu.

Jde například o energetické firmy zabývající se dodávkou elektřiny, plynu či ropy, poskytovatele vody, banky a finanční instituce. Do této kategorie spadá také zdravotnictví, tedy nemocnice, laboratoře a záchranné služby, a digitální infrastruktura, například datová centra, poskytovatelé DNS služeb nebo cloudových řešení. Významným subjektem je rovněž veřejná správa, která se stará o základní služby státu a jeho institucí.

Důležité subjekty

Do kategorie důležitých subjektů (Important Entities) spadají organizace, které sice nezajišťují kritickou infrastrukturu, ale jejich fungování má významný dopad na hospodářství a běžný život.

Patří sem výrobní podniky z vybraných odvětví, jako je chemický průmysl, potravinářství nebo strojírenství. Dále jde o poskytovatele digitálních služeb, například hostingové společnosti či e-commerce platformy. Mezi důležité subjekty se řadí také kurýrní služby, které zajišťují logistiku a doručování zásilek, a pojišťovny, které jsou nedílnou součástí finančního sektoru.

Subjekty podle kritérií velikosti

Kromě klíčových odvětví hraje roli také velikost organizace. Povinnosti vyplývající ze směrnice se většinou vztahují na firmy, které zaměstnávají více než 50 lidí a jejich roční obrat přesahuje 10 milionů eur.

Do této kategorie však mohou spadat i menší podniky, pokud například fungují jako klíčoví dodavatelé pro větší organizace nebo působí v citlivých oblastech, jako je zdravotnictví.

Směrnice tak zohledňuje nejen ekonomické ukazatele, ale i význam dané firmy pro bezpečnost a stabilitu společnosti.

Požadavky směrnice NIS2

Směrnice NIS2 vymezuje několik oblastí, které mají organizacím pomoci lépe porozumět rizikům, chránit své informační systémy a udržet stabilní provoz. Tyto oblasti tvoří základní rámec bezpečnostních povinností, na kterém stojí celý systém řízení kybernetické bezpečnosti.

Řízení rizik

Organizace musí umět rozpoznávat hrozby, které mohou ovlivnit jejich provoz nebo data, a pravidelně vyhodnocovat jejich dopady. Cílem je mít aktuální přehled o tom, které části prostředí jsou nejcitlivější a jaké scénáře mohou způsobit významné škody. Řízení rizik je dlouhodobý proces, který se přizpůsobuje změnám technologií i organizace.

Technická a organizační opatření

Směrnice požaduje, aby organizace zavedly přiměřená opatření chránící jejich informační systémy a služby. Patří sem například kontrola přístupů, dohled nad provozem, plánování reakce na mimořádné události nebo zajištění kontinuity služeb. Opatření musí odpovídat velikosti organizace i závažnosti hrozeb, kterým čelí.

Školení zaměstnanců

Nedílnou součástí požadavků NIS2 je pravidelné vzdělávání zaměstnanců. Lidé pracující s technologiemi mají rozumět základním principům bezpečného chování, dokázat rozpoznat podezřelé situace a vědět, jak postupovat. Školení se přizpůsobují aktuálním hrozbám a měnícím se potřebám organizace.

Hlášení incidentů

Pokud nastane závažná bezpečnostní událost, organizace má povinnost ji ve stanovených lhůtách oznámit příslušnému dozorovému orgánu. Cílem je podpořit včasnou reakci, sdílení informací a koordinaci kroků, které mohou zabránit dalším škodám. Hlášení incidentů je důležité také pro získání přehledu o aktuálních hrozbách.

Dokumentace a audit

Organizace musí vést srozumitelné a aktuální záznamy o zavedených bezpečnostních opatřeních, proškolení zaměstnanců i řešených incidentech. Tyto dokumenty slouží jako důkaz o plnění povinností a jako podklad pro pravidelné kontroly.

Průběžné vyhodnocování pomáhá ověřit, že zavedená opatření fungují a odpovídají aktuální situaci.

Sankce za nesplnění povinností NIS2

Směrnice NIS2 počítá s tím, že organizace musí plnit stanovené bezpečnostní požadavky a být schopné doložit, že se o kybernetickou bezpečnost aktivně starají. Pokud povinnosti dlouhodobě zanedbávají nebo nezvládnou důležitý incident, mohou čelit několika typům postihů.

Finanční sankce

Nejznámějším nástrojem jsou pokuty, které mohou u závažných porušení dosáhnout až milionových částek. Týká se to zejména situací, kdy organizace opakovaně ignoruje povinnosti, neřeší známé slabiny nebo neposkytne součinnost při vyšetřování incidentu.

Odpovědnost vedení

NIS2 zdůrazňuje aktivní roli managementu. Vedoucí pracovníci musí mít přehled o tom, jak je bezpečnost řízena, a být schopni doložit, že přijímají potřebná opatření. Pokud vedení tuto oblast zanedbá, může nést osobní odpovědnost, například v podobě omezení výkonu funkce.

Reputační dopady

Vedle právních sankcí mohou být velmi citelné i následky reputační. Nezvládnutý incident, únik dat nebo informace o neplnění povinností často poškozují důvěru zákazníků, partnerů i veřejnosti. Obnova reputace bývá dlouhodobá a někdy složitější než vyřešení technických problémů.

Závěr

V této lekci jsme si představili směrnici NIS2, její vznik, vývoj a oblasti, kterých se dotýká. Tento úvodní přehled poskytuje základní orientaci v tom, co směrnice řeší a proč je pro organizace důležitá. Díky tomu je snazší porozumět konkrétním povinnostem, které NIS2 přináší, a také tomu, jak je následně uvádět do praxe.

V další lekci, Analýza stavu a řízení rizik podle NIS2, se budeme věnovat analýze stavu organizace a řízení rizik dle NIS2. Ukážeme si, jak zmapovat klíčová aktiva, hrozby a zranitelnosti, jak vyhodnotit závažnost rizik a jak rozhodnout o opatřeních, která je mohou snížit.