Jak splnit požadavky nové směrnice o kyberbezpečnosti NIS2? Asseco Solutions umí pomoci úřadům i firmám

Evropská směrnice NIS2 přináší zásadní změny v oblasti kybernetické bezpečnosti, které ovlivní několik tisíc českých firem ve strategických odvětvích i řadu organizací veřejné správy. Opatření se týkají i jejich dodavatelů, kteří také musí splnit přísnější bezpečnostní standardy.

Přibližně 6000 podnikatelských subjektů a firem čekají v roce 2025 zásadní změny na poli povinností v kybernetické bezpečnosti. Nová evropská bezpečnostní směrnice NIS2 měla ve všech zemích vstoupit v platnost již v říjnu 2024, nicméně Česká republika tento termín nestihla.

Nový zákon o kybernetické bezpečnosti, který problematiku NIS2 transponuje do české legislativy, právě prochází legislativním procesem. Aktuálně je v projednávání v Poslanecké sněmovně. A podle odhadů Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) vstoupí nový zákon v účinnost v půli roku 2025. V některých odborných kruzích se již mluví i o účinnosti až od ledna 2026. Nicméně konkrétní termín je v rukou našich legislativců.

Směrnice rozšiřuje regulaci kybernetické bezpečnosti na větší počet odvětví a zahrnuje mimo jiné velké i střední podniky nejen v kritických sektorech jako energetika, doprava, zdravotnictví, finance a digitální infrastruktura. Jde o odvětví, která mají zásadní význam pro fungování ekonomiky a veřejné správy členských států EU.

Ohlídat si své dodavatele

Povinnosti vyplývající z této směrnice se týkají nejen samotných podniků, ale nově zavádí také bezpečnostní požadavky v rámci dodavatelských řetězců. „Znamená to především vyšší nároky na zabezpečení i na partnerské vztahy. České organizace budou muset implementovat robustnější kybernetická bezpečnostní opatření, včetně pravidelného hodnocení rizik, zavedení preventivních a detekčních mechanismů a plánů pro reakci na kyberútoky či jiné mimořádné události.“

Luboš Římal, vedoucí vývoje a specialista pro oblast bezpečnosti produktů ve společnosti Asseco Solutions.

Nová legislativa předpokládá, že organizace budou nejen monitorovat a vyhodnocovat vlastní rizika, ale budou se také soustředit na zabezpečení svých dodavatelů. Ti naopak budou muset přizpůsobit své procesy, aby splňovali nové bezpečnostní standardy odběratelů. „Bezpečnost dodavatelského řetězce je klíčová, protože jakýkoli slabý článek může znamenat ohrožení celé sítě a výrazné finanční i reputační ztráty,“ dodává Římal.

Jako součást zajištění dodržování nových pravidel podle NIS2 je nastaven systém vysokých sankcí a nápravných opatření. Ty spadají do gesce NÚKIB, který je jako dozorový orgán může udělovat.

Nedodržení může vést k postihům, které v případě českých organizací dosahují až deseti milionů eur (cca 250 milionů Kč, pozn. red.) nebo výše dvou procent čistého celosvětového ročního obratu podniku. Sankce nemají být pro organizaci primárně likvidační, ale měla by je pocítit. Důvodem je, aby hrozba sankce organizace motivovala k dodržování stanovených pravidel a povinností. Podle odborníků by takto vysoké částky měly z kybernetické bezpečnosti vytvořit jednu z priorit pro management všech dotčených subjektů.

Bič i zbraň pro veřejnou správu

Jednou ze skupin subjektů dotčených nově zaváděnou směrnicí je i veřejná správa. Nové povinnosti se týkají ústředních orgánů státní správy, veřejné správy na regionální úrovni, soudů a státních zastupitelství a dalších institucí významných pro chod státu.

„Asseco Solutions nabízí specializované poradenství v oblasti kybernetické bezpečnosti pro kraje a obce, které pomáhá veřejným subjektům splnit požadavky NIS2 a zajistit ochranu proti stále sofistikovanějším kybernetickým hrozbám. Tato služba zahrnuje komplexní přístup propojující právní a IT poradenství s technickými opatřeními pro efektivní ochranu a prevenci,“ upozorňuje Římal.

Součástí poradenství je mimo jiné analýza smluv veřejných organizací s dodavateli. V rámci jejího provedení proběhne IT bezpečnostní audit, který posoudí bezpečnostní opatření u dodavatelů. Na základě auditu pak jsou navržena opatření pro zlepšení kyberbezpečnosti. „Služba zahrnuje identifikaci a doplnění povinných bezpečnostních prvků do smluvních ustanovení o kybernetické bezpečnosti a doporučuje opatření pro minimalizaci rizik,“ dodává Římal.

Podle něj Asseco Solutions pomáhá rovněž aktualizovat bezpečnostní dokumentaci v souladu s legislativou. Nedílnou součástí jsou i školení zaměstnanců, která mají za cíl naučit zaměstnance rozpoznat kybernetické hrozby a předcházet jim. Ostatně v celém řetězci kybernetických hrozeb je uživatel jednoznačně nejslabším článkem. „Připravenost na nová kybernetická rizika a na požadavky směrnice NIS2 je zásadní pro všechny veřejné organizace. Díky spojení právního a technického poradenství může veřejná správa efektivně čelit novým výzvám v oblasti kybernetické bezpečnosti s lepším zabezpečením a dodržovat požadavky NIS2,“ uzavírá Luboš Římal.