Partner webuRoger logo
Předplatit časopis Finmag

Směrnice NIS2? Nahlásit se musíte sami, hrozí extrémní pokuty, varuje expertka

Michael  Durčák
Michael Durčák
2. 5. 2023
 402 777

Směrnice NIS2 bude velkou změnou, která se dotkne víc než šesti tisíců subjektů v Česku. Po zkušenostech s implementací GDPR se ovšem stát a experti na kybernetickou bezpečnost snaží komunikovat vše potřebné s předstihem. Jednotlivé dopady na firmy vysvětluje v rozhovoru pro Finmag.cz spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová.

Směrnice NIS2? Nahlásit se musíte sami, hrozí extrémní pokuty, varuje expertka
Spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová. / Zdroj: Se souhlasem Kateřiny Hůtové

„Skok ze zhruba 360 subjektů na víc než šest tisíc je dost razantní. Cíle jako takové jsou ale pochopitelné a nějak se začít musí, aby se v dohledné době kyberneticko-informační bezpečnost celkově zlepšila,“ říká expertka ze společnosti Cybrela.

„Nová legislativa musí být na úrovni členských států přijata zhruba do října 2024, předpokládá se, že to bude i dřív. Do té doby mají společnosti určitý čas k tomu, aby implementovaly technická a organizační opatření,“ doplňuje Hůtová. Doporučuje ale nenechávat vše na poslední chvíli.

Nová legislativa musí být na úrovni členských států přijata zhruba do října 2024, předpokládá se, že to bude i dřív.

Jaký je vlastně smysl směrnice NIS2?

V první řadě se snaží zvýšit kyberneticko-informační bezpečnost. Aktuálně platí, že informace jsou cennější než zlato. A vy si musíte vybudovat stabilní zázemí tak, aby váš byznys přežil určité incidenty, které se dějí dnes a denně. Tím samozřejmě myslím snahy o získání citlivých dat.

Zároveň jde ale i o to, aby i stát byl dostatečně silný a připravený udržet si odpovídající standard při poskytování služeb svým občanům.

Jaké jsou její hlavní body a cíle?

Celkem jsou tři. Zaprvé jde o zmiňované zvýšení úrovně kybernetické bezpečnosti, kdy vyvstane povinnost pro určité subjekty přijmout odpovídající opatření s tím spojená. Zadruhé omezit nesrovnalosti v odolnosti různých subjektů. Cílem je také rozšíření regulace a jejích pravidel na další subjekty v režimu takzvaných nižších a vyšších povinností. Když to nějak lidsky shrnu, z mého pohledu stojí NIS2 primárně na řízení rizik, dodavatelských řetězcích a byznys kontinuitě.

Kateřina Hůtová

• Vystudovala právnickou fakultu na Univerzitě Palackého v Olomouci a profesně se věnuje především oblasti informační bezpečnosti

• V současnosti je CEO a spoluzakladatelkou konzultantské společnosti Cybrela

• Aktuálně klienty připravuje na transpozici směrnice NIS2 o kyberbezpečnosti, TISAX, ISO 27001 a dalších

Jak se ke směrnici NIS2 staví Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)?

Za NÚKIB mluvit nemohu. Obecně lze ale říct, že jako instituce, která vypracovala návrhy zákona a vyhlášek, NÚKIB obstál. Musím také vyzdvihnout kroky, kterými se snaží se změnami seznamovat veřejnost. Zároveň také to, že široké veřejnosti dal prostor se k návrhům vyjádřit, aby se případně podchytily nejasnosti, které mohly při tvorbě směrnice vzniknout.

Co se oproti evropské úpravě změní při transkripci směrnice do českého právního řádu?

Změn je víc. Je důležité si uvědomit, že NIS2 udává především právní rámec, kterého se každý členský stát musí držet. Ale je zde i prostor pro úpravu.

Můžete být konkrétnější?

Například české návrhy zavádí jeden povinný subjekt, který má dva režimy – nižší a vyšší. Naopak v NIS2 se mluví o dvou subjektech – essential a important (nezbytných a důležitých, pozn. autora). Zároveň se doplňuje, nebo spíš specifikuje, jaké konkrétní podobory průmyslu budou spadat pod nový zákon o kybernetické bezpečnosti. Konkrétně ve vyhlášce o regulovaných službách s tím, že tohle roztřídění může být rozdílné oproti NIS2.

Dále se v českém návrhu zákona víc rozvíjí, jakým způsobem se hodnotí aktiva nebo například risk management, což NIS2 neurčuje. Nicméně je nutné říct, že pro Českou republiku nejde o nic nového, tyto metodologie jsou už popsány v nynější vyhlášce o kybernetické bezpečnosti.

Od kdy se společností nová pravidla dotknou?

Nová legislativa musí být na úrovni členských států přijata zhruba do října 2024, předpokládá se, že to bude i dřív. Do té doby mají společnosti určitý čas k tomu, aby implementovaly technická a organizační opatření. Je důležité si hlídat, do kdy se musí samoidentifikovat přes portál NÚKIB, že na ně tato legislativa dopadá. Za nenahlášení se do portálů hrozí nejvyšší pokuty, konkrétně 175 milionů korun pro nižší režim a 250 milionů pro vyšší.

Kolika společností se NIS2 dotkne?

NÚKIB uvádí přibližně šest tisíc subjektů. S kolegy se ale domníváme, že jich bude daleko víc. Šest tisíc beru jako minimum, a i kdyby to tak bylo, tak půjde o velkou změnu. Pod zákon a vyhlášku o kybernetické bezpečnosti teď spadá zhruba 360 subjektů. Takže jejich počet se zvýší minimálně na dvacetinásobek.

NIS2 se vztahuje na subjekty, které se najdou v přílohách této směrnice, ale zároveň musí být středními nebo velkými společnostmi.

Jaké společnosti se v návrhu nové legislativy počítají mezi kritickou infrastrukturu státu?

Abychom byli úplně přesní, v novém návrhu zákona se terminologie mění na Poskytovatele regulované služby (v nižším nebo vyšším režimu). Pod nynější kritickou infrastrukturu státu spadají společnosti/průmysl zabývající se například elektřinou či plynem, teplárny a tak dále. Ty budou pravděpodobně spadat do vyššího režimu, pokud splní všechny zákonné požadavky.

A další subjekty?

NIS2 se vztahuje na subjekty, které se najdou v přílohách této směrnice, ale zároveň musí být středními nebo velkými společnostmi (mezi výjimky patří například internetoví provideři). Důležitý pro výpočet je počet zaměstnanců (padesát) nebo obrat (deset milionů eur, tedy asi 235 milionů Kč a víc). Do těchto čísel se ale započítávají i mateřské nebo dceřiné společnosti. Důležité tedy je do těchto počtů započítat i případnou mateřskou nebo dceřinou společnost.

NIS2
Shutterstock

Obří změna pro tisíce firem. NIS2 je větší než GDPR, varují experti

Na tisíce českých firem čeká už brzy nová povinnost nazvaná NIS2. Široce diskutovaná evropská směrnice má za cíl razantně posílit kybernetickou ochranu podnikatelů i státních organizací v EU. Náklady na její zvýšení ponesou samy firmy, a to skrze potřebná technická, provozní a organizační opatření, které si implementace vyhlášky vyžádá. Na co se tedy připravit?

Co to znamená?

V praxi se může například stát, že vy sami máte osmatřicet zaměstnanců, ale vaše mateřská společnost dvacet. Takže vy sami byste nespadali do kategorie středních a velkých společností, ale kvůli vaší mateřské společnosti tam zřejmě spadat budete. Celkově se daný propočet odvíjí dle toho, kolik procent vlastní další entita. A také kolik procent se připočítává skrze množství zaměstnanců nebo obratu. Pokud je to u vaší mateřské společnosti nad padesát procent, tak se připočítává vše.

Budou i nějaké výjimky?

Ano, NÚKIB může určit i další subjekty, zatím existují jen návrhy nové legislativy. Ale to si budou společnosti muset samy ověřit, protože jak jsem říkala, když se následně nepřihlásí do portálu NÚKIB, sankce budou skutečně vysoké.

Co přesně budou „dotčené společnosti“ muset udělat?

V první řadě bych si na jejich místě zjistila, co momentálně mám, či nemám v rámci společnosti nastaveno, vytvořila bych GAP analýzu (analýza mezer, pozn. autora) vůči tomu, co minimálně požaduje NIS2 nebo rovnou návrhy nové legislativy. Upozorňuji ale na to, že to jsou stále jen návrhy a může se ještě leccos změnit. A poté bude třeba přijmout organizační a technická opatření, které tato legislativa vyžaduje.

Na co vy osobně kladete důraz?

Těch bodů je několik. Zaprvé risk management. Na to vám v uvozovkách stačí tak trochu selský rozum a kus papíru. Potřebujete vědět, kde co máte v rámci společnosti, co daným oddělením a jejich vybavením hrozí a tak dále. Obecně znát rizika pro vaši společnost a pracovat s nimi. Pak bych se zaměřila na dodavatele.

O co jde u nich?

Víte, kdo k vám vstupuje a jak? Máte vše smluvně podchycené? Jaká rizika vyplývají ze spolupráce s daným dodavatelem? A řeší váš dodavatel kyberneticko-informační bezpečnost? To jsou otázky, které si musíte zodpovědět. Nezapomínala bych také na management kontinuity. V rámci kyberneticko-informační bezpečnosti by měla být probyznysová a měli byste mít vše nastaveno tak, aby se co nejvíc snížily dopady v případě určitých incidentů. Jde o to, že i pokud se něco stane, tak vaše společnost bude moci po daném incidentu pokračovat v byznysu.

Můžeme se bavit od desítek tisíc po statisícová, ne-li milionová řešení. Minimální technická opatření vyžadují nějakou investici.

Kolik tohle všechno bude společnosti stát?

Těžká otázka. Záleží, z jakého bodu daný subjekt startuje. Většina společností minimálně některá technická nebo organizační opatření už zavedeny má. Bylo by vhodné si tedy zjistit vaši aktuální situaci, aby pak bylo lepší odhadnout časovou a finanční náročnost.

Jaký je rozdíl oproti GDPR?

NIS2 GDPR
Shutterstock

Rozdíl mezi GDPR a NIS2 je předně přímo v typu dané legislativy. „GDPR je nařízení, u něhož je povinnost ho přímo aplikovat. Oproti tomu NIS2 je směrnice, čili je zapotřebí transpozice do české legislativy a je zde větší prostor pro zohlednění požadavků České republiky,“ vysvětluje Hůtová. Zároveň kvituje přístup NÚKIB k novým změnám, neboť se snaží vše vysvětlovat dopředu.

U GDPR často panoval zmatek a následně se bohužel zbytečně vyostřily určité situace, které zakryly smysl samotného GDPR. V případě NIS2 přistoupil český stát k celé situaci výrazně pragmatičtěji. „Navrhovaná opatření vám opravdu mohou ve výsledku v rámci vašeho byznysu pomoci, pokud se uchopí správně,“ doplňuje expertka.

Dokážete být přesto konkrétnější?

Můžeme se bavit od desítek tisíc po statisícová, ne-li milionová řešení. Minimální technická opatření vyžadují nějakou investici. Ale opakuji, většina společností ty základy už nastavené má. Zároveň doporučuji investovat do vlastních zaměstnanců. Vyplatí se školení a jejich rozvoj v těchto oblastech.

A zvládnou to společnosti vlastními silami, nebo bude lepší si najmout externí společnost?

Jak už jsem říkala, nejlepší je začít už nyní investovat do vlastních zaměstnanců a vychovat si vlastní odborníky. Protože i když vám s tím výrazně můžeme pomoci my jako externisté, tak to není jednorázová záležitost.

Jak to myslíte?

Jde o to, že kyberneticko-informační bezpečnost je o neustálém zlepšování takzvaného P-D-C-A. Jedná se o anglickou zkratku pro kroky plan-do-check-act, neboli česky naplánuj, proveď, ověř a jednej. A pochopitelně nikdo nezná vaši společnost líp než vy sami. Externisté jsou skvělí například tím, že vás mohou nasměrovat, napsat za vás dokumentaci na základě rozhovorů s vámi, nastavit technické opatření – zkrátka udělat to nejtěžší. Ale vždy jsou důležití především vlastní zaměstnanci.

Implementace NIS2 je na jednotlivých členských státech, takže se může stát od státu lišit. Co to znamená pro nadnárodní firmy, které mají pobočky v různých státech EU?

Je třeba prověřit si, kam daná společnost spadá v jednotlivých členských zemích. Ve většině případů budete spadat obsahově do stejných kategorií, ať už se budou v daných zemích jmenovat jakkoliv. Prvotně bych tedy udělala tento legislativní průzkum. Dle toho šetření bych následně nastavila všeobecná pravidla v takové úrovni, která převažuje ve většině poboček. A následně si musí každá lokalita upravit šablony, které od své mateřské společnosti dostane nebo si vytvoří vlastní dokumenty, které budou doplňovat ty nadnárodní tak, aby byly v souladu s lokální legislativou.

Co přesně to v jejich chodu ovlivní? Dotkne se to nějak jejich vnitřních předpisů, dodavatelských řetězců nebo něčeho jiného?

Ano, minimálně revidování interních směrnic a třeba smluvních závazků s dodavateli. Nová legislativa vytyčuje body, které by například ve smlouvách s dodavateli neměly chybět.

Jestli je cesta NIS2 správná se uvidí až pár let po účinnosti lokálních legislativ skrze evropské státy.

Kdy s opatřeními začít a kdy směrnice začne platit?

Směrnice už platí. Přibližně do října roku 2024 mají členské státy čas vytvořit lokální legislativu, která v sobě bude zahrnovat povinnosti plynoucí z NIS2. Po přijetí a účinnosti lokální legislativy bude určitá lhůta pro subjekty, aby zavedly požadovaná technická a organizační opatření.

Opatření kvůli Ukrajině?

Covid a celková situace napomohly tomu, aby se urychlila práce na nové směrnici NIS2, nicméně globální krize startérem iniciativy jako takové nebyly. „Dnešní svět funguje na informacích, datech. To nejcennější, co společnost má, jsou informace. A ty je potřeba v digitálním světe chránit,“ popisuje Hůtová.

Podle ní bychom si měli zároveň být vědomi toho, kolik věcí dnes funguje díky různým softwarům a IT oddělením ve společnostech obecně. „Představte si situaci, kdy by například potravinové řetězce kvůli kybernetickému útoku nedovezly do obchodů jídlo, protože by nevěděly kam, komu a co. To by vyvolalo paniku. A to se nebavíme o velkých věcech jako jsou systémy elektráren, vodáren a tepláren,“ vysvětluje.

Kolik času je třeba si vyhradit?

To se odvíjí od zmiňovaného současného stavu a připravenosti každého subjektu. Někde může jít o týdny, měsíce, ale v určitých případech i o delší časový horizont. Tak, či tak bych nečekala na konec roku 2024. A to nejen kvůli tomu, aby se to pak všechno stihlo, ale také pokud budete chtít využít externí konzultanty. Protože ti dobří budou mít na toto období už s největší pravděpodobností plné kapacity.

Kontrolu splnění povinností bude provádět NÚKIB. Jak to bude vypadat?

NÚKIB má provádět kontroly pouze pro poskytovatele regulované služby ve vyšším režimu. V nižším režimu se zavádí kontrola inspektorem. Tedy osobou, která splní zákonné požadavky a mimo jiné úspěšně složí test od NÚKIB.

Nebude stát přesto příliš zasahovat do chodu společností?

Já mám v tomhle „zasahování“ asi neoblíbený názor, že kyberneticko-informační bezpečnost by měla být probyznysová. A ve finále je i tak koncipována, protože po vás chce zavést takové technické a organizační opatření, aby vaše společnost byla dostatečně silná na to přežít v době, kdy kybernetické útoky jsou na denní bázi, incidenty se dost často dějí kvůli vlastním zaměstnancům a tak dále.

Zároveň chápu ty společnosti, které to berou tak, že jde o jejich podnikání a jejich rozhodnutí, jestli svou společnost zabezpečí, nebo ne. Ale že i následky si poté ponesou samy. Důležité je ale zmínit i případné dominové efekty, které mohou následovat (jedna společnost ovlivní další a další) a i proto vznikla nová legislativa, aby se tomu předešlo.

Jsou tedy podle vás kroky jako zavedení NIS2 vůbec dostatečné a vedou správným směrem?

Ten zmíněný skok ze zhruba 360 subjektů na víc než šest tisíc je dost razantní. Nicméně cíle jako takové jsou pochopitelné a nějak se začít musí, aby se v nějaké dohledné době kyberneticko-informační bezpečnost celkově zlepšila. Jestli je cesta NIS2 správná, se uvidí až pár let po účinnosti lokálních legislativ skrze evropské státy.

Podnikavé ČeskoFinmag.cz

Kam dál? Kyberbezpečnost na Finmagu:

Přišla zima a s ní i nový Finmag. Co v něm najdete?

Kam kráčí nakladatelé? Český knižní trh je v dobré kondici. Nulová DPH na knížky ale cenovky na pultech nejspíš nezmění. Co bude s ušetřenými penězi?

Finmag předplatnéZdroj: Finmag

KNIHY JSOU BYZNYS

• Jak zacloumal knižním trhem nástup komiksu? • Proč si za sebe slavné osobnosti nechávají psát knihy? • Investice do knih se vyplatí, ale pro byznys se to dělat nedá.

BYZNYS JE HRA

• Než úspěšní podnikatelé zestárnou, musí vyřešit, co bude dál. Kdo převezme Pradu? • Hřbitovy mají problém: Velká poptávka nepřináší víc peněz. • Kolik platů stojí byt?

Daňové přiznání online

Ohodnoťte článek

-
-196
+

Sdílejte

Diskutujte

Vstoupit do diskuze
Michael  Durčák

Michael Durčák

Má rád fotbal a kočky. Kromě Finmagu píše pro magazín Reportér nebo komentáře o dění v USA pro Seznam Zprávy. Zároveň je redaktorem videoherního časopisu Score.

Související témata

byrokracieEvropská uniekyberbezpečnostkyberzločinNIS2podnikáníPodnikavé Českorozhovor
Daňové přiznání online

Aktuální číslo časopisu

Předplatné časopisu Finmag

Věda je byznys –⁠ byznys je věda

Koupit nejnovější číslo