Kybernetická bezpečnost se dotýká všech! A nová regulace také!

Kybernetická bezpečnost je téma pro každého. Nebo by alespoň měla být. Z důvodů ryze praktických i právních.

Kybernetický incident nebo „úspěšný“ útok totiž způsobí značné škody nemocnici, e-shopu, škole i pojišťovně. Může omezit nebo zcela znemožnit obsluhu zákazníků nebo běžný provoz. Narušit bezpečnost klientských dat s rizikem vysoké pokuty podle GDPR. Způsobit únik obchodního tajemství (know-how, produktová specifikace, databáze odběratelů, smluv, cenových podmínek atd.) a znevýhodnění vůči konkurenci.

A také ohrozit důvěru klientů, ať už v segmentu B2B nebo B2C.

S novou regulací, NIS2 směrnicí a novým zákonem o kybernetické bezpečnosti, se výrazně rozšíří okruh podniků, kterým bude povinnost řídit kybernetickou bezpečnost uložena přímo právními předpisy. S velkou mírou detailu a pod hrozbou velkých pokut.

Tak pojďme chránit své podnikání a informace kvalitně, efektivně a chytře. Proti hackerům i proti pokutám.

Jak jsme na tom s legislativou?

Evropská směrnice NIS2 (směrnice č. 2022/2555) byla přijata těsně před koncem roku 2022. Na nové vnitrostátní legislativě se už intenzivně pracuje. Její účinnost můžeme očekávat k polovině roku 2024.

Je to hodně času? Jen zdánlivě.

Zavedení komplexního systému pro zajištění kybernetické bezpečnosti a ochranu informací zabere nějaký čas a kapacity, zejména tam, kde se to dosud systematicky neřešilo. Proto je vhodné začít hned.

Koho se bude NIS2 týkat?

Podniky v působnosti NIS2 budou obvykle určeny kombinací předmětu činnosti (odvětví) a velikosti.

Na která odvětví se bude NIS2 vztahovat? Tak například:

• energetika
• doprava
• zdravotnictví
• pitná voda
• nakládání s odpadní vodou a odpady
• digitální infrastruktura a poskytování ICT služeb v B2B segmentu
• poskytování digitálních služeb (online tržiště, vyhledávače, platformy typu sociálních sítí)
• veřejná správa
• výroba, zpracování a distribuce potravin
• výroba počítačů, elektronických a optických zařízení, některých dopravních nebo zdravotnických prostředků

Pokud působíte v některé z těchto oblastí, a máte víc než 50 zaměstnanců a roční obrat nebo roční bilanční sumu vyšší než ekvivalent k 10 milionům euro, pak na Vás NIS2 dopadne. Bezprostředně, přímo a v plném rozsahu.

Máte zaměstnanců méně, nebo působíte v jiném odvětví? Neradujte se, NIS2 se Vás může i tak týkat. Zejména v těchto případech:

• poskytujete služby elektronických komunikací nebo služby vytvářející důvěru v oblasti elektronického podepisování, 
• jste nebo se stanete dodavatelem nebo subdodavatelem NIS2 regulovaného subjektu. V tom případě po Vás regulovaný subjekt bude chtít doložit a smluvně potvrdit řadu povinností týkajících se kybernetické bezpečnosti. 
• Jste členem skupiny podniků, ve kterém některý bude NIS2 regulovaný subjekt, se kterým, byť částečně, využíváte stejné ICT nástroje.

Kybernetická bezpečnost podle NIS2. Co to vlastně znamená?

Pokud se stanete přímo či nepřímo NIS2 regulovaným subjektem, bude nutné kybernetickou bezpečnost řešit komplexně. Dílčí, izolovaná opatření nebo přijetí několika předpisů nestačí. Systém kybernetické bezpečnosti musí zahrnovat zejména:

• jasně a závazně deklarovanou odpovědnost vedení organizace za zajištění jednotlivých prvků kybernetické bezpečnostní, přijetí bezpečnostní politiky a schvalování konkrétních opatření, 
• školení a profesní rozvoj v oblasti kybernetické bezpečnosti,
• proces pro řízení aktiv,
• postup pro pravidelnou identifikaci hrozeb a rizik souvisejících s kybernetickou bezpečností, včetně jejich řešení formou zavedení odpovídajících bezpečnostních opatření (organizační, technická a procesní),
• postupy pro řízení ICT služeb, tzn. vývoj, provoz, správu i nákup,
• proces a postupy pro včasnou detekci a řízení kybernetických incidentů, včetně jejich oznamování dozorovým úřadům,
• business continuity, tedy zajištění nepřetržitého výkonu kritických služeb při výpadcích a incidentech,
• zajistit bezpečnost dodavatelského řetězce, svých dodavatelů i dalších, dílčích subdodavatelů,
• používání kryptografie a šifrování,
• nastavení pravidel pro autentizaci uživatelů,
• zajištění bezpečnosti lidských zdrojů,
• nastavení a pravidelné provádění vnitřních kontrol k ujištění, že nastavená opatření k zajištění kybernetické bezpečnosti fungují tak, jak mají. 

Pokuty hrozí regulované organizaci i členům statutárních orgánů!

Nová regulace kybernetické bezpečnosti zavádí poměrně vysoké pokuty. Za porušení či nenastavení některého ze základních prvků systému kybernetické bezpečnosti bude podle návrhu nového zákona o kybernetické bezpečnosti hrozit pokuta až 250 milionů korun nebo 2 % celosvětového ročního obratu.

Jen pro srovnání, současný zákon o kybernetické bezpečnosti, který bude kvůli NIS2 nahrazen novým předpisem, stanoví maximální výši pokuty 5 milionů korun. Riziko citelné finanční sankce se výrazně zvyšuje.  

Nastavení kyberbezpečnostního procesu otevírá dveře k dalším zákazníkům

Zavedení systému pro řízení kybernetické bezpečnosti je v zájmu každého podnikatele. Pro ochranu provozu, obchodního tajemství, klientů.

Od roku 2024 to u více než 6.000 podniků bude také nutné pro splnění NIS2 a vyhnutí se sankcím.

Požadavky na ochranu, informací, sítí a nástrojů pro zpracování dat však mohou vycházet i z jiných právních předpisů. V praxi tak mohou dopadnout na podniky v postavení dodavatele, které nabízejí služby, především v oblasti ICT, veřejné správě nebo finančním institucím.

V prvém případě se jedná zejména o poskytování cloudu orgánům veřejné správy. Pokud jim chce organizace tyto služby nabízet, musí se na prvém místě nechat zapsat do úředního katalogu poskytovatelů cloudu. A řada podmínek pro zápis se týká právě kybernetické bezpečnosti.

Stejně tak musí kybernetickou bezpečnost řešit a smluvně garantovat ten, kdo dodává svoje služby poskytovatelům finančních služeb. A nejenom bankám či pojišťovnám, ale i platebním institucím, fintech společnostem atd.

Zavedení přiměřeného a spolehlivého systému pro ochranu kybernetické bezpečnosti tak může otevřít dveře i k dalším zákazníkům, právě z těchto více regulovaných odvětví.

 S čím Vám můžeme pomoci?

• analýza, zda Vaše organizace bude regulovaným subjektem podle NIS2,
• posouzení, jaké povinnosti dle NIS2 na Vás dopadají,
• zhodnocení současných opatření a provedení GAP analýzy k novým právním požadavkům,
• nastavení interních procesů a postupů pro zajištění souladu s požadavky NIS2,
• interní nastavení a upřesnění odpovědnosti členů statutárního orgánu,
• revize smluv se stávajícími dodavateli,
• příprava interní dokumentace, vnitřních předpisů a smluv,
• sledování vývoje legislativního procesu a analýza dopadů na Vaši organizaci,
• školení členů statutárních orgánů, vedoucích zaměstnanců i dalších zaměstnanců. 

Chraňte své podnikání a s ním spojené informační toky - svěřte zavedení komplexního systému kybernetické bezpečnosti do rukou našich odborníků.