Na internetu se čím dál s větší mírou objevují titulky ve stylu: „Vystrašit a vyfakturovat“, platnost směrnice však neznamená, že subjekty spadající do její působnosti musí ihned začít plnit všechny povinnosti, které přináší. Povinný termín harmonizace říjen 2024 se pravděpodobně nestihne a hovoří se o začátku roku 2025.

Nicméně je pochopitelné, že pojem NIS2 je vzhledem k aktuální situaci „sexy“ byznysový strašák. Na druhou stranu je nutné si „nalít čistého vína“ a říct, že kdo začíná od nuly, nebo je na začátku s informační a kybernetickou bezpečností, tak může očekávat dopady na technické a provozní procesy organizace a vystavuje se tak problémům s naplněním budoucích legislativních požadavků novelizovaného zákona o kybernetické bezpečnosti, a to vzhledem k tomu, že NIS2 dopadne na 6 000 až 10 000 subjektů, a to je pouze odhad Národního úřadu pro kybernetickou bezpečnost (NÚKIB), tedy kam úřad je schopen dohlédnout.

Návrh novelizovaného zákona o kybernetické bezpečnosti počítá pouze s roční lhůtou pro implementaci netriviálních bezpečnostních opatření.

Novelizace zákona o kybernetické bezpečnosti bude mít za následek přetlak poptávky nad nabídkou služeb kybernetické bezpečnosti a tím pádem vznikne nedostatek veškerých dostupných expertních a znalých zdrojů na trhu.

Je nutné k danému „problému NIS2“ přistupovat ne ve smyslu „zase musíme něco splnit“, ale ve smyslu „zavedením kybernetické bezpečnosti chráním svůj byznys, schopnost poskytovat služby a zejména schopnost dosahovat zisku“, o tom to celé je, tedy platí známé pravidlo „Kdo je připraven, není překvapen“.

Nemusíte mít však ze směrnice NIS2 strach, rádi vás strachu, nebo obav ušetříme a v následujícím článku poradíme, které povinnosti jsou opravdu ty nejdůležitější a jak je začít řešit s předstihem.

Jak rozhodně NEZAČÍT!

V případě, že si nevíte rady a zvolíte si externí pomoc a potřebujete poradit, buďte velmi obezřetní a vždy si vybírejte pouze silného a důvěryhodného partnera, na kterého je spoleh a u kterého máte záruku, že po vypršení období „vystrašit a vyfakturovat“ bude ještě existovat. 

Jak na to?

• Povinnost samoidentifikace

Základním krokem, než se do čehokoliv pouštět je v první řadě zjistit, zda se na vás povinnosti stanovené v návrhu zákona vůbec vztahují, případně v jakém rozsahu.

Vzhledem k tomu, že novelizace zákona o kybernetické bezpečnosti není ještě v platnosti, tak nebudete mít 100% jistotu, že na vás zákon dopadá, protože může docházet k upřesnění definic povinných subjektů.

Víte, jak je vaše společnost velká? Velikost podniku (střední nebo velký) představuje jedno z povinných kritérií vzhledem k dopadu povinností, mezi další kritéria patří počet zaměstnanců, nebo obrat a v neposlední řadě to jsou typ a oblast služeb, které poskytujete.

Ověřte si, zda spadáte pod NIS2. Pomocí jednoduchého dotazníku zjistíte, jak na to jste. Vyplnění vám nezabere ani pět minut!

V případě, že zjistíte, zda spadáte pod NIS2, můžete se pustit do přípravy na implementaci NIS2, ALE s vědomím, že konkrétní podoba zákonných povinností se může změnit.

• Zásadní je rozsah

Do jednoho roku je povinnost vydefinovat vámi poskytované regulované služby, dle zákona se jedná o primární aktiva, a co vše slouží pro její provoz, tedy dodavatele, objekty, technologie, programové prostředky atp.

Nevydefinováním vámi poskytovaných regulovaných služeb má za následek to, že za regulovanou službu je považována celá firma, a to může být v prvních fázích neefektivní a tím se značně prodražit.

Správně vydefinovaný rozsah má přidanou hodnotu v tom, že cíleně plánujete a investujete finanční prostředky pro implementaci všech technických a bezpečnostních opatření.

• Zrevidujte zdroje

Před jakoukoliv činností je vždy dobré si zrevidovat současný stav a zdroje potřebné pro následnou realizaci, a to v kontextu novelizace zákona, jde tedy o lidské, finanční, technické a případně další zdroje.

Ať už na základě samoidentifikace spadáte do režimu nižších, nebo vyšších povinností, vždy budete muset jasně určit odpovědné osoby. Musíte tedy určit, kdo je odpovědný za jednotlivá aktiva nejčastěji se jedná o hardware a software, tedy konkrétně aplikace, informační systémy případně servery, atp.

Jestli spadnete do režimu vyšších povinností, personálních rolí budete muset zajistit mnohem více. Konkrétně se bude jednat o povinnost jmenovat manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, auditora kybernetické bezpečnosti a již výše uvedené odpovědné osoby za aktiva, tedy garanty aktiv. Uvedené osoby musejí navíc splňovat zákonné požadavky, a to z pohledu vzdělání, odborné způsobilosti a prokazatelné praxe v oblasti kybernetické bezpečnosti.

Bohužel situace na pracovním trhu s odborníky na kybernetickou bezpečnost není růžová a s příchodem novelizace zákona situace růžovější nebude. Prostou matematikou, a to vynásobení počtu povinných subjektů, dle NÚKIB se jedná o 6 až 10 000 subjektů, a výše uvedených povinných rolí, dospějete k počtu osob (odborníků), kteří aktuálně na pracovním trhu nejsou a v nejbližších letech ani v tak požadovaném počtu nebudou k dispozici. 

• Ve vlastním zájmu si proveďte analýzu současného stavu, ať víte, kam máte směrovat finanční prostředky. Připravte se na to, že náklady na kybernetickou bezpečnost budou v příštích letech vyšší. 

Zjistěte, jaký je váš současný stav připravenosti na povinnosti kladené NIS2.

Pokud budete spadat do regulovaného režimu a provedete analýzu vašeho současného stavu připravenosti, tak budete vědět kam a do jaké oblasti smysluplně investovat finance.

V momentě, kdy bude známá finální podoba zákona, přijde čas na Audit kybernetické bezpečnosti. Pomocí Auditu kybernetické bezpečnosti zjistíte případné technické, nebo organizační nedostatky a tím i jasné náklady, které vaší společnosti zavedení NIS2 přinese ve smyslu změny bezpečnostní strategie, nastavení nových bezpečnostních cílů, adekvátní odborné kapacity, nákupu hardware, software nebo jiných provozních aktiv, které zajistí soulad s novými povinnostmi.

Audit kybernetické bezpečnosti zajistí vyhodnocení aktuálního stavu bezpečnosti informačních technologií a slouží jako strategický dokument pro následné plnění souladu se směrnicí NIS2

Co vás čeká a nemine po účinnosti zákona?

Po účinnosti zákona přichází celá řada kroků, které vás čekají. Aktuální podoba návrhu zákona stanovuje následující povinnosti:

• Provedení samoidentifikace, tedy naplnění kritérií pro identifikaci regulované služby.
• Do 30 dnů od účinnosti zákona se musíte zaregistrovat na portálu NÚKIB.
• Do 30 dnů od vyrozumění zápisu musíte nahlásit kontaktní údaje odpovědných osob.

Od zápisu budete mít 1 rok na identifikaci technických, nebo provozních bezpečnostních nedostatků a samotné přijetí technických a organizačních bezpečnostních opatření, tedy včetně nápravy v rámci organizace a tím splnění plnění souladu se směrnicí NIS2, případně budoucího zákonu nZKB.

Nejpozději do 1 roku od zápisu budete muset hlásit kybernetické bezpečnostní incidenty.

Přečtěte si článek jak CETIN pomůže firmám s jejich kyberbezpečností i přípravou na NIS2 a zároveň si můžete poslechnout podcast s Lubošem Řádkem o kybernetické bezpečnosti a CETIN X.

Kontrolní seznam hlavních povinností NIS2

Hlavní povinnosti NIS2, které musí každá firma nebo veřejná instituce v prvním kroku provést jsou požadavky, reprezentovány v následujícím seznamu obsahující hlavní povinnosti, které je třeba provést.

1. Samoidentifikace
2. Registrace u NÚKIB
3. Hlášení kontaktních a dalších údajů
4. Stanovení rozsahu řízení kybernetické bezpečnosti
5. Zavádění bezpečnostních opatření
6. Hlášení kybernetických bezpečnostních incidentů
7. Informování zákazníků o incidentech a hrozbách
8. Provádění protiopatření vydaných NÚKIB
9. Plnění mechanismu bezpečnosti dodavatelského řetězce u vybraných strategicky významných služeb
10. Zajištění dostupnosti z ČR u vybraných strategicky významných služeb