Přejít na hlavní obsah

      Přísnější směrnice EU o kybernetické bezpečnosti NIS 2 se v Česku podle odhadů dotkne nejméně 6 000 soukromých i státních subjektů. Uloží jim rozsáhlé povinnosti, za jejichž nesplnění budou hrozit pokuty ve výši desítek milionů korun. Do českého zákona o kybernetické bezpečnosti se požadavky NIS 2 promítnou během roku 2024. S přípravami ale doporučujeme začít už teď.

      Co je směrnice NIS 2 a koho se týká?

      NIS 2 je aktualizovanou verzí evropské směrnice Network and Information Security (NIS) o kybernetické bezpečnosti z roku 2016. Její požadavky musí každý stát EU promítnout do své národní legislativy. Do českého zákona o kybernetické bezpečnosti (ZoKB) se požadavky a povinnosti vyplývající z nové směrnice promítnou nejpravděpodobněji v druhé polovině roku 2024.

      Původní směrnice se zaměřovala na zabezpečení úzkého výběru organizací s velkým dopadem na společnost. Nová si klade za cíl zabezpečit všechny poskytovatele služeb důležitých pro fungování společnosti. Dotčené služby zpřesní příloha vyhlášky o regulovaných službách. Pouze poskytovat jednu z uvedených služeb ale nestačí.

      „Primárním způsobem stanovení, jestli soukromá nebo veřejná organizace spadá pod regulaci směrnice, je současné splnění následujících dvou pravidel:

      • organizace poskytuje alespoň jednu službu uvedenou v přílohách směrnice a zároveň
      • je středním nebo velkým podnikem, tedy zaměstnává 50 a více zaměstnanců, nebo dosahuje ročního obratu či bilanční sumy roční rozvahy alespoň 10 milionů EUR (zhruba 250 milionů CZK),“ uvádí NÚKIB na svém webu o dopadech NIS 2. 

      Jaké povinnosti nový ZoKB přinese?

      Zpřísnění pravidel pro řízení kybernetické bezpečnosti

      • Identifikace všech primárních aktiv v rámci celé organizace (včetně jejich evidence)
      • Určení, která primární aktiva souvisejí s poskytováním regulované služby, a určení jejich podpůrných aktiv
      • Řízení přístupu k aktivům
      • Stanovení rozsahu systému řízení bezpečnosti
      • Tvorba/aktualizace bezpečnostních politik a bezpečnostní dokumentace
      • Komplexnější přístup k řízení rizik, povinnost identifikovat rizika, vyhodnocovat a přijímat opatření ke snížení rizik, posuzovat naplňování plánu zvládání rizik
      • Zabezpečení pořizování, vývoje a údržby sítí a informačních systémů
      • Důraz na bezpečnost lidských zdrojů, pravidelná školení a kybernetická hygiena
      • Prosazování politik a postupů týkajících se používání kryptografie, případně šifrování
      •  Využívání vícefaktorového ověření identity
      •  Zajištění provedení auditu kybernetické bezpečnosti

      Sdílení informací

      • Hlášení registračních, kontaktních a dalších doplňujících údajů NÚKIBu
      • Hlášení kybernetických bezpečnostních incidentů (prvotní hlášení do 24 hodin)
      • Informování uživatelů regulované služby (v případě kybernetického informačního incidentu)
      • Vzájemné sdílení podstatných informací o kybernetické bezpečnosti včetně informací týkajících se kybernetických hrozeb, zranitelností, indikátorů narušení, taktiky, technik a postupů, varování při ohrožení kybernetické bezpečnosti a konfiguračních nástrojů

      Zajištění bezpečnosti dodavatelů

      • Prověřování a zajišťování bezpečnosti celého dodavatelského řetězce
      • Zohledňování zranitelných míst i kvality postupů v oblasti kyberbezpečnosti u každého přímého dodavatele a poskytovatele služeb

      Realizace protiopatření

      • Povinnost provádění výstrah, varování a reaktivních opatření
      • Následné oznámení o provedení a výsledku opatření NÚKIBu

      Větší důraz na management incidentů

      • Důraz na řešení incidentů (prevence a odhalování kybernetických bezpečnostních incidentů a reakce na ně) a stanovení nutných bezpečnostních opatření
      • Prošetření a určení příčin kybernetického bezpečnostního incidentu
      • Vedení záznamů o kybernetických bezpečnostních incidentech a o jejich zvládání

      Kontrola vykonávaná NÚKIBem

      • Kontroly plnění povinností a dodržování prováděcích právních předpisů v oblasti kybernetické bezpečnosti
      • Povinnost provést uložená nápravná opatření
      • Dodržování vydaných varování, závazných pokynů či příkazů, aby subjekty napravily zjištěné nedostatky nebo porušení povinností

      Řízení kontinuity

      • Analýza dopadů
      • Pravidelná tvorba záloh
      • Pravidelné testování kontinuity a plánů obnovy

      Pomůžeme vám s implementací požadavků nového ZoKB a jeho vyhlášek

      Fáze 1 – analýza

      V první fázi zanalyzujeme váš systém řízení kybernetické bezpečnosti včetně interních předpisů, plánů a jednotlivých procesů. Zhodnotíme váš aktuální stav kybernetické bezpečnosti a dopady nové legislativy na vaši činnost. Následně stanovíme další kroky včetně harmonogramu.

      Fáze 2 – návrh

      V této fázi navrhneme celkový koncept řízení kybernetické bezpečnosti podle nového ZoKB včetně vhodných procesů, kontrolních systémů, plánů, metrik a technologií. Navrhneme strategické iniciativy vedoucí k souladu s legislativou, určíme priority, potřebné zdroje a podpůrné technologie.

      Fáze 3 – řešení

      V poslední fázi vám pomůžeme se zavedením funkčního procesu řízení kybernetické bezpečnosti. Provedeme úpravu dokumentů, procesů, nastavení reportingu, aktualizujeme analýzu rizik, business impact analýzu a plán zvládání rizik, vyškolíme vaše zaměstnance. Dále můžeme pomoci se zavedením Security Operations Centra či s obsazením bezpečnostních rolí.

      „Od NIS 2 očekávám především větší odolnost subjektů vůči kyberhrozbám, a tedy i menší zranitelnost. Přínosné bude i narovnaní kyberbezpečnostních podmínek a snížení rozdílů v úrovni vyspělosti kyberbezpečnosti napříč jednotlivými státy EU.“

      Tomáš Kudělka

      Director, Management Consulting KPMG

      Tomáš Kudělka
      Tomáš Kudělka

      Director, Advisory (2019-2024)

      KPMG Česká republika

      Eliška Kühnerová
      Eliška Kühnerová

      Associate Manager, Advisory (2022-2024)

      KPMG Česká republika