Požadavky NIS2 pro české organizace – Kompletní průvodce
Kompletní průvodce požadavky NIS2 pro české organizace. Řízení rizik, hlášení incidentů, bezpečnost dodavatelského řetězce, sankce a implementace v ČR.
Směrnice NIS2 (EU 2022/2555) představuje aktualizovaný rámec kybernetické bezpečnosti Evropské unie pro základní a důležité subjekty. Nahrazuje původní směrnici NIS a zavádí přísnější požadavky na řízení kybernetické bezpečnosti, řízení rizik, hlášení incidentů, bezpečnost dodavatelského řetězce a kontinuitu provozu.
Tento kontrolní seznam shrnuje hlavní požadavky NIS2, které by organizace měly zohlednit při přípravě na soulad s právními předpisy v roce 2026.
Na koho se NIS2 vztahuje?
NIS2 se vztahuje na organizace působící v 18 kritických a důležitých odvětvích v Evropské unii. Patří mezi ně mimo jiné energetika, doprava, bankovnictví, infrastruktura finančních trhů, zdravotnictví, pitná voda, odpadní voda, digitální infrastruktura, řízení služeb ICT, veřejná správa, kosmický sektor, poštovní a kurýrní služby, nakládání s odpady, chemické látky, potraviny, výroba vybraných kritických produktů, digitální poskytovatelé a výzkum.
Směrnice rozlišuje dvě hlavní kategorie subjektů:
Základní subjekty: zpravidla velké organizace působící v odvětvích s vysokou kritičností a také vybrané subjekty poskytující zvlášť významné služby, které mohou podléhat NIS2 bez ohledu na svou velikost.
Důležité subjekty: ostatní střední a velké organizace působící v odvětvích zahrnutých do NIS2, které nejsou klasifikovány jako základní subjekty.
Obecně se NIS2 vztahuje na střední a velké organizace, tedy obvykle na subjekty s nejméně 50 zaměstnanci nebo s ročním obratem a/nebo bilanční sumou přesahující 10 milionů eur. Existují však výjimky a každý členský stát EU převádí NIS2 do svého vnitrostátního práva, takže konkrétní rozsah povinností se může v jednotlivých jurisdikcích lišit.
Kontrolní seznam souladu s NIS2
1. Ověřte klasifikaci své organizace
Prvním krokem je určit, zda organizace působí v odvětví zahrnutém do NIS2 a zda spadá mezi základní nebo důležité subjekty.
Je nutné ověřit:
- odvětví činnosti a poskytované služby,
- velikost organizace a finanční prahové hodnoty,
- případné výjimky z velikostních kritérií,
- vnitrostátní právní předpisy provádějící NIS2 v každém relevantním členském státě EU,
- registrační povinnosti vůči příslušným vnitrostátním orgánům.
2. Přidělte odpovědnost na úrovni vedení
Podle článku 20 NIS2 odpovídají řídicí orgány za schvalování opatření pro řízení kybernetických rizik a za dohled nad jejich prováděním.
Představenstvo, jednatelé a vrcholové vedení by měli:
- schvalovat politiky kybernetické bezpečnosti a opatření pro řízení rizik,
- dohlížet na jejich zavádění,
- absolvovat školení v oblasti kybernetické bezpečnosti,
- pravidelně vyhodnocovat zprávy o rizicích a souladu,
- dokumentovat rozhodnutí, schválení a dohledové činnosti.
Kybernetická bezpečnost by měla být vnímána jako součást řízení organizace, nikoli pouze jako úkol IT oddělení.
3. Zaveďte opatření pro řízení rizik podle článku 21 NIS2
Článek 21 NIS2 vyžaduje zavedení vhodných a přiměřených technických, provozních a organizačních opatření pro řízení kybernetických rizik.
Tato opatření zahrnují mimo jiné:
- analýzu rizik a politiky bezpečnosti informačních systémů,
- postupy pro řešení incidentů,
- kontinuitu provozu a obnovu po havárii,
- správu záloh,
- bezpečnost dodavatelského řetězce,
- bezpečnost při pořizování, vývoji a údržbě systémů,
- řešení a zveřejňování zranitelností,
- základní postupy kybernetické hygieny a školení,
- politiky týkající se kryptografie a šifrování,
- bezpečnost lidských zdrojů,
- řízení přístupu a správu aktiv,
- používání vícefaktorového ověřování a zabezpečené komunikace tam, kde je to vhodné.
Organizace by měla být schopna prokázat, že tato opatření neexistují pouze v dokumentech, ale jsou skutečně zavedena, testována a pravidelně přezkoumávána.
4. Připravte postupy pro hlášení incidentů
NIS2 zavádí přísné lhůty pro hlášení významných incidentů.
Hlavní fáze hlášení jsou:
- do 24 hodin: včasné varování,
- do 72 hodin: oznámení incidentu s prvotním posouzením,
- do jednoho měsíce od oznámení incidentu: závěrečná zpráva.
Příslušné orgány nebo týmy CSIRT mohou rovněž vyžadovat průběžné zprávy nebo zprávy o postupu řešení incidentu.
Za významný incident se považuje incident, který způsobuje nebo může způsobit závažné narušení provozu, finanční ztrátu nebo významnou hmotnou či nehmotnou újmu jiným osobám nebo organizacím.
5. Řiďte bezpečnost dodavatelského řetězce
NIS2 vyžaduje řízení kybernetických rizik souvisejících s dodavateli a poskytovateli služeb.
Praktická opatření zahrnují:
- identifikaci kritických dodavatelů,
- hodnocení úrovně kybernetické bezpečnosti dodavatelů,
- zahrnutí požadavků na kybernetickou bezpečnost do smluv,
- stanovení povinností dodavatelů při hlášení incidentů,
- průběžné sledování bezpečnosti dodavatelů,
- přezkum přístupových oprávnění a technologických závislostí,
- uchovávání důkazů o náležité péči vůči dodavatelům.
Bezpečnost dodavatelského řetězce by měla být součástí nákupu, řízení dodavatelů a řízení rizik.
6. Připravte kontinuitu provozu a obnovu po havárii
Organizace by měly být připraveny zachovat nebo obnovit své služby během kybernetických incidentů i po jejich ukončení.
Klíčová opatření zahrnují:
- udržování otestovaných postupů zálohování,
- stanovení cílů doby obnovy, tedy RTO,
- stanovení cílů bodu obnovy, tedy RPO,
- přípravu plánů obnovy po havárii,
- zavedení postupů krizového řízení,
- pravidelné testování a aktualizaci plánů kontinuity provozu,
- dokumentování výsledků testů a nápravných opatření.
7. Udržujte dokumentaci a důkazy o souladu
Soulad s NIS2 je založen na důkazech. Samotné politiky a prohlášení nestačí, i když některé organizace se budou jistě tvářit, že papír s logem je totéž co bezpečnost.
Organizace by měla uchovávat:
- hodnocení rizik,
- bezpečnostní politiky a postupy,
- dokumentaci řešení incidentů,
- hodnocení dodavatelů,
- inventáře aktiv,
- přezkumy přístupových oprávnění,
- dokumentaci řízení zranitelností,
- záznamy o školeních,
- výsledky testů zálohování a obnovy po havárii,
- schválení ze strany vedení,
- auditní důkazy.
Centrální úložiště důkazů usnadňuje přípravu na dohled, audity a interní kontroly souladu.
8. Zaregistrujte se u příslušného orgánu, pokud je to vyžadováno
Některé subjekty mohou mít povinnost registrace nebo předání informací příslušnému vnitrostátnímu orgánu.
Může se to týkat mimo jiné:
- poskytovatelů služeb DNS,
- registrů domén nejvyšší úrovně,
- poskytovatelů cloud computingu,
- poskytovatelů služeb datových center,
- poskytovatelů sítí pro doručování obsahu,
- poskytovatelů řízených služeb,
- poskytovatelů řízených bezpečnostních služeb,
- online tržišť,
- internetových vyhledávačů,
- platforem sociálních sítí.
Registrační postupy, lhůty a požadovaný rozsah informací se liší podle členského státu.
Sankce a vymáhání NIS2
NIS2 poskytuje vnitrostátním orgánům silnější dohledové a donucovací pravomoci.
Základní subjekty mohou podléhat proaktivnímu dohledu, včetně auditů, kontrol a žádostí o předložení důkazů. Důležité subjekty zpravidla podléhají reaktivnímu dohledu, který je zahájen v případě důkazů nebo indicií o nesouladu.
Správní pokuty mohou dosáhnout:
- u základních subjektů: až 10 milionů eur nebo 2 % celkového ročního celosvětového obratu, podle toho, která částka je vyšší,
- u důležitých subjektů: až 7 milionů eur nebo 1,4 % celkového ročního celosvětového obratu, podle toho, která částka je vyšší.
Vnitrostátní právo může stanovit další donucovací opatření a podrobné postupy dohledu.
Vnitrostátní provedení se může lišit
NIS2 je směrnice, takže každý členský stát ji provádí do svého vnitrostátního práva. To znamená, že rozsah povinností, registrační lhůty, kanály pro hlášení, příslušné orgány a přechodná období se mohou v jednotlivých zemích lišit.
Organizace působící ve více státech by měly ověřit místní předpisy provádějící NIS2 v každé relevantní jurisdikci, včetně České republiky, Polska, Německa a dalších významných trhů EU.
Vybrané digitální a ICT subjekty by měly rovněž posoudit prováděcí nařízení Komise (EU) 2024/2690, které dále upřesňuje opatření pro řízení kybernetických rizik a kritéria významného incidentu pro určité kategorie poskytovatelů.
Jak Quantifier pomáhá se souladem s NIS2?
Quantifier.ai pomáhá organizacím připravit se na soulad s NIS2 a řídit jej prostřednictvím platformy GRC založené na umělé inteligenci.
Quantifier podporuje:
- automatickou analýzu mezer vůči požadavkům NIS2,
- mapování kontrol na článek 21,
- hodnocení kybernetických rizik,
- pracovní postupy pro hlášení incidentů,
- řízení rizik dodavatelů,
- sledování důkazů o kontinuitě provozu,
- průběžné monitorování souladu,
- dokumentaci připravenou pro audit.
Díky Quantifier mohou organizace nahradit roztříštěné tabulky a ruční sledování souladu strukturovaným, průběžně monitorovaným programem souladu s NIS2.
Domluvte si demo a zjistěte, jak může Quantifier podpořit připravenost vaší organizace na NIS2.
FAQ
Na koho se NIS2 vztahuje?
NIS2 se vztahuje na střední a velké organizace působící v odvětvích kritických a důležitých pro Evropskou unii. Některé subjekty mohou podléhat NIS2 bez ohledu na velikost, v závislosti na své roli a vnitrostátních předpisech.
Jaké jsou hlavní požadavky NIS2?
Hlavní požadavky zahrnují řízení kybernetické bezpečnosti, řízení rizik, hlášení incidentů, bezpečnost dodavatelského řetězce, kontinuitu provozu, dokumentaci a spolupráci s příslušnými vnitrostátními orgány.
Jaký je harmonogram hlášení incidentů podle NIS2?
NIS2 vyžaduje včasné varování do 24 hodin, oznámení incidentu do 72 hodin a závěrečnou zprávu do jednoho měsíce od oznámení incidentu.
Jaké sankce hrozí za nesoulad s NIS2?
Základním subjektům mohou hrozit pokuty až do výše 10 milionů eur nebo 2 % celosvětového ročního obratu. Důležitým subjektům mohou hrozit pokuty až do výše 7 milionů eur nebo 1,4 % celosvětového ročního obratu. V obou případech se použije vyšší z těchto částek.