Teprve z recitálů ke směrnici lze vyčíst, že bezpečnost dodavatelského řetězce je primárně cílena na odstranění čínských komponent z evropských mobilních sítí.

Šest z deseti kybernetických incidentů mají původ uvnitř organizace, zbývající čtyři směřují zvenku.

Záleží na velikosti podniku, počtu poskytovaných služeb, jejich druhu, míře regulace a jestli se otázce bezpečnosti firma věnuje už nyní.

Nezáleží přitom na velikosti podniku. Pod přísnější regulaci se tak může dostat i živnostník poskytující webhosting už 10 tisícům domén.

Styčná síť organizací pro řešení kybernetických krizí bude během rozsáhlých útoků partnerem politikům pro přijímání strategických rozhodnutí na evropské úrovni.

Pravomoci NÚKIBu podle nového kyberzákona významně posílí a přiblíží se režimu nouzového stavu. Proti jeho rozhodnutím nebude možná obrana opravnými prostředky.

Nařízení DORA je více detailní než NIS2 a přizpůsobení se jejím požadavkům bude pro finanční instituce nákladnější.

Ze zásadních připomínek uplatněných státní správou zůstalo pět desítek rozporů. To může zastavit legislativní pouť nového kyberzákona už na úrovni vlády.

Nový kybernetický zákon podle směrnice NIS2 umožní regulátorovi významně přitvrdit. NÚKIB bude moci ukládat pokuty i procentem z ročního celosvětového obratu.

Zatím se ale na příkladu českých bank ukazuje, že peněžní ústavy nejsou schopny se z chyb svých konkurentů ani druhý či třetí den poučit.

Audit lze rozložit do více samostatných celků. Potom platí, že kompletně vše musí být prověřeno alespoň jednou za pět let.

Od zjištění problému běží lhůta 24 hodin na jeho oznámení. Nesplnění této povinnosti navrhovaný zákon trestá nejpřísnější sankcí v řádu stovek milionů korun.

Velké podniky budou muset na kyberbezpečnost pamatovat i při plánování akvizic, aby nově pořízené systémy neohrozily ty jejich stávající.

Operátoři i ČTÚ žádají, aby se zákaz dodávek z Číny týkal jen kritické úrovně služeb. Komponenty od Huawei by se tak nesměly používat jen pro jádro sítě.

Nejvíce vadí nesrozumitelnost a úprava týkající se bezpečnosti dodavatelských vztahů. Kdo a jak chce změnit chystaný zákon o kybernetické bezpečnosti?

Firmy čeká přinejmenším určení osoby odpovědné za kybernetickou bezpečnost a sepsání bezpečnostních politik. Rozsah dokumentace se ale bude lišit podle identifikovaných potřeb.

Firmy budou muset třeba povinně zabezpečit své sítě, spravovat a ověřovat identity a řídit přístupová oprávnění. Velké podniky čeká i řízení dodavatelů nebo audit kybernetické bezpečnosti.

V režimu vyšších povinností budou muset podniky přijmout organizační opatření týkající se subdodavatelů. V určitých případech bude možné plnění prostřednictvím subdodávek zcela zakázat.

Nová regulace kybernetické bezpečnosti podle směrnice NIS2 už za rok dopadne na nejméně 6 tisíc dalších subjektů a organizací. Díky našemu seriálu budete na novinky včas připraveni.

Nová evropská směrnice o kybernetické bezpečnosti se už za rok začne vztahovat na více subjektů než nyní. V novém seriálu na Lupě tyto změny dopodrobna rozebereme.