Regulace podle NIS2: Střední a velké podniky čekají desítky nových povinností

Z minulého dílu seriálu Regulace podle NIS2 víme, na koho regulace v oblasti kybernetické bezpečnosti dopadne. Nepůjde se jí vyhnout třeba tím, že by podnik účelově vytvořil další dceřiné společnosti, aby tím snížil svou velikost. Ale touto cestou vyčlenění příslušných aktiv do specifické korporace půjde ovlivnit, na který subjekt ve skupině regulace dopadne.

Dnes si přiblížíme, o jaké povinnosti se jedná. Co mají společného? Směřují k jednomu cíli: podnikat preventivní kroky k posílení kybernetické bezpečnosti a být tak připraveni na možnost, že přijde kybernetický bezpečnostní incident. Zatímco původní směrnice NIS stanovila pouze vágně, že regulované osoby mají zajistit vhodná a přiměřená technická organizační opatření k ošetření rizik a zabránění incidentů, NIS2 jde v čl. 20 a 21 mnohem více do detailu.

Evropský důraz na přiměřenost

Stanoví, že povinné subjekty bez ohledu na režim regulace, pod kterou spadají, musejí přijmout vhodná a přiměřená technická, provozní a organizační opatření k řízení bezpečnostních rizik, jimž sítě a informační systémy provozované těmito subjekty čelí. Evropští zákonodárci v čl. 21 ale hned upřesňují, že opatření musí odpovídat existující míře rizika, ohlížet se na nejnovější technický vývoj a na příslušné evropské či mezinárodní normy a v neposlední řadě také na náklady na jejich provádění. Je zde tedy patrný důraz na přiměřenost a vzájemné vybalancování opatření ve vztahu k hodnotám, které jimi mají být chráněny.

NIS2 výslovně stanoví, že „při posuzování přiměřenosti těchto opatření je třeba náležitě zohlednit míru vystavení subjektu rizikům, jeho velikost a pravděpodobnost výskytu incidentů, jejich závažnost a společenský a ekonomický dopad“.

Z toho je zřejmé, že by neměl platit jednotný metr na všechny střední, resp. velké podniky a že i mezi nimi mají členské státy při ukládání povinností brát ohledy na jejich význam, míru rizika a náklady na jeho eliminaci. Podíváme-li se však na návrh nového kybernetického zákona, jakékoliv úlevy v chystané národní úpravě zde budeme hledat marně. Inu, na prostý český lid musí být přísnost…

85 stran nových povinností

Základem pro stanovení povinností je vždy analýza rizik. „Každá povinná osoba musí zanalyzovat svoji činnost, identifikovat potenciální rizika v oblasti kyberbezpečnosti a následně přijmout příslušná opatření pro jejich eliminaci, nebo alespoň minimalizaci,“ shrnuje postup advokát Jiří Kučera. Právě analýza rizik, zvolení a implementace vhodných opatření představuje jádro povinností dle NIS2 a zákona.

Povinnosti a opatření jsou podrobně popsány v návrhu prováděcích vyhlášek k zákonu o kybernetické bezpečnosti. Návrh vyhlášky upravující povinnosti v režimu vyšších povinností (služby essential) má včetně příloh 50 stran. Návrh vyhlášky pro nižší povinnosti (služby important) jich má 35. Je tak zřejmé, že rozsah povinností a opatření je opravdu vysoký a postupně ho budeme probírat i v příštích dílech našeho seriálu.

Povinnosti dělíme na organizační a technické. Každá z kategorií pak zahrnuje řadu opatření, která musí každá povinná osoba implementovat. Je zajímavé srovnat okruhy bezpečnostních opatření zmíněné v NIS2 jako nezbytné minimum, které členské státy mají do své legislativy zapracovat, s podobou opatření v návrhu kybernetického zákona. Evropský zákonodárce vydefinoval následující desatero okruhů:

• analýza rizik a politika bezpečnosti informačních systémů,
• zvládání bezpečnostních incidentů,
• kontinuita činností zahrnující správu zálohování a obnovu provozu po haváriích a krizové řízení,
• bezpečnost v rámci dodavatelského řetězce,
• zabezpečení pořizování, vývoje a údržby sítí a informačních systémů, včetně zveřejňování zranitelností a jejich řešení,
• politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit),
• praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti,
• politiky a postupy týkající se využívání kryptografie, případně také šifrování,
• bezpečnost lidských zdrojů, řízení přístupů a aktiv a
• využívání vícefaktorového ověřování identity, bezpečných komunikačních nástrojů a nástrojů pro nouzovou komunikaci.

K tomu dodejme, že u dodavatelského řetězce NIS2 explicitně ukládá členským státům zohledňovat zranitelnosti specifické pro každého přímého dodavatele a poskytovatele služeb a celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti svých dodavatelů a poskytovatelů služeb, včetně jejich postupu bezpečného vývoje.

Vedle povinnosti plnit bezpečnostní opatření pak do budoucna může Evropská komise i Česká republika stanovit, že povinné osoby mají pro svou službu mít certifikaci nebo mají využívat pouze certifikované produkty, služby nebo procesy. V takovém případě pak certifikace dokládá nebo nahrazuje plnění bezpečnostních opatření.

Náš kybernetický zákon počítá dohromady s 25 opatřeními pro poskytovatele regulované služby v režimu vyšší povinnosti a 12 opatřeními pro poskytovatele služby s nižšími povinnostmi. Když si je však postupně představíme, zjistíme, že tato opatření vesměs pouze rozvíjejí základní osnovu směrnice. Jde jen o košatěji rozvinuté evropské desatero okruhů.

Legislativní systematika je taková, že seznam bezpečnostních opatření upravuje § 15 návrhu nového kybernetického zákona, zatímco jejich naplnění konkrétními úkoly je rozvedeno ve dvojici prováděcích vyhlášek. Pro služby v režimu essential jsou bezpečnostní opatření rozdělena na 14 organizačních:

• systém řízení bezpečnosti informací,
• povinnosti vrcholného vedení,
• bezpečnostní role,
• řízení bezpečnostní politiky a bezpečnostní dokumentace,
• řízení aktiv,
• řízení rizik,
• řízení dodavatelů,
• bezpečnost lidských zdrojů,
• řízení změn,
• akvizice, vývoj a údržba,
• řízení přístupu,
• zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
• řízení kontinuity činností a
• audit kybernetické bezpečnosti

a dále na 11 technických:

• fyzická bezpečnost,
• bezpečnost komunikačních sítí,
• správa a ověřování identit,
• řízení přístupových oprávnění,
• detekce kybernetických bezpečnostních událostí,
• zaznamenávání bezpečnostních a relevantních provozních událostí,
• vyhodnocování kybernetických bezpečnostních událostí,
• aplikační bezpečnost,
• kryptografické algoritmy,
• zajišťování dostupnosti regulované služby a
• zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv.

Pro služby s nižší úrovní povinností v režimu important jde o:

• zajišťování minimální úrovně kybernetické bezpečnosti,
• povinnosti vrcholného vedení,
• řízení rizik,
• bezpečnost lidských zdrojů,
• řízení kontinuity činností,
• řízení přístupu,
• řízení identit a jejich oprávnění,
• detekce a zaznamenávání kybernetických bezpečnostních událostí,
• řízení kybernetických bezpečnostních incidentů,
• bezpečnost komunikačních sítí,
• aplikační bezpečnost a
• kryptografické algoritmy.  

Vedení odpovídá za proškolení sebe i podřízených

Za schválení a realizaci bezpečnostních opatření ke snížení rizik pro kybernetickou odpovědnost odpovídají řídící činitelé povinných organizací. Součástí těchto opatření je i to, že vedení organizací musí osobně absolvovat školení na téma kyberbezpečnosti a v těchto školeních podporovat také zaměstnance.

„Pro povinné subjekty ze zákona bude vyplývat široká škála povinností, které v převážné většině dosud nemusely řešit,“ upozorňuje advokát Jiří Kučera a dodává: „Povinným subjektům ale dopřává dlouhé aklimatizační období. Povinnosti bude nutné plnit až po jednom roce od okamžiku potvrzení registrace ze strany NÚKIB.“ Přitom registrace, jak jsme si popsali v předchozím dílu, je první povinností. Lhůta 90 dnů běží od účinnosti připravovaného zákona, resp. druhá subjektivní 30denní lhůta běží od chvíle, kdy subjekt zjistí, že příslušná kritéria naplnil.

Šéfka Thein Security Irena Hýsková přitom varuje před odkládáním příprav na pozdější dobu. „Rok se může zdát jako dostatečná doba, na druhou stranu pokud některé povinné subjekty nevěnují kybernetické bezpečnosti pozornost již nyní, nemusí mít dostatek času pro implementaci potřebných opatření,“ upozorňuje s tím, že znalosti potřebné k analýze kybernetických rizik často nejsou dostupné ani ve velkých korporacích, natož v menších firmách.

V příštím díle se už za týden podíváme na jednotlivé povinnosti ukládané regulovaným subjektům podrobněji.

• Chcete mít Lupu bez bannerů?
• Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
• Chcete mít k dispozici strojové přepisy podcastů?
• Chcete získat slevu 1 000 Kč na jednu z našich konferencí?

Staňte se naším podporovatelem

Chci se stát podporovatelem