Na internetu se čím dál častěji objevují titulky typu: „Nejsou lidi, kteří zajistí kyberbezpečnost.“ A právě podobné výkřiky samozřejmě šíří mezi společnostmi paniku, že nestihnou včas implementovat všechny povinnosti, které NIS 2, respektive připravovaný zákon o kybernetické bezpečnosti přináší.
Za nás však není panika na místě. Rádi bychom vás ušetřili těchto stresových situací a v následujícím článku shrneme ty opravdu nejdůležitější povinnosti, které můžete začít řešit už teď.
Pokud chcete mít ve všem kolem NIS 2 jasno, přihlaste se na webinář, který jsme si pro vás v říjnu připravili. Registrovat se můžete zde. ↗
A také poradíme, s jakými opatřeními má smysl ještě nějakou dobu vyčkávat.
Chceme vás uklidnit: Stále máte čas, i když je NIS 2 už opravdu na dosah. Návrh zákona o kybernetické bezpečnosti ↗ počítá s roční lhůtou pro samotnou implementaci bezpečnostních opatření. NÚKIB už nyní uvádí, že přijetí zákona bude nejdříve na konci roku 2024. Jinými slovy, pokud zákon vstoupí v účinnost v prosinci 2024, budete mít stále 1 celý rok na to, abyste vaši organizaci dali do souladu se všemi bezpečnostními povinnostmi. Tedy váš deadline bude až na podzim roku 2025. Samozřejmě některé povinnosti bude potřeba splnit hned po účinnosti zákona, bude se však jednat o „registrační“ a formální povinnosti.
S čím už ale můžete pomalu začít?
V první řadě identifikujte, zda se na vás vůbec vztahují povinnosti stanovené v zákoně. Bohužel ani po samoidentifikaci nebudete mít 100% jistotu. Proč? Protože zákon ani vyhlášky ještě neznají finální znění a určitě bude docházet ke zpřesnění definic povinných subjektů.
Odpovězte si na otázku, zda spadáte do kategorie středních a velkých podniků (zjednodušeně to bude v případě, kdy máte více než 50 zaměstnanců, nebo obrat vyšší než 10 miliónů EUR). Následně kriticky zhodnoťte své poskytované služby — provozujete nemocnici? V tomto případě už nic dalšího řešit nemusíte a rovnou se pusťte do přípravy na implementaci NIS 2 s vykřičníkem, že konkrétní podoba povinností bude promítnuta do zákona o kybernetické bezpečnosti a prováděcích vyhlášek.
Jste SaaSový nástroj, který slouží k vizualizaci stavebních výkresů? Na vašem místě bychom ještě vyčkali. Právě oblast cloud computingu se může ještě výrazně zúžit ↗ podle toho, jaký výklad zvolí Evropská unie.
Při samoidentifikaci vás bude také primárně zajímat, zda spadnete do režimu vyšších nebo nižších povinností. Velmi zjednodušeně můžeme říct, že pokud budete pouze subjektem v režimu nižších povinností, bude splnění jednodušší a troufáme si tvrdit, že implementovat všechny povinnosti zvládnete v rozumném časovém horizontu. Pokud jste však doposud regulováni nebyli a nově spadnete do režimu vyšších povinností, času už není nazbyt.
Přáli byste si konzultaci? Kontaktujte nás. ↗
NIS 2 se vztahuje pouze na regulované služby. Vy jako společnost (nebo skupina podniků) můžete poskytovat několik různých služeb. Proto si dobře zmapujte váš kyberprostor, co všechno máte navázáno na vaši regulovanou službu. Návrh zákona tuto část označuje za tzv. primární aktiva. K tomu si musíte ještě určit, jaké dodavatele, objekty, technologie, programové prostředky a další máte na službu navázány.
Proč si musíte určit rozsah služby? Právě na základě nadefinovaného rozsahu služby se budou nastavovat bezpečnostní opatření, nebo se od něj budou odvíjet povinnosti hlásit kybernetické incidenty, aj. Nezapomínejte na to, že pokud si rozsah nenadefinujete, bude se za regulovanou službu považovat celá služba, kterou poskytujete, bez ohledu na to, zda by jinak byla regulovaná.
Možná se ptáte, proč tuto část udělat už teď, i když neznáme finální znění zákona? Protože od dobře nadefinovaného stanoveného rozsahu se poté bude odvíjet i vaše finanční plánování. Budete schopni mnohem lépe určit, kolik vás implementace všech technických a bezpečnostních opatření bude stát.
Už určitě můžete začít hledat lidi. Jak z vlastních řad, tak z řad externistů. Ať už jste v režimu nižších, nebo vyšších povinností, potřebujete jasně určit odpovědné osoby. Musíte definovat, kdo je za jednotlivá aktiva odpovědný.
Stejně jako, když má někdo ve společnosti na starosti GDPR, finanční řízení apod., měly by fungovat také osoby odpovědné za jednotlivé činnosti v rámci poskytování regulované služby. Osoby by měly znát dané aktivum dostatečně dobře a rozhodně by to měla být osoba, která je ve společnosti odpovědná za kyberbezpečnost.
Určení odpovědných lidí nemusíte odkládat až na účinnost zákona. Pamatujte totiž na to, že kybernetický incident se vám může přihodit kdykoliv. Jasně nadefinované odpovědnosti vám poté pomohou celý incident odřídit a zajistit jeho vyřešení.
Jestliže spadnete do režimu vyšších povinností, personálních rolí budete muset zajistit mnohem víc. Potřebujete manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanty aktiv, auditora kybernetické bezpečnosti. Na tyto osoby jsou navíc kladeny požadavky z pohledu praxe v oblasti kybernetické bezpečnosti apod.
Připravte se na to, že vaše náklady na kybernetickou bezpečnost budou příští rok vyšší, než jste zvyklí. Pokud spadnete do regulovaného režimu, počítejte s tím, že budete potřebovat personál, nejspíš vás nemine ani nákup nové techniky (případně softwaru), zajištění GAP analýzy a zajištění určité kontinuity kybernetické bezpečnosti.
Pokud by vás zajímalo, na jakou částku se máte připravit, těžko to tady nadefinujeme. Pokud ale aktuálně investujete do IT zabezpečení určitý obnos, příští rok vás může čekat nárůst o desítky procent.
V momentě, kdy bude známá finální podoba zákona, přijde čas na GAP analýzu. Zhodnocení, jaký je váš aktuální stav a kam se musíte dostat. Z této analýzy následně vyplynou jasné náklady, které vaší společnosti zavedení NIS 2 přinese. Nemusíte se bát papírování, z velké části půjde o technické zhodnocení kyberprostoru s jasnými návrhy implementace.
Ani technická stránka vás nemusí trápit. Máme spolehlivé technické partnery, kteří nám s NIS 2 pomáhají, postaráme se o vás kompletně. Napište nám. ↗
Pokud už nyní víte, že na vás NIS 2 dopadne, myslete na smlouvy s vašimi dodavateli. Výrazně doporučujeme alespoň přikládat ustanovení, že se strany zavazují otevřít otázku bezpečnostních opatření, které musí dodavatel přijmout, ve chvíli, kdy budou známy jasné požadavky.
Až bude zákon účinný, bude vás toho čekat hodně. Aktuální návrh zákona stanovuje následující povinnosti:
Nevíte si s NIS 2 rady? Zavolejte, nebo nám napište. Jsme připraveni a pomůžeme vám nařízení pevně uchopit i ve vaší organizaci.
Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.
