Na internetu se čím dál častěji objevují titulky typu: „Nejsou lidi, kteří zajistí kyberbezpečnost.“ A právě podobné výkřiky samozřejmě šíří mezi společnostmi paniku, že nestihnou včas implementovat všechny povinnosti, které NIS 2, respektive připravovaný zákon o kybernetické bezpečnosti přináší.
Za nás však není panika na místě. Rádi bychom vás ušetřili těchto stresových situací a v následujícím článku shrneme ty opravdu nejdůležitější povinnosti, které můžete začít řešit už teď. A také poradíme, s jakými opatřeními má smysl ještě nějakou dobu vyčkávat.
Podívejte se na záznam našeho webináře o NIS 2. Máte další dotazy? Napište nám.
Chceme vás uklidnit: Stále máte čas, i když je NIS 2 už opravdu na dosah. Návrh zákona o kybernetické bezpečnosti počítá s roční lhůtou pro samotnou implementaci bezpečnostních opatření. Zákon by měl být účinný pravděpodobně v polovině roku 2025. Jinými slovy, pokud zákon vstoupí v účinnost v červnu 2025, budete mít stále 1 celý rok na to, abyste vaši organizaci dali do souladu se všemi bezpečnostními povinnostmi. Tedy váš deadline bude až v roce 2026. Samozřejmě některé povinnosti bude potřeba splnit hned po účinnosti zákona, bude se však jednat o „registrační“ a formální povinnosti.
S čím už ale můžete pomalu začít?
V první řadě identifikujte, zda se na vás vůbec vztahují povinnosti stanovené v zákoně. Bohužel ani po samoidentifikaci nebudete mít 100% jistotu. Proč? Protože zákon ani vyhlášky ještě neznají finální znění a určitě bude docházet ke zpřesnění definic povinných subjektů.
Chci zjistit, jestli musím NIS 2 řešit
Odpovězte si na otázku, zda spadáte do kategorie středních a velkých podniků (zjednodušeně to bude v případě, kdy máte více než 50 zaměstnanců, nebo obrat vyšší než 10 miliónů EUR). Také kriticky zhodnoťte své poskytované služby — provozujete nemocnici? V tomto případě už nic dalšího řešit nemusíte a rovnou se pusťte do přípravy na implementaci NIS 2 s vykřičníkem, že konkrétní podoba povinností bude promítnuta do zákona o kybernetické bezpečnosti a prováděcích vyhlášek.
Jste SaaSový nástroj, který slouží k vizualizaci stavebních výkresů? Na vašem místě bychom ještě vyčkali. Právě oblast cloud computingu se může ještě výrazně zúžit podle toho, jaký výklad zvolí Evropská unie.
Při samoidentifikaci vás bude také primárně zajímat, zda spadnete do režimu vyšších nebo nižších povinností. Velmi zjednodušeně můžeme říct, že pokud budete pouze subjektem v režimu nižších povinností, bude splnění jednodušší a troufáme si tvrdit, že implementovat všechny povinnosti zvládnete v rozumném časovém horizontu. Pokud jste však doposud regulováni nebyli a nově spadnete do režimu vyšších povinností, času už není nazbyt.
Celý myšlenkový proces samoidentifikace by měl vypadat následovně:
Chcete konzultaci k NIS 2? Kontaktujte nás.
NIS 2 se vztahuje pouze na regulované služby. Vy jako společnost (nebo skupina podniků) můžete poskytovat několik různých služeb. Proto si dobře zmapujte váš kyberprostor, co všechno máte navázáno na vaši regulovanou službu. Návrh zákona tuto část označuje za tzv. primární aktiva. K tomu si musíte ještě určit, jaké dodavatele, objekty, technologie, programové prostředky a další máte na službu navázány.
Zde by se hodil také krátký slovníček pojmů, takže:
Proč si musíte určit rozsah služby? Právě na základě nadefinovaného rozsahu služby se budou nastavovat bezpečnostní opatření, nebo se od něj budou odvíjet povinnosti hlásit kybernetické incidenty, aj. Nezapomínejte na to, že pokud si rozsah nenadefinujete, bude se za regulovanou službu považovat celá služba, kterou poskytujete, bez ohledu na to, zda by jinak byla regulovaná.
Možná se ptáte, proč tuto část udělat už teď, i když neznáme finální znění zákona? Protože od dobře nadefinovaného stanoveného rozsahu se poté bude odvíjet i vaše finanční plánování. Budete schopni mnohem lépe určit, kolik vás implementace všech technických a bezpečnostních opatření bude stát.
Už určitě můžete začít hledat lidi. Jak z vlastních řad, tak z řad externistů. Ať už jste v režimu nižších, nebo vyšších povinností, potřebujete jasně určit odpovědné osoby. Musíte definovat, kdo je za jednotlivá aktiva odpovědný.
Stejně jako, když má někdo ve společnosti na starosti GDPR, finanční řízení apod., měly by fungovat také osoby odpovědné za jednotlivé činnosti v rámci poskytování regulované služby. Osoba by měla znát dané aktivum dostatečně dobře a rozhodně by to měla být osoba, která je ve společnosti odpovědná za kyberbezpečnost.
Určení odpovědných lidí nemusíte odkládat až na účinnost zákona. Pamatujte totiž na to, že kybernetický incident se vám může přihodit kdykoliv. Jasně nadefinované odpovědnosti vám poté pomohou celý incident odřídit a zajistit jeho vyřešení.
Jestliže spadnete do režimu vyšších povinností, personálních rolí budete muset zajistit mnohem víc. Potřebujete manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti, garanty aktiv, auditora kybernetické bezpečnosti. Na tyto osoby jsou navíc kladeny požadavky z pohledu praxe v oblasti kybernetické bezpečnosti apod.
Připravte se na to, že vaše náklady na kybernetickou bezpečnost budou příští rok vyšší, než jste zvyklí. Pokud spadnete do regulovaného režimu, počítejte s tím, že budete potřebovat personál, nejspíš vás nemine ani nákup nové techniky (případně softwaru), zajištění GAP analýzy a zajištění určité kontinuity kybernetické bezpečnosti.
Pokud by vás zajímalo, na jakou částku se máte připravit, těžko to tady nadefinujeme. Pokud ale aktuálně investujete do IT zabezpečení určitý obnos, příští rok vás může čekat nárůst o desítky procent.
V momentě, kdy bude známá finální podoba zákona, přijde čas na GAP analýzu. Zhodnocení, jaký je váš aktuální stav a kam se musíte dostat. Z této analýzy následně vyplynou jasné náklady, které vaší společnosti zavedení NIS 2 přinese. Nemusíte se bát papírování, z velké části půjde o technické zhodnocení kyberprostoru s jasnými návrhy implementace.
Ani technická stránka vás nemusí trápit. Máme spolehlivé technické partnery, kteří nám s NIS 2 pomáhají, postaráme se o vás kompletně. Napište nám.
Pokud už nyní víte, že na vás NIS 2 dopadne, myslete na smlouvy s vašimi dodavateli. Výrazně doporučujeme alespoň přikládat ustanovení, že se strany zavazují otevřít otázku bezpečnostních opatření, které musí dodavatel přijmout, ve chvíli, kdy budou známy jasné požadavky.
Až bude zákon účinný, bude vás toho čekat hodně. Aktuální návrh zákona stanovuje následující povinnosti:
Nevíte si s NIS 2 rady? Zavolejte, nebo napište. Pomůžeme vám nařízení pevně uchopit i ve vaší organizaci.