Pravděpodobně jedna z největších regulací, která nás v roce 2025 čeká, je NIS 2. Nová pravidla kyberbezpečnosti přinesou mnoho změn. Tou největší bude počet subjektů, na které nová regulace dopadne. Odhad je, že jich bude víc než 6000. Pokud nevíte, zda jste mezi dotčenými subjekty, nebo se jen chcete seznámit s problematikou kybernetické bezpečnosti a jejím současným stavem, jste tady správně.
Pro účely tohoto článku označujeme všechny připravované předpisy jako NIS 2 (povinnosti pro jednotlivé subjekty však budou vyplývat z připravovaného zákona o kybernetické bezpečnosti a prováděcích vyhlášek).
Původní plán stihnout implementaci do 18. 10. 2024 dodržen nebyl. Nová pravidla kyberbezpečnosti by tak měla být přijata někdy v polovině roku 2025. Je tak ještě nějaký čas na přípravu. A také na vyjasnění některých problematických pasáží, které NIS 2 obsahuje. Podívejme se na ně.
Tápete v otázkách NIS 2? Rádi vás celou problematikou srozumitelně provedeme. Ozvěte se.
NIS 2 je směrnice EU – to znamená, že pravidla z této směrnice musí být nejprve převedena do zákonů a dalších právních předpisů v jednotlivých členských státech. Aniž by se toto stalo, nejsou pravidla pro společnosti závazná. A právě tímto způsobem se také NIS 2 překlopí do nového zákona o kybernetické bezpečnosti a jeho prováděcích vyhlášek.
💡Zákon dopadne na poskytovatele regulované služby, kteří musí splnit tato dvě kritéria současně:
Často se setkáváme s nesprávně pochopenou interpretací typu: „Máme více než 50 zaměstnanců a spadáme mezi tzv. střední podniky, musíme tedy NIS 2 řešit.“ Není to však zcela automaticky pravda. Abyste pod novou regulaci spadli, musíte zároveň poskytovat některou z regulovaných služeb (viz kritérium služby výše). I když máte třeba 3 000 zaměstnanců, ale vaše společnost se zabývá šitím spodního prádla, pod NIS 2 nespadnete, protože jste nesplnili kritérium služby.
Abyste si byli opravdu jistí, jestli do regulovaných služeb patříte, jednoduše vyplňte náš interaktivní formulář, který předběžně posoudí, zda si máte s novými povinnostmi lámat hlavu.👇
Chci zjistit, zda na mě NIS 2 dopadá
Vyhláška o regulovaných službách, tedy ta část, která se věnuje určení služeb, jež budou pod NIS 2 spadat, obsahuje několik oblastí, které jsme vyjmenovali výše.
Pro odborníky pohybující se v IT segmentu je jistě nejzajímavější bod 16 přílohy této vyhlášky. Ten totiž definuje všechny služby digitální infrastruktury. Dozvíte se, že pod NIS 2 budou spadat mimo jiné poskytovatelé internetu, DNS překladů, poskytovatelé služby výměnného uzlu, provoz registru domén a další. A najdete zde také službu cloud computingu.
A právě v této oblasti vnímáme velký problém. Pojem cloud computing není nikde jasně vymezen. Například „oblíbený portál“ Wikipedia jej charakterizuje jako poskytování služeb či programů servery dostupnými z internetu s tím, že uživatelé k nim mohou přistupovat vzdáleně, např. pomocí webového prohlížeče nebo elektronické pošty.
A obdobně neurčitě o cloud computingu mluví také samotná NIS 2: „Modely služeb cloud computingu zahrnují mimo jiné infrastrukturu jako službu (IaaS), platformu jako službu (PaaS), software jako službu (SaaS) a síť jako službu (NaaA).“
A v tom je ten zásadní problém. Definice je prostě nejasná, neurčitá a nekonzistentní.
Tím pádem můžeme pod službu cloud computingu zařadit i například každý SaaS nástroj. Vzpomínáte, když jsme na začátku článku zmiňovali, že se NIS 2 dotkne 6000+ subjektů? Tak si představte, že do této kategorie spadne každý střední podnik, který poskytuje službu na bázi cloud computingu. V tu chvíli by byl počet povinných subjektů mnohonásobně vyšší.
Co všechno pro vás můžeme udělat v oblasti kybernetické bezpečnosti?
Pokud se ptáte, co s tím, musíme vás požádat o trpělivost. Počkáme si na konkrétní výklad ze strany EU. Není tedy ani na místě zlobit se na český Národní úřad pro kybernetickou a informační bezpečnost, který na přípravě návrhu předpisů odvedl skvělou práci. Pojem cloud computing byl pouze převzat z NIS 2, takže lokální regulační úřad s ním prakticky nic udělat nemůže. Sami jsme zvědaví na upřesňující definici.
Společnosti ale nemusí panikařit. Myslíme, že rozsah by měl směřovat zejména na ty subjekty, které mají například vlastní serverovou infrastrukturu.
Ať už to dopadne jakkoliv, času je stále dost, a jelikož střední podniky spadnou do režimu nižších povinností, nastavení toho nejdůležitějšího nebude tak složité.
Víte, že na vás NIS 2 dopadne? Podívejte se do článku a zjistěte, jak se můžete připravit už teď.