Směrnice NIS2 a nový Zákon o kybernetické bezpečnosti

Analýza, strategie a implementace

Tým PwC složený ze specialistů na kyberbezpečnost, právo, digitalizaci a další obory vám pomůže se splněním povinností souvisejících s NIS2. Od bezpečnostní a právní analýzy přes strategii, financování až po design a implementaci. Nabízíme také outsourcing samotného provozu systému řízení bezpečnosti (“ISMS”) a vzdělávání zaměstnanců.

9 000

nových organizací se bude muset řídit NIS2

*dle vyjádření: NÚKIB
2025

předpokládaná účinnost nového Zákona o kybernetické bezpečnosti
10 milionů eur

nebo 2 % z čistého obratu je maximální výše pokuty za nedodržování NIS2

Co je směrnice NIS2?

NIS2 je aktualizovanou verzí směrnice NIS (Network and Information Security) z roku 2016. NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a představuje nové řešení pro posílení a zabezpečení evropského kyberprostoru. Členské státy EU mají za povinnost tuto směrnici adaptovat do svého právního řádu.

V rekordním čase od publikování finálního znění směrnice NIS2 v Úředním věstníku Evropské unie publikoval NÚKIB na konci ledna 2023 návrh znění nového Zákona o kybernetické bezpečnosti a osm návazných vyhlášek. NÚKIB navrhl nejít cestou novelizace současného zákona, ale kompletně novým zákonem.

Hlavní navržené změny tohoto zákona

Větší počet regulovaných organizací a služeb
Větší nároky na bezpečnost dodavatelského řetězce
Lokalizace dat
Hlášení incidentů
Pokuty
Odpovědnost a povinnosti vedení

Větší počet regulovaných organizací a služeb

Jedním z cílů směrnice NIS2 je zvýšení úrovně bezpečnosti nejen v prostředí „VIP klubu“, ale zajistit bezpečnost u většiny významných prvků národní infrastruktury a služeb. Nový zákon se bude vázat nejen na nové regulované subjekty (podle úvodních odhadů NÚKIB se jedná o 6000 subjektů), ale často bude také rozšiřovat rozsah účinnosti zákona na větší počet systémů a služeb v rámci stejné organizace, které již podléhají současnému zákonu z roku 2014.

Z regulovaných oblastí služeb se jedná o veřejnou správu, energetiku, výrobní průmysl, potravinářský průmysl, chemický průmysl, vodní a odpadové hospodářství, drážní, vodní a silniční dopravu, digitální infrastrukturu a služby, finanční trhy, zdravotnictví, vědu, výzkum a vzdělávání, poštovní služby, vojenský a vesmírný průmysl. Kompletní výčet je k dispozici v návrhu Vyhlášky o regulovaných službách.

Větší nároky na bezpečnost dodavatelského řetězce

Evropský regulátor i NÚKIB přikládají stále větší významnost bezpečnosti dodavatelů. Důvodem jsou jak stále častější úspěšné útoky z poslední doby skrze dodavatelský řetězec (jako tomu bylo v případech Solarwinds, Okta, LastPass a mnoho dalších), tak i zvyšující se závislosti v řetězci. V analogii z fyzického světa jsou vidět závislosti v dodavatelském řetězci u dostupnosti a cen energií a pohonných hmot v kontextu války na Ukrajině. Z pohledu kybernetické bezpečnosti mohou tyto vazby na třetí strany být daleko nenápadnější a v určitých ohledech fatálnější (například nedávné zranitelnosti Log4j nebo OpenSSL).

Návrh zákona udává (podobně jako současná právní úprava) povinnost aktivně řídit kyberbezpečnost v rámci výběru svých dodavatelů, kdy pro významné dodavatele stanovuje další povinnosti včetně požadavků na obsah smlouvy s dodavatelem, vyhodnocení implementovaných bezpečnostních opatření dodavatele a návazných rizik, přezkoumávání smluv a pravidelnou kontrolu opatření dodavatele.

Úplnou novinkou v návrhu je začlenění hodnocení NÚKIB do procesu výběru významného dodavatele (platné pro organizace spadající do režimu vyšších povinností). Cílem je zde začlenění a zmírnění závislostí v kontextu strategických a politických zájmů České republiky. NÚKIB v rámci tohoto procesu plánuje vyhodnocovat oblasti, jako jsou země působnosti dodavatele, trestná činnost dodavatele, ekonomická aktivita, jednání zástupců dodavatele a další oblasti podrobněji popsané ve Vyhlášce o kritériích rizikovosti dodavatele.

Lokalizace dat

Pro organizace spadající do režimu vyšších povinností NÚKIB navrhuje požadavky na lokalizaci dat pouze na území České republiky, případně Evropské unie (data se nesmí fyzicky vyskytovat jinde, než na povoleném území). Tento požadavek se vztahuje na případy zpracování dat, které mohou mít za následek incident s významným dopadem (například vede ke zranění více než 2500 osob, vede k finančním ztrátám nad 10 % běžných výdajů ročního rozpočtu povinné osoby a dalším dopadům).

Obdobný požadavek můžeme znát již z GDPR, kde je možné za určitých podmínek zpracovávat osobní údaje pouze na území Evropské unie.

Pokud se tento požadavek dostane do konečného znění zákona, bude to pravděpodobně pro společnosti znamenat významné výdaje na migraci dat ze současných úložišť do České republiky, resp. Evropské unie.

Hlášení incidentů

Hlášení kybernetických incidentů NÚKIB, resp. národnímu CERT je zakotveno již v současné právní úpravě. Nově tuto povinnost bude mít větší rozsah společností (v návaznosti na rozšíření rozsahu povinných subjektů popsaných v bodě 1). Povinnost je dále rozšířena také na oznámení incidentu uživatelům služby.

Odpovědnost a povinnosti vedení

Dle záměru NIS2 by měla být zvýšena odpovědnost vrcholového vedení organizace za kyberbezpečnost a dodržování souladu se zákonem. Relativně významná část navrhovaného zákona je věnována právě povinnostem vrcholového vedení, mezi které patří zajištění stanovení bezpečnostní politikya cílů, zajištění dostatečných zdrojů, komunikaci důležitosti bezpečnosti ve společnosti, participace na řízení kybernetických rizik a řada dalších povinností.

Co naopak zůstává podobné

Návrh nového zákona o kybernetické bezpečnosti je, stejně jako současné znění, založený na mezinárodně uznávaných standardech rodiny ISO 27000, a tedy nepředstavuje (až na výjimky) nové koncepty a opatření, které by již jinak vyspělá společnost přirozeně neaplikovala.

Jak vám může pomoci PwC

Tým PwC složený jak z expertů na kyberbezpečnost, tak i právníků PwC Legal a případně odborníků na veřejný sektor nabízí kompletní balíček služeb zaměřených na splnění povinností souvisejících s NIS2.

Analýza dopadu aplikování směrnice na organizaci a určení rozsahu řízení kybernetické bezpečnosti
Rozdílová analýza současného stavu bezpečnosti.
Analýza rizik bezpečnosti informací
Právní analýza smluv a dalších právních dokumentů
Threat Intelligence a OSINT analýza
Cyber Hygiene Assessment (Technická analýza úrovně bezpečnosti skrze nástroj Tanium)
Compromise Discovery Assessment (Analýza kompromitace prostředí skrze nástroj Tanium)

Strategie programu transformace bezpečnosti
Zřízení bezpečnostní organizace, správy, řízení rizik a funkcí dodržování předpisů
Definice cílového operačního modelu
Plán transformace
Projektový a Programový plán

Analýza možností financování strategie z veřejných zdrojů a dotací Evropské Unie
Návrh řešení financování
Podpora v rámci procesu žádosti dotačního programu
Následná podpora - výběrová řízení, součinnost při kontrolách, monitorovací zprávy

Návrh a podpora dodání bezpečnostních opatření
Tvorba a úprava řízené dokumentace
Návrh změn a implementace organizačních, právních i technických opatření z našeho portfolia služeb
Vývoj a konfigurace vybraných technických opatření (EDR, SIEM, VM, IAM/PAM, OT, Cloud security a další)
Návrh právních změn (smluvní ujednání s dodavateli, zaměstnanci, nastavení procesů)
Podpora či zastupování při komunikaci s NÚKIB či dalšími úřady při registraci regulované služby nebo oznamování incidentů
Podpora a řízení projektu implementace

Provoz ISMS
Managed service vybraných opatření
Vzdělávání a školení zaměstnanců
právní služby (v pracovněprávní, korporátní či trestněprávní oblasti) při řešení incidentů

Kde začít - úvodní balíček

V rámci vyrovnání se s dopady požadavků NIS 2 na fungování společnosti PwC doporučuje zvolit následující postup:

Analýza dopadu směrnice NIS 2

Pomůžeme vám analyzovat postavení vaší organizace vůči požadavkům NIS2 a identifikovat režim (Základní nebo Důležité), pod který spadáte. Provedeme vás určením rozsahu řízení kybernetické bezpečnosti ve vztahu k regulovaným službám, které identifikujeme.