Hlavní navigace

Směrnice NIS2 přinese změny IT procesů, přijde přibližně za rok

1. 6. 2023
Doba čtení: 13 minut

Sdílet

 Autor: Depositphotos
Chystá se velká revoluce na poli kybernetické bezpečnosti v rámci EU. Dotkne se mnoha firem různých velikostí a dokonce i firem dodavatelských. Už se na směrnici jménem NIS2 připravujete?

Za nenápadným označením 2022/2555 se skrývá nově schválená směrnice Evropského parlamentu a Rady EU, která si klade za cíl vylepšení úrovně kybernetické bezpečnosti v Unii. Je nástupcem směrnice z roku 2016 a vstoupila v platnost 16. ledna 2023. Tato směrnice, zvaná NIS2 (z anglického Network and Information Security) nově definuje povinnosti dotčených subjektů na poli kybernetické bezpečnosti, zejména s ohledem na systémy a aplikace v nich používané a zavádí nové kontrolní mechanismy a procesy, které musí subjekty využívat. Pokud nebudou mít vše v souladu s nařízeními, mohou očekávat sankce – finanční postihy nebo třeba zákazy výkonu funkce členů představenstva. O tom však později.

Hlavním cílem je harmonizace postupů, které budou stejné skrz celou Evropskou unii, včetně sankcí. Důležitost projektu vzrostla poté, co jsme při pandemii COVID-19 spoustu služeb a věcí digitalizovali a učili se je používat tzv. „za běhu“. Navíc přišel únor 2022 a válka na Ukrajině, která důležitost takových opatření umocnila ještě více.

Následující článek by vám mohl pomoci v tom dozvědět se, jak se lze na danou směrnici dívat okem běžného IT člověka ve firmě, který má na starosti implementaci projektů, dodávaných různými dodavateli a nabízejícími různé vnitrofiremní IT služby.

Co se dozvíte v článku
  1. Co s tím v Česku?
  2. Koho se povinnosti týkají?
  3. Co když spadáte pod působnost zákona?
  4. Co všechno se v zákoně zavádí?
  5. Co nás čeká?
  6. Kde získávat informace?
  7. Osobní shrnutí

Co s tím v Česku?

Členské země mají za povinnost směrnici NIS2 „přetavit“ do své legislativy. V Česku se tak děje prostřednictvím speciálního orgánu nazvaného Národní úřad pro kybernetickou a informační bezpečnost, zkráceně NÚKIB, který změny s ohledem na NIS2 připravuje. Česká republika již na tomto poli nějakou legislativou disponuje, a to konkrétně zákonem číslo 181/2014 Sb. o kybernetické bezpečnosti. Protože jsou však změny zásadnějšího charakteru, rozhodl se NÚKIB jít cestou úplně nového zákona místo aktualizace stávajícího. Zatímco předchozí verze zákona se vztahovala na zhruba 400 subjektů, nově by jich mělo být až patnáctkrát více.

Čas se firmám krátí, respektive čas, kdy na ně požadavky vyplývající z nového zákona dopadnou v plné šíři. Jednotlivé země mají na transpozici směrnice do legislativy 21 měsíců tj. nejpozději 17. října 2024 musí být hotovo. Dle stránek NÚKIB bychom se schválené verze nového zákona měli dočkat někdy v létě 2024. Samozřejmě nepředpokládám, že hned po vydání zákona bude nutné ze dne na den plnit všechny povinnosti a bude k dispozici nějaká doba na implementaci. Jak dlouhá ta doba bude však není jasné. V současnosti běželo připomínkové řízení, které skončilo 12. března 2023 a teď probíhá vypořádání připomínek.

Koho se povinnosti týkají?

Poznámka: Na úvod je nutno říci, že vycházím z informací, které zveřejnil NÚKIB do května 2023 a jsou označeny jako návrhy či pracovní verze. Ve finálním návrhu může dojít ke změnám, ale neměly by být zásadnějšího charakteru, alespoň dle NÚKIB. Platí také zásada, že požadavky uvedené ve směrnici NIS2 jsou brány jako minimální a lokální legislativa je může zpřísnit, nikoliv však zmírnit. Možná začněte čtením směrnice NIS2 v českém jazyce.

Prvním základním faktem je, že počet firem podléhajících působnosti zákona se významně rozšíří. K zákonu totiž existuje příslušná Vyhláška o regulovaných službách a onen pojem „regulovaná služba“ definuje to, co pod působnost nového zákona spadá a co definuje směrnice NIS2. Pokud se vaše společnost zabývá činnosti zmíněnou ve vyhlášce, vztahuje se na vás i nový zákon. Obecně ale nelze snadno zjistit nějaký určovací klíč, nejjednodušší je se do vyhlášky podívat.

Grafické shrnutí odvětví, která vyhláška podchycuje

Grafické shrnutí odvětví, která vyhláška podchycuje

Autor: NÚKIB

Poznámka: Pokud se budeme bavit striktně o čtenářích serveru root.cz a předpokládáme, že se jejich společnosti zabývají IT, patrně se jich mohou týkat regulace služeb v kategorii Digitální infrastruktura (cloud, datová centra, TLD či DNS apod.), Řízené ICT služby nebo Poskytovatelé Digi služeb.

Je ale zřejmé, že na trhu působí velké, ale i menší společnosti, které se činností zmíněnou ve vyhlášce zabývají a ta to samozřejmě zohledňuje. Základní rozdělení firem poskytujících regulovanou službu je provedeno do dvou úrovní – režim nižších a vyšších povinností (v originále jsou to úrovně essential a important). Kritérium toho, do jaké úrovně firma nabízející regulovanou službu spadá, je obvykle dáno velikostí podniku (tradiční rozdělení mikropodnik, malý podnik, střední podnik, velký podnik, viz definice na MPO) a podíl na trhu/počet zákazníků apod. Ve vyhlášce je to ale u každého odvětví zmíněno a velmi rychle si můžete určit, do jaké úrovně spadá přímo vaše firma. Na každou úroveň se logicky vztahují jiné povinnosti.

Týká se to také i státních úřadů, vysokých škol, zdravotních pojišťoven či profesních komor. Protože se počítá i s možností pokusů o zmírnění integrování opatření například tím, že se budete vydávat za malý nebo mikropodnik a opatření se tak na vás nebudou vztahovat (například účelově založíte malou servisní organizaci s malým počtem zaměstnanců, která bude poskytovat služby v rámci velké skupiny firem), je v zákoně pojistka v podobě faktu, že velikost podniku se posuzuje v rámci skupiny (tedy dceřiné i mateřské společnosti se sčítají dohromady), nikoliv dle jednotlivých společností v ní.

Co když spadáte pod působnost zákona?

Novinkou je také to, že se ve firmě nehodnotí jednotlivé systémy a nevybírají se pro prováděná opatření, nově se procesy a kroky týkají všech aplikací/systémů které jsou nabízeny v rámci regulované služby. Uveďme si to na příkladu – pokud jste např. firma nabízející služby v cloudu, nevztahují se opatření jen na službu jako takovou (jak by se mohlo zdát), ale například i na váš informační systém či CRM.

Abyste však nemuseli aplikovat přísná bezpečnostní opatření i na zaměstnanecký systém objednávky obědů v jídelně, definuje nový zákon prostřednictvím vyhlášky i procesy klasifikace systémů a informací v něm obsažených na základě hodnocení úrovně bezpečnosti definované na základě důvěrnosti, integrity a dostupnosti dat, řízení rizik na základě hrozeb, zranitelnosti a rizik nebo třeba na základě klasifikace zranitelností a potenciálních hrozeb a pak stanovuje příslušná pravidla, třeba pro ty kritické systémy/aplikace.

Zákon a prováděcí vyhlášky vás třeba přinutí vytvořit si ve firmě specializované bezpečnostní oddělení s definovanými rolemi, které bude pomocí interních předpisů definovat jednotlivé procesy pro implementované projekty. Důležitou zásadou je provádět pravidelné aktualizace a revize procesů a vytváření příslušných zpráv. O ty se musíte dokonce dělit i s NÚKIB a případné útoky hlásit.

Významnou novinkou, kterou chce nový zákon zavést, je osobní zodpovědnost vedení společnosti. Cílem je, aby se příslušné postupy dostávaly do firmy z nejvyšších úrovní a díky osobní zodpovědnosti si zákon slibuje, že bude také větší tlak na zaměstnance tyto postupy implementovat, ale i dodržovat.

Kontrola k vám z NÚKIB může přijít kdykoliv a může vaši firmu zkontrolovat a to nejenom vzhledem k implementovaným postupům, ale i k povinnostem na poli hlášení incidentů, jejich správy a provádění revizí a pravidelných školení. Když se najdou pochybení, může následovat trest. Pokuta může dosáhnout výše až 10 milionů eur nebo 2 % z celosvětového čistého obratu společnosti. Existuje i možnost pozastavit podíl na řízení společnosti příslušnému manažerovi (proto jsem mluvil o osobní zodpovědnosti členů vedení).

Jaký to na vás může mít dopad? Pokud jste velká společnost, pravděpodobně již máte řadu procesů definovaných v zákoně už dávno implementovaných (interní oddělení IT bezpečnosti, bezpečnostní role a audit, správa přístupových politik, plány obnovy po katastrofách atd.) a půjde spíše o to sladit interní postupy s tím, jak se do celého procesu chce vložit NÚKIB (pravidelná hlášení). Leccos vás ale může překvapit.

Co všechno se v zákoně zavádí?

Teď budu chvíli psát o firmách, které nabízejí regulované služby v režimu vyšších povinností. O speciálním IT bezpečnostním oddělení a rolích v něm jsem se již zmiňoval. Ve vyhlášce se pak třeba hovoří o tom, že pokud chcete implementovat novou aplikaci nebo systém, musíte zajistit několik kroků jako je například klasifikace, vytvoření plánu obnovy či provedení tzv. penetračních testů. Nově přibývá povinnost tyto plány obnovy jednou za rok revidovat a otestovat, či provést další sadu penetračního testování.

NÚKIB vám prostřednictvím zákona a příslušných vyhlášek může například mluvit i do procesu ověřování uživatelů – pro kritické systémy vyžaduje dvoufaktorové přihlášení nebo přihlašování pomocí certifikátů, případně přihlašování pomocí hesel dané síly a složitosti. Také definuje postupy při obnově a změně hesla. Zároveň máte za povinnost provádět detekci případných útoků a hrozeb a incidenty hlásit. Máte také za povinnost provádět „bezodkladné aplikování bezpečnostních aktualizací vydaných“ či zajistit dostupnost regulované služby.

V zákoně se také hovoří o lokalizaci dat v zahraničí. Primárně se musí vše ukládat v ČR, bez výjimek. Tedy, pokud data zašifrujete, můžete je ještě ukládat na území EU, Evropském sdružení volného obchodu nebo např. na území NATO či Organizace pro ekonomickou spolupráci. Nebude problém šifrovaná data ukládat např. do Německa, USA nebo Turecka. Ale nepochodíte s Čínou či Ruskem. Pro účely tohoto zákona jsou i definovány kategorie dat, na které se toto omezení vztahuje.

Významnou novinkou je i prověřování bezpečnosti dodavatelského řetězce. Jako firma musíte mít přehled o tom, kdo vám do firmy dodává technologie a i tento dodavatel má za povinnost vám hlásit bezpečnostní incidenty, které musíte vy pak hlásit na NÚKIB. Existuje tam i možnost, že pokud NÚKIB vyhodnotí jistou technologii nebo dodavatele jako rizikového, neměli byste tyto technologie ve své firmě nabízející regulovanou službu využívat. Ve výsledku vy NÚKIB nahlásíte, kdo je vaším dodavatelem a NÚKIB vám následně tohoto dodavatele „schválí,“ ale konečné rozhodnutí tak nebude na vás. Osobně největší objem práce spatřuji právě v tomto procesu ověřování.

Na druhou stranu tato věc se týká jen vyjmenovaného okruhu firem a ne všech v režimu vyšších povinností. Spadá sem třeba veřejná správa, energetika, letecká a drážní doprava, ale také digitální infrastruktura a služby, abych zůstal v IT. Tyto subjekty spadají do tohoto režimu automaticky, ale Úřad má možnost do něj svým rozhodnutím převést i jiné subjekty podléhající regulaci ve vyšším režimu. Nepředpokládám, že se to bude dít nějak hromadně, možnost to ale je a musíte s ní počítat.

Je samozřejmě jasné, že i v rámci legislativního procesu ČR může v tomto návrhu dojít ke změnám a je téměř jisté, že k nim dojde. Jenže pro velké společnosti takový proces nenaimplementujete v řádu týdnů nebo měsíců, ale spíše let.

Co nás čeká?

Pro firmy, spadající se svou regulovanou službou do režimu vyšších povinností je teď v podstatě klíčová doba na to, aby začaly provádět revizi svých interních postupů, jak moc v souladu s návrhem nového zákona vlastně jsou. Na českém trhu je již mnoho konzultantských společností, které vám analýzu jsou schopny provést. Je jasné, že s blížícím se termínem platnosti nového zákona budou mít více a více práce. Podniky nabízející regulovanou službu v režimu nižších povinností to nebudou mít tak složité, budou mít mnohem méně povinností.

Poznámka: K dispozici je samozřejmě také Vyhláška o bezpečnostních opatřeních poskytovatele regulované služby v režimu nižších povinností. Hlavní rozdíly jsou v tom, že řada povinností je zmírněna (oproti vyššímu režimu), obvykle stačí vydání a dodržování nové bezpečnostní směrnice, není nutno zakládat specializované bezpečnostní oddělení – stačí jen proškolit a pověřit nějakou osobu. Vztahy s dodavateli jsou vyřešeny tím, že je zmíněno, že vaše smlouva musí obsahovat doporučené části.

V první řadě by se však u vás ve firmě měl nastartovat proces zjišťování, zda a jak se na vaší činnosti projeví nový zákon o kybernetické bezpečnosti. Zároveň by si měli nejvyšší manažeři uvědomit, že s příchodem nového zákona budou mít v souvislosti s ním mnohem více povinností a měli by se začít osobně angažovat a zajímat se o to, jak konkrétně se tyto povinnosti projeví v jejich činnosti. Hlavně by neměla být celá analýza ponechána na IT oddělení firmy – toto oddělení je servisní, postupy ovlivní všechna oddělení napříč celou firmou a to nejen při implementaci nových či stávajících projektů s účastí IT, ale v mnoha ohledech filozofii fungování firmy.

Nesmíme se však nechat ukolébat tím, že je ještě dost času a že se ještě spousta věcí změní. Osobně si myslím, že času už moc nemáme. Mám také poznámku k tomu, že jsem již mnohokrát slyšel, že implementace bude srovnatelná s postupy, které jsme zaváděli při implementaci procesů GDPR. Troufám si tvrdit, že implementace NIS2 prostřednictvím nového zákona o kybernetické bezpečnosti jde mnohem více do hloubky a vyžaduje mnohem více analýz a procesů. Nicméně k dispozici je dostatek informací předem a NÚKIB komunikuje velmi jasně a včas.

Ze zákona vyplývá i taková jedna ošemetnost – tzv. samoidentifikace. NÚKIB spustí jakýsi registr společností, kam se bude nutné přihlásit. Vy jako společnost musíte nastartovat svůj vnitřní proces auditu a pokud jeho výsledkem bude, že spadáte do režimu regulace, musíte se do registru nahlásit. Pokud to neuděláte a přijde se na to, hrozí finanční sankce.

S financemi samozřejmě souvisí i další věc, a to dodatečné náklady. Implementace opatření a vytvoření všech analýz nemusí být levné. Budete potřebovat finance, ale i lidské zdroje a musíte na to myslet. Čím větší společnost, tím větší nároky. Proto musíte vytvořit patřičné položky do firemních rozpočtů a pokud je tam na letošek nemáte, na rok 2024 si je určitě naplánujte.

Jedna důležitá poznámka na závěr – pokud je vaše společnost nadnárodní, můžete se dostat do dodatečného tlaku. Nikde totiž není jasně dáno, jak moc tvrdě bude NIS2 implementována do legislativy příslušné země. Může se stát, že německá implementace bude tvrdší, než ta česká, případně česká bude výrazně tvrdší než například slovenská.

I to musíte v implementacích zohlednit, protože předpokládám, že se vaše firma ve všech pobočkách přizpůsobí nejtvrdší variantě zákona, která existuje na trzích, kde působíte a nebude chtít implementace dle jednotlivých zemí, protože by musela hlídat, co je v každé zemi možné. Zmínil jsem však základní pravidlo o tom, že NIS2 nastavuje spodní limity, které jsou od 16. ledna 2023 známy a lze se od nich odpíchnout a počkat si na úrovně státní, které mohou být stejné nebo tvrdší.

Kde získávat informace?

Hlavním zdrojem informací se v ČR stává NÚKIB. Pro téma NIS2 a nového zákona o kybernetického bezpečnosti zřídil speciální sekci na svých stránkách. Najdete zde jednotlivé návrhy zákona a vyhlášek (podívejte se třeba na tu o povinnostech pro společnost nabízející regulované služby v nižším režimu). Pokud chcete znění směrnice NIS, najdete ji na portále EUR-Lex, česká verze je zde také dostupná.

V ČR se také pořádá spousta konferencí, na kterých se o NIS2 mluví nebo jsou dokonce tématem celé konference. Zkuste třeba CyberCon 2022, KKDS Olomouc 2023 nebo CyberSecurityPlatformCZ.

Osobní shrnutí

Myslím si, že tím, jak se digitální informace stávají podstatnou součástí našeho života a tradiční postupy jsou nahrazovány novými nástroji a způsoby zpracování informací, tak je důležité mít nějaké záchytné body v tom, jak se stavět k případným hrozbám. Musíme vědět, která data a aplikace jsou kritické, bez nichž nedokážeme fungovat. Musíme udělat vše pro to, abychom informace/data ochránili před zneužitím. Protože to není možné zajistit tak, aby k tomu nikdy nedošlo, musíme mít plán i pro situaci, když k úniku nebo útoku dojde a systémy přestanou fungovat.

Tímhle vším se směrnice NIS2 respektive její implementace v podobě nového českého zákona o kybernetické bezpečnosti zabývá a je jakýmsi bodovým scénářem pro firmy, jak se chránit a bránit před těmi, kteří nemají čestné úmysly. Nezáleží co je jejich spouštěčem a pro koho pracují. Minimálně budeme mít jistotu, že na celoevropské úrovni vznikne jakýsi bezpečnostní standard, o kterém si myslíme, že nám pomůže. Osobně si myslím, jako řadový IT zaměstnanec, že u řady velkých firem jsou věci zmíněné v zákoně již naprostou samozřejmostí a dostávají jen status oficiality změněný na požadavek.

root_podpora

Na druhou stranu je nutno říci, že ani sebelepší a sebepropracovanější směrnice/zákon nám nemůže zajistit úplnou neprůstřelnost, dokáže ale hrozby podstatně omezit. Minimálně z toho nemám pocit, že by ta opatření byla zbytečná a s ničím nepomohla.

Poznámka: Protože nejsem právník, neberte prosím všechna zde uvedená tvrzení jako konečná a jejich výklad za jediný možný. Berte to jako informace od člověka, který se kolem celého procesu implementace směrnice do procesů firmy točí a snaží se podchytit všechny aspekty nového zákona a rozpoznat slabá místa uvnitř fungování firmy. Konečné slovo vždy musí mít lidé s příslušným právním vzděláním, potažmo ti, jichž se postupy dotknou nejvíce v podobě osobní zodpovědnosti – nejvyšší manažeři.

Byl pro vás článek přínosný?

Autor článku

Pracuje na pozici IT architekta pro firmu zabývající se zpracováním ropy a výrobou produktů z ní. Navrhuje rozličná řešení a jejich integraci do firemní infrastruktury na základě firemních standardů bezpečnosti nebo plánů obnovy.