Směrnice NIS2
otázky a odpovědi?

Nejjednodušším a univerzálním řešením je využití kalkulačky, kterou poskytuje NÚKIB na svých stránkách, kde se jednoduchým způsobem dopracujete k rychlé odpovědi na otázku “Kdo podléhá regulaci nové právní úpravy Odkaz je zde: https://portal.nukib.gov.cz/#kalkulacka

a) NIS2 je zkratka pro “Network and Information Systems Directive 2.” Jedná se o aktualizovanou směrnici Evropské unie, která se zaměřuje na zlepšení kybernetické bezpečnosti v členských státech. Cílem NIS2 je posílit odolnost a schopnost reakce na kybernetické hrozby v klíčových sektorech, jako jsou energetika, doprava, zdravotnictví a finanční služby.

a) Zvýšení kybernetické bezpečnosti: Posílit ochranu sítí a informačních systémů proti kybernetickým útokům a hrozbám.
b) Zlepšení spolupráce: Podpořit spolupráci mezi členskými státy EU a sdílení informací o kybernetických hrozbách a incidentech.
c) Zvýšení odolnosti: Zajistit, aby organizace v klíčových sektorech měly dostatečné schopnosti a zdroje k reakci na kybernetické incidenty.
d) Zvýšení povědomí: Zvýšit povědomí o kybernetické bezpečnosti mezi veřejností a organizacemi.
e) Zavedení přísnějších požadavků: Zavést přísnější bezpečnostní požadavky pro poskytovatele digitálních služeb a provozovatele základních služeb.

Nový zákon kybernetické bezpečnosti zahrnuje několik klíčových sektorů, které jsou považovány za kritické pro fungování společnosti a ekonomiky. Mezi tyto sektory patří:
a) veřejná správa a výkon veřejné moci,
b) energetika,
c) výrobní průmysl,
d) potravinářský průmysl,
e) chemický průmysl,
f) vodní hospodářství,
g) odpadové hospodářství,
h) doprava,
i) digitální infrastruktura a služby,
j) finanční trh,
k) zdravotnictví,
l) věda, výzkum a vzdělávání,
m) poštovní a kurýrní služby,
n) obranný průmysl,
o) vesmírný průmysl
Tyto sektory jsou považovány za klíčové, protože jejich narušení by mohlo mít vážné dopady na bezpečnost, ekonomiku a veřejné zdraví.

a) Při porušení zákona o kybernetické bezpečnosti mohou být organizace vystaveny různým sankcím a opatřením, které mají zajistit dodržování předpisů a zlepšit kybernetickou bezpečnost. Mezi možné důsledky patří:
b) Pokuty: Organizace mohou čelit finančním pokutám, které mohou být značně vysoké, v závislosti na závažnosti porušení, (zákon udává hodnotu 250 000 000 Kč nebo až do výše 2 % čistého celosvětového ročního obratu dosaženého podnikem ve smyslu čl. 101 a 102 Smlouvy o fungování Evropské unie)
c) Nápravná opatření: Organizace mohou být povinny přijmout konkrétní opatření k nápravě nedostatků v jejich kybernetické bezpečnosti.
d) Zveřejnění porušení: V některých případech může být organizace povinna zveřejnit informace o porušení, což může mít negativní dopad na její reputaci.
e) Právní důsledky: V závažných případech mohou být organizace vystaveny právním důsledkům, včetně soudních sporů.
Cílem těchto opatření je zajistit, aby organizace braly kybernetickou bezpečnost vážně a přijímaly potřebná opatření k ochraně svých sítí a informačních systémů.

a) Příklady porušení směrnice NIS2 mohou zahrnovat různé situace, kdy organizace nesplní požadavky na kybernetickou bezpečnost. Některé z těchto příkladů mohou být:
b) Nedostatečné zabezpečení sítí a systémů: Pokud organizace neimplementuje adekvátní bezpečnostní opatření, jako jsou firewall, antivirové programy nebo šifrování dat.
c) Nedodržení oznamovací povinnosti: Pokud organizace neohlásí kybernetický incident příslušným úřadům v předepsané lhůtě.
d) Nedostatečné školení zaměstnanců: Pokud organizace neposkytuje pravidelné školení a osvětu zaměstnancům o kybernetických hrozbách a bezpečnostních postupech. e) Nedostatečné řízení rizik: Pokud organizace neprovádí pravidelné hodnocení rizik a neaktualizuje své bezpečnostní politiky a postupy.
f) Nedostatečná ochrana osobních údajů: Pokud organizace nechrání osobní údaje svých zákazníků nebo zaměstnanců před neoprávněným přístupem nebo únikem.
Tyto příklady ukazují, jak důležité je, aby organizace dodržovaly směrnici NIS2 a přijímaly potřebná opatření k ochraně svých sítí a informačních systémů.

a) Příklady porušení zákona mohou zahrnovat různé situace, kdy organizace nesplní požadavky na kybernetickou bezpečnost. Některé z těchto příkladů mohou být:
b) Nedostatečné zabezpečení sítí a systémů: Pokud organizace neimplementuje adekvátní bezpečnostní opatření, jako jsou firewall, antivirové programy nebo šifrování dat.
c) Nedodržení oznamovací povinnosti: Pokud organizace neohlásí kybernetický incident příslušným úřadům v předepsané lhůtě.
d) Nedostatečné školení zaměstnanců: Pokud organizace neposkytuje pravidelné školení a osvětu zaměstnancům o kybernetických hrozbách a bezpečnostních postupech.
e) neeviduje aktiva podle,
f) nezavádí nebo neprovádí bezpečnostní opatření
g) nevybírá svého dodavatele v souladu s požadavky vyplývajícími z bezpečnostního opatření nebo nezahrnuje požadavky vyplývající z bezpečnostního opatření do smlouvy s dodavatelem
h) Nedostatečné řízení rizik: Pokud organizace neprovádí pravidelné hodnocení rizik a neaktualizuje své bezpečnostní politiky a postupy.
i) Nedostatečná ochrana osobních údajů: Pokud organizace nechrání osobní údaje svých zákazníků nebo zaměstnanců před neoprávněným přístupem nebo únikem.
Tyto příklady ukazují, jak důležité je, aby organizace dodržovaly zákon o kybernetické bezpečnosti a přijímaly potřebná opatření k ochraně svých sítí a informačních systémů.

• Identifikaci aktiv, hrozeb a zranitelností
• Analýzu rizik
• Návrh bezpečnostních opatření
• Základní dokumentaci dle potřeby:

Bezpečnostní politiky
a. Politika systému řízení bezpečnosti informací
b. Politika organizační bezpečnosti
c. Politika řízení bezpečnostní politiky a dokumentace
d. Politika řízení aktiv
e. Politika řízení rizik
f. Politika řízení dodavatelů


Bezpečnostní dokumentaci
g. Plán provádění auditu kybernetické bezpečnosti
h. Metodika pro identifikaci a hodnocení aktiv
i. Metodika pro identifikaci a hodnocení rizik
j. Zpráva o hodnocení aktiv a rizik
k. Prohlášení o aplikovatelnosti
l. Plán zvládání rizik

• Pomůžeme zvolit efektivní způsob vedení dokumentace a řízení kybernetické bezpečnosti