Co je NIS2? (a další často kladené otázky)
Od GDPR k NIS2
GDPR, které vstoupilo v platnost v roce 2018, se stalo revolucí v oblasti ochrany osobních údajů. Tento právní předpis vydaný Evropskou unií přinutil firmy nejen v EU, ale i mimo ni, aby zavedly přísnější opatření k ochraně soukromí uživatelů. Přestože se primárně týká evropského trhu, firmy po celém světě uznaly jeho význam.
Nařízení GDPR zajišťuje soukromí a bezpečnost uživatelských údajů a dává lidem větší kontrolu nad tím, jak jsou jejich údaje zpracovávány. Po pár letech od jeho zavedení se změnil přístup firem k ochraně osobních údajů, ale nyní přichází na scénu další významná směrnice – NIS2, která má potenciál mít podobně zásadní dopad.
NIS2 navazuje na původní směrnici NIS a rozšiřuje požadavky na kybernetickou bezpečnost firem a organizací. Na rozdíl od GDPR, které se zaměřuje na ochranu uživatelských údajů, NIS2 pokrývá širší okruh oblastí – od řízení kybernetických rizik až po dodavatelské řetězce.
NIS2 - Často kladené otázky
Co je směrnice NIS2?
NIS2 je aktualizovaná verze původní směrnice Network and Information Security (NIS). Zatímco původní NIS se vztahovala jen na omezený počet firem, NIS2 výrazně rozšiřuje počet organizací a zpřísňuje požadavky na jejich kybernetickou bezpečnost. Hlavní cíle NIS2 jsou:
- Řízení rizik v rámci sítí a informačních systémů
- Zavedení minimálních standardů bezpečnostních opatření
- Zaměření na řízení rizik v dodavatelském řetězci
- Vytvoření řídícího týmu pro kybernetickou bezpečnost
- Dodržování konkrétních lhůt pro hlášení incidentů
Proč jsem nikdy neslyšel o NIS1?
Původní směrnice NIS1 byla přijata v roce 2016, ale vztahovala se jen na omezený počet organizací. Byla méně přísná a vymáhání pravidel bylo výrazně slabší, což vedlo k menšímu povědomí o této směrnici.
Na koho bude mít NIS2 dopad?
NIS2 se vztahuje na všechny společnosti se sídlem v členském státě EU. Dělí firmy na dvě kategorie: Základní subjekty a Důležité subjekty.
Základní subjekty zahrnují firmy s 250 a více zaměstnanci, obratem přes 50 milionů EUR nebo rozvahou 43 milionů EUR, a patří sem odvětví jako:
- Energetika
- Doprava
- Bankovnictví
- Digitální infrastruktura
Důležité subjekty zahrnují firmy s více než 50 zaměstnanci nebo obratem 10 milionů EUR a patří sem:
- Poštovní a kurýrní služby
- Výroba chemických látek
- Poskytovatelé digitálních služeb
- Výzkumné organizace
Jaké jsou hlavní rozdíly mezi NIS a NIS2?
NIS2 rozšiřuje okruh společností, které musí splňovat požadavky, a zpřísňuje pravidla i pokuty. Regulační orgány budou mít více pravomocí, včetně bezpečnostních auditů, kontrol na pracovišti a požadavků na podrobné informace.
Jaké jsou sankce za nedodržení NIS2?
Nedodržení NIS2 může vést k vysokým pokutám. Základním subjektům hrozí pokuta až 10 milionů EUR nebo 2 % celosvětového obratu, důležitým subjektům pak až 7 milionů EUR nebo 1,4 % celosvětového obratu. Sankce mohou zahrnovat i nefinanční opatření, jako je nařízení ke splnění požadavků nebo oznamování incidentů.
Kdy bude směrnice NIS2 implementována?
Směrnice NIS2 byla oficiálně zveřejněna 27. prosince 2022 a členské státy EU musí směrnici začlenit do své legislativy do 18. října 2024. Firmy budou povinny plně dodržovat NIS2 nejpozději od podzimu 2024.
Jak se mohu ujistit, že dodržuji směrnici NIS2?
Firmy by měly začít připravovat své systémy a procesy už nyní. Doporučujeme tyto kroky:
- Identifikujte části firmy, které spadají pod NIS2.
- Zhodnoťte současný stav řízení rizik a kybernetické bezpečnosti.
- Projednejte s právním oddělením plán souladu s NIS2.
- Spolupracujte s dodavateli a partnery na zajištění souladu.
Dodržování směrnice NIS2
Jak dosáhnout souladu se směrnicí NIS2 závisí na konkrétních okolnostech každé organizace. Firmy, které již mají zavedené pokročilé bezpečnostní opatření, mohou potřebovat jen drobné úpravy. Menší organizace však mohou čelit větším výzvám. Naše analytická oddělení jsou připravena pomoci vaší firmě dosáhnout souladu s NIS2 s dostatečným předstihem.