Směrnice NIS2 (Network and Information Security Directive 2), která byla přijata Evropskou unií v roce 2022, představuje zásadní aktualizaci původní směrnice NIS z roku 2016. Jejím deklarovaným cílem je posílit kybernetickou bezpečnost v členských státech EU a reagovat na rostoucí hrozby v digitálním prostoru. Tato směrnice přináší významné změny, které mají přímý dopad na české subjekty, zejména v oblasti rozšíření působnosti, zpřísnění povinností a zavedení přísnějších sankcí za nedodržení pravidel.
Zatímco původní směrnice NIS se zaměřovala především na tzv. „operátory základních služeb“ (např. energetika, doprava, zdravotnictví, bankovnictví), NIS2 zahrnuje i další sektory a subjekty, které jsou považovány za klíčové pro fungování společnosti a ekonomiky. Mezi nově zahrnuté sektory patří například poskytovatelé digitálních služeb, veřejná správa, odpadové hospodářství, chemický průmysl, výroba potravin a nápojů či výzkumné instituce.
Nově se povinnosti týkají i menších a středních podniků, pokud jejich činnost spadá do některého z nově definovaných sektorů. To znamená, že tisíce českých firem a organizací budou muset zavést opatření na ochranu svých informačních systémů a dat.
Nová nařízení podle NIS2 zahrnují například šifrování dat, vícefaktorovou autentizaci nebo pravidelné testování zranitelností. Organizace budou povinny hlásit kybernetické incidenty do 24 hodin od jejich zjištění. To vyžaduje zavedení efektivních mechanismů pro detekci a hlášení incidentů. Dále budou muset zajistit, že jejich dodavatelé a partneři splňují požadavky na kybernetickou bezpečnost. To může zahrnovat například audity dodavatelů nebo zavedení smluvních podmínek týkajících se bezpečnosti. V oblasti kybernetické bezpečnosti budou muset zajistit pravidelné školení zaměstnanců. Za nedodržení nových nařízení zavádí NIS2 přísnější sankce, které mohou dosáhnout až 10 milionů EUR nebo 2 % celosvětového obratu organizace.
Rozšíření působnosti NIS2 má zásadní dopad na několik sektorů. Orgány veřejné správy budou muset zavést komplexní opatření na ochranu svých informačních systémů. To zahrnuje například zabezpečení dat občanů a ochranu před kybernetickými útoky na kritickou infrastrukturu. Nemocnice a další zdravotnická zařízení budou muset posílit ochranu svých systémů, aby minimalizovaly riziko útoků, které by mohly ohrozit životy pacientů. Energetika a doprava, které již spadaly pod původní směrnici NIS, budou muset splnit přísnější požadavky na řízení rizik a ochranu kritické infrastruktury. Poskytovatelé cloudových služeb, datových center a dalších digitálních služeb budou muset zajistit, že jejich systémy splňují nové standardy kybernetické bezpečnosti podle NIS2.
Zdroj: eGOVERNMENT.NEWS
Zdroj: B2B NETWORK NEWS
