NIS2 je zkrácené označení směrnice Evropské unie o opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v celé Unii, vedené jako Směrnice EU 2022/2555 [1]. Navazuje na starší směrnici NIS z roku 2016 a výrazně rozšiřuje okruh organizací, kterých se týká, i rozsah povinností. Směrnice jako taková nepůsobí přímo na firmy, členské státy ji musí promítnout do národního práva. V České republice tuto roli plní zákon o kybernetické bezpečnosti, na který dohlíží Národní úřad pro kybernetickou a informační bezpečnost, tedy NÚKIB [6]. NIS2 zavádí rozdělení organizací na základní a důležité, požaduje řízení rizik, hlášení incidentů a odpovědnost vedení. Rámec opatření se opírá o uznávané normy pro řízení bezpečnosti informací [2] a pro průmyslové řídicí systémy [3]. Toto heslo slouží k vysvětlení pojmu a není právním poradenstvím.
Zajímavost ze světa
NIS2 je už druhá evropská směrnice tohoto druhu. První směrnice NIS z roku 2016 se týkala jen úzkého okruhu provozovatelů, NIS2 z roku 2022 počet dotčených sektorů a organizací zásadně rozšířila.[1]
Co v článku najdete
- Co je NIS2 a proč vznikla
- Koho se NIS2 týká a jak se dělí organizace
- Kterých sektorů se NIS2 týká
- Jaké požadavky NIS2 klade na řízení rizik
- Jak NIS2 řeší hlášení incidentů
- Jaká je odpovědnost vedení podle NIS2
- Jaký je vztah NIS2 a českého zákona o kybernetické bezpečnosti
- Jak se na NIS2 připravit
Co je NIS2 a proč vznikla
NIS2 je směrnice Evropské unie, jejímž cílem je zvednout úroveň kybernetické bezpečnosti napříč členskými státy a sjednotit pravidla. Vede se jako Směrnice EU 2022/2555 a nahrazuje původní směrnici NIS z roku 2016 [1]. Důvodem revize byl rychlý nárůst kybernetických hrozeb a roztříštěnostax pravidel mezi státy.
Směrnice sama o sobě firmy přímo nezavazuje. Stanoví cíle a minimální požadavky, které musí každý členský stát převést do vlastního zákona. Teprve tento národní zákon ukládá konkrétním organizacím povinnosti [1]. V Česku tuto úlohu plní zákon o kybernetické bezpečnosti a dohledem je pověřen NÚKIB [6].
Pro firmu je důležité pochopit, že NIS2 není jednorázový úkol, ale trvalý režim řízení bezpečnosti. Organizace musí umět rizika rozpoznat, snižovat je a být připravena na incident i na jeho hlášení.
Koho se NIS2 týká a jak se dělí organizace
NIS2 rozšiřuje okruh dotčených organizací oproti původní směrnici a rozděluje je do dvou skupin podle významu pro stát a ekonomiku, na subjekty základní a subjekty důležité [1]. Toto rozdělení ovlivňuje přísnost dohledu a sankcí.
| Kategorie | Charakteristika | Dohled |
|---|---|---|
| Základní subjekty | Klíčové sektory a větší organizace | Přísnější, i bez podnětu |
| Důležité subjekty | Ostatní zahrnuté sektory a velikosti | Mírnější, zpravidla po podnětu |
Zdroj: Směrnice EU 2022/2555 (NIS2).
Zda organizace pod směrnici spadá, se odvíjí od jejího oboru a velikosti. Mnoho středních a větších firem ve výrobě, energetice, dopravě, zdravotnictví nebo u digitálních služeb se nově do působnosti dostává [1]. Konkrétní zařazení v Česku posuzuje národní zákon a NÚKIB [6].
Kterých sektorů se NIS2 týká
Směrnice vyjmenovává odvětví, ve kterých dotčené organizace působí. Oproti původní směrnici NIS jich přibylo, a to jak v sektorech s vysokou kritičností, tak v dalších důležitých oborech [1].
| Skupina sektorů | Příklady |
|---|---|
| Energetika a doprava | Elektřina, plyn, letecká a silniční doprava |
| Digitální infrastruktura | Poskytovatelé sítí a datová centra |
| Zdraví a voda | Zdravotnictví, pitná a odpadní voda |
| Výroba a chemie | Výroba vybraných zařízení, chemický průmysl |
| Veřejná správa a další | Část veřejné správy a digitálních služeb |
Zdroj: Směrnice EU 2022/2555 (NIS2).
Pro výrobní firmu je podstatné, že výroba vybraných druhů zařízení se může do působnosti dostat. Posouzení vždy závisí na konkrétním oboru a velikosti a vychází z národního zákona, ne přímo ze směrnice [1]. Jak vypadá řízení výroby nad jedním systémem, ukazuje optimalizace výrobních procesů s Heliosem.
Jaké požadavky NIS2 klade na řízení rizik
Jádrem NIS2 je řízení kybernetických rizik. Organizace musí zavést přiměřená technická a organizační opatření, která odpovídají hrozbám, kterým čelí [1]. Směrnice nepředepisuje jeden konkrétní nástroj, ale očekává systematický přístup.
- Analýza rizik a politika bezpečnosti informací
- Zvládání incidentů a jejich hlášení
- Kontinuita provozu a zálohování
- Bezpečnost dodavatelského řetězce
- Řízení přístupů a vícefaktorové ověření
| Oblast opatření | Cíl |
|---|---|
| Řízení rizik | Rozpoznat hrozby a snížit je na přijatelnou míru |
| Bezpečnost informací | Chránit důvěrnost, integritu a dostupnost dat |
| Dodavatelský řetězec | Ošetřit rizika u dodavatelů a partnerů |
| Kontinuita provozu | Zajistit obnovu po incidentu a zálohování |
Zdroj: ISO/IEC 27001:2022. Systémy řízení bezpečnosti informací.
Tato opatření odpovídají logice mezinárodní normy pro systémy řízení bezpečnosti informací, která popisuje, jak rizika identifikovat a snižovat [2]. U firem s propojenou výrobou a stroji se uplatní i rámec pro bezpečnost průmyslových automatizačních a řídicích systémů [3].
Jak NIS2 řeší hlášení incidentů
Směrnice zavádí povinnost hlásit závažné kybernetické incidenty dozorovému orgánu. Cílem je, aby stát měl přehled o hrozbách a mohl varovat ostatní [1]. Hlášení probíhá ve fázích, od prvního upozornění po podrobnou zprávu.
Konkrétní lhůty a způsob hlášení stanoví národní zákon a v Česku je přijímá NÚKIB prostřednictvím svého pracoviště pro zvládání incidentů [6]. Firma proto musí předem vědět, kdo incident vyhodnotí a kdo ho nahlásí, aby stihla stanovené termíny.
Schopnost incident včas rozpoznat a popsat závisí na kvalitě záznamů a sledování provozu. I proto NIS2 klade důraz na evidenci událostí a na to, aby organizace věděla, co se v jejích systémech děje [1].
Jaká je odpovědnost vedení podle NIS2
Novinkou oproti starší směrnici je výslovná odpovědnost vrcholového vedení. NIS2 požaduje, aby vedení opatření schvalovalo, dohlíželo na ně a samo se vzdělávalo v oblasti kybernetické bezpečnosti [1]. Bezpečnost tak přestává být jen věcí IT oddělení.
Tento posun znamená, že rizika kybernetické bezpečnosti patří na úroveň vedení firmy stejně jako rizika finanční nebo provozní. Vedení nese odpovědnost za to, že opatření jsou zavedena a funkční [1].
Jaký je vztah NIS2 a českého zákona o kybernetické bezpečnosti
NIS2 jako směrnice nepůsobí na firmy přímo. Každý členský stát ji musí transponovat, tedy převést do národního zákona [1]. V České republice plní tuto roli zákon o kybernetické bezpečnosti, na který dohlíží NÚKIB [6].
Pro firmu z toho plyne praktický důsledek. Své povinnosti nečte přímo ze směrnice, ale z českého zákona a navazujících předpisů, které směrnici provádějí. Detailům českého zákona se věnuje samostatné heslo zákon o kybernetické bezpečnosti.
Jak se na NIS2 připravit
- Ověřte, zda firma podle oboru a velikosti spadá do působnosti
- Zmapujte svá data, systémy a kritické procesy
- Posuďte rizika a doplňte chybějící opatření
- Nastavte hlášení incidentů a odpovědné role
- Zapojte dodavatele a ověřte bezpečnost dodavatelského řetězce
| Krok přípravy | Co firma získá |
|---|---|
| Posouzení působnosti | Jistotu, zda a jak se jí pravidla týkají |
| Mapa dat a systémů | Přehled, kde leží citlivé informace |
| Analýza rizik | Seznam slabin a chybějících opatření |
| Plán hlášení incidentů | Připravený postup pro krizovou situaci |
Zdroj: ISO/IEC 27001:2022. Systémy řízení bezpečnosti informací.
Praktickou oporou je provoz firmy nad jedním informačním systémem s řízením přístupů a dohledatelností. Jednotná evidence usnadňuje doložit, kdo a kdy s daty pracoval, což je při řízení rizik podle normy pro bezpečnost informací klíčové [2]. Toto heslo přitom nenahrazuje právní ani bezpečnostní poradenství.
Jak vám NVSP pomůže s přípravou na NIS2
Příprava na NIS2 začíná u přehledu o datech a procesech. ERP Helios od NVSP drží data firmy v jednom systému s řízením přístupů, oprávnění a dohledatelností, což usnadňuje řízení rizik i doložení toho, kdo s daty pracoval. Prohlédněte si nabídku produktů NVSP a proberte, jak vám systém pomůže s přípravou na požadavky kybernetické bezpečnosti. Posouzení samotné povinnosti podle NIS2 vždy patří do rukou odborníka na compliance.
Shrnutí
NIS2 je směrnice Evropské unie o kybernetické bezpečnosti vedená jako Směrnice EU 2022/2555. Nahrazuje starší směrnici NIS z roku 2016 a rozšiřuje okruh dotčených organizací i jejich povinnosti. Sama firmy nezavazuje, musí ji transponovat národní zákon, v Česku zákon o kybernetické bezpečnosti pod dohledem NÚKIB. Dělí organizace na základní a důležité, požaduje řízení rizik, hlášení incidentů a odpovědnost vedení. Opatření se opírají o normy pro řízení bezpečnosti informací a pro průmyslové systémy. Heslo není právní poradenství.
Časté otázky
Zavazuje NIS2 firmu přímo
Ne. NIS2 je směrnice a sama na firmy nepůsobí. Povinnosti ukládá až národní zákon, který směrnici transponuje, v Česku zákon o kybernetické bezpečnosti [1].
Koho se NIS2 týká
Organizací ve vyjmenovaných sektorech podle oboru a velikosti. Směrnice je dělí na subjekty základní a důležité [1]. Konkrétní zařazení v Česku posuzuje národní zákon and NÚKIB [6].
Co je hlavní novinka NIS2 oproti původní směrnici
Širší okruh dotčených organizací, důraz na bezpečnost dodavatelského řetězce a výslovná odpovědnost vrcholového vedení za kybernetickou bezpečnost [1].
Použité zdroje a literatura
Legislativa EU
[1] Směrnice EU 2022/2555 (NIS2). O opatřeních k zajištění vysoké společné úrovně kybernetické bezpečnosti v Unii.
Standardy a normy
[2] ISO/IEC 27001:2022 (česká verze ČSN EN ISO/IEC 27001:2023). Systémy řízení bezpečnosti informací.
[3] IEC 62443. Bezpečnost průmyslových automatizačních a řídicích systémů.
Instituce
[6] NÚKIB. Národní úřad pro kybernetickou a informační bezpečnost. nukib.gov.cz.