To hlavní o NIS2. Stručně a přehledně.

Co to je NIS2?

Začněme úplně od začátku. NIS2 je směrnice EU, která má za cíl zvýšit úroveň kyberbezpečnosti v EU. Řešit ji budou muset veřejné orgány i větší firmy v mnoha oblastech. Důležité je vědět, že kyberbezpečnost bude muset povinně řešit větší množství subjektů než doteď. Místo nižších stovek půjde o vyšší tisíce.

Co znamená, že jde o „směrnici“?

To ve zkratce znamená, že Česká republika i další státy EU musí požadavky NIS2 promítnout do vlastního zákona. V ČR to bude ve formě nového zákona o kyberbezpečnosti a doprovodných vyhlášek, které budou stanovovat podrobnosti – hlavně jaké opatření je potřeba zavést. Bez tohoto zákona pro firmy nebudou pravidla závazná.

Kdy můžu zákon očekávat a jaký bude pak proces?

EU chce, aby každý stát měl zákon účinný od 19. října 2024. V České republice nejspíš bude s určitým zpožděním, snad v prvním čtvrtletí roku 2025. Je totiž potřeba zapracovat do návrhu připomínky Legislativní rady vlády a zákon musí projít celým legislativním procesem, který určitě vyvolá další změny. I toto zdržení nás však staví do role premiantů v EU, říjnový termín nestihne nejspíš nikdo.

Co nastane po přijetí zákona? Hlavní povinnosti podle stávajícího návrhu uvádí grafika níže. Vás zajímá hlavně lhůta k registraci a lhůta pro zavedení opatření. Hotovo byste měli mít na začátku roku 2026, první kroky vás ale čekají už po přijetí zákona (nutnost se „samoidentifikovat“ a přihlásit na NÚKIB).

Povinnosti platí až skoro za dva roky. Mám plašit nebo ještě čekat?

Ani jedno. Téměř v žádné firmě, pokud už nemá kyberbezpečnost zcela v malíku, nepůjde vyřešit kyberbezpečnost za několik týdnů. A nemusí stačit ani několik měsíců. Jakmile bude zákon účinný, je potřeba se do měsíce registrovat a pak do roka od registrace zavést opatření. Budete tedy mít nějakých 12–14 měsíců. Ani to nemusí zvlášť ve větších firmách s komplikovanější strukturou a systémy stačit, ale NÚKIB nezačne nejspíš hned první den po vypršení lhůty provádět kontroly.

Není nutné hned panikařit a již nyní objednávat zaručeně compliance služby a certifikáty. Doporučujeme však začít s přípravami už nyní a na podzim 2024 je stupňovat. Co můžete dělat se dozvíte v některém z dalších článků, v zásadě jde však o plánování rozpočtů a zmapování toho, jestli a jak moc se vás bude nová úprava týkat. Hodně zásadní bude i zajištění externích i interních expertů, kterých na trhu je málo. Pokud začnete NIS2 řešit v půlce roku 2025, je také možné, že kapacity nebudou.

Jak poznám, že se na mě směrnice vztahuje?

Jak už jsme naznačili výše, poznat to budete muset sami. Doposud to fungovalo opačně a byl to Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který rozhodl, že kyberbezpečnost musíte řešit.

Na začátek je důležité posoudit dvě věci. Obě musí být splněny:

1. Jaké služby poskytujete?
2. Jak jste velcí?

Krátký přehled oblastí, kterých se nový zákon dotkne, najdete v grafice níže. Jedná se skutečně pouze o orientační grafiku, v rámci jednotlivých kategorií (hlavně veřejná správa, výroba nebo digitální infrastruktura) jsou v návrhu vyhlášek mnohem podrobnější informace. Neznamená to, že jakákoli firma v této oblasti musí kyberbezpečnost povinně řešit. Více informací se dozvíte i v odpovědi na dotaz „Pomůže mi něco určit, jestli se na mě nová regulace vztahuje?“

Velikost posoudíte podle počtu zaměstnanců a hodnot ročního obratu nebo bilanční sumy. Pomoct vám může grafika níže:
Velký podnik jste, když:

1. Máte 250 a více zaměstnanců, nebo
2. Máte obrat vyšší než 50 milionů eur a zároveň bilanční sumu vyšší než 43 milionů eur

Střední podnik jste když:

1. Máte 50 a více zaměstnanců, nebo
2. Máte obrat a zároveň bilanční sumu za rok vyšší než 10 milionů eur

Pokud splníte počet zaměstnanců, je to jasné. V případě finančních kritérií si však můžete vybrat (jinými slovy, jedno můžete překročit a neznamená to, že spadnete do daného režimu).

Pokud nesplníte ani definici středního podniku, může se vás NIS2 týkat také. Například pokud poskytujete veřejnou službu elektronických komunikací, provozujete komunikační síť anebo nabízíte službu vytvářející důvěru.

Kromě zodpovězení dvou základních otázek je však potřeba dbát i na dvě další věci:

1. Myslete i na vazby podniků. Sečtěte se se všemi podniky, na kterých máte vy (nebo naopak oni na vás) více než 25 % podíl.
2. Někdy se uplatní i další kritéria. Výrobní výkon u elektráren, počet lůžek u nemocnic, povolení od ERÚ, zařazení v konkrétních kategoriích tzv. CZ NACE (třídění oborů činnosti). Neukolíbejte se tedy jen tím, že z hlediska počtu zaměstnanců a obratu/bilanční sumy jste v pohodě.

Co znamená „nižší“ a „vyšší“ režim?

Vyšší režim = více povinností. A nižší režim logicky méně. NIS2 je při rozlišování dvou režimů povinností „essential“ (náš „vyšší“) a „important“ (náš „nižší“) trochu matoucí.

Dá se jednoduše říct do jakého režimu spadnu?

Není to určitě stoprocentní, ale pokud jste střední podnik, většinou budete v nižším režimu. Velké podniky naopak spadnou obvykle do vyššího režimu.

Pomůže mi něco určit, jestli se na mě nová regulace vztahuje?

Můžeme doporučit např. NIS2 Checker, který vám dokáže sdělit svůj předpoklad. Jedná se o jednoduchý úvodní nástroj, který jsme vytvořili s partnery v rámci aliance NIS2 Ready.

Vzhledem k tomu, že parametrů ovlivňujících jestli a jak musíte regulaci řešit, je poměrně hodně, tak je potřeba s tím skutečně nakládat jako s prvním jednoduchým vodítkem, které ve své současné verzi nedokáže suplovat odborné posouzení.

Můžete však dát vědět advokátovi Ondřejovi Hanákovi, který vám s úvodním posouzením rád pomůže.

Kolik mě to bude stát?

Rádi bychom dali jasnou odpověď, ale je to hodně široká otázka. Záleží na tom, do jakého režimu budete spadat a co všechno už máte hotové. V nižším režimu vás náklady na zajištění souladu s regulací – analýzy, úprava procesů, příprava dokumentace a nastavení systému – vyjdou nejspíš na stovky tisíc až jednotky milionů Kč.

Do toho však nepočítáme náklady na pořízení hardware a software, které mohou být poměrně vysoké a nejde je odhadovat.

ČEZ odhaduje náklady na 2.5 miliardy, u většiny firem to nejspíš bude v horizontu 3–5 následujících let v rozsahu vyšších jednotek až nižších desítek milionů.

Doporučujeme však brát to jako investici do vaší firmy. Kybernetických útoků přibývá a může být zajímavé cvičení zkusit si promyslet a spočítat dopad alternativ. Kolik vás budou stát:

• Výpadek provozu klidně na několik týdnů? Úspěšný kybernetický útok na nepřipravenou oběť trvá hodně času vyřešit. Není to ze dne na den. I „několik týdnů“ může být spíš zbožné přání. Jsou případy, kdy firmy útok nevyřeší nikdy. Například společnost Travelex by mohla vyprávět.
• Poškozená reputace? O úspěšném cybersec útoku se lidé dozví. Nová právní úprava uvádí, že někdy o něm dokonce budete muset svoje zákazníky nebo i veřejnost informovat. Reputační důsledky mohou být, zvlášť pokud se zjistí vaše pochybení, klidně i likvidační. Zvlášť v některých oborech jako je třeba IT – chtěli byste password manager, který byl úspěšně napaden?
• Výkupné? Velmi často má kybernetický útok podobu tzv. ransomware. Útočník vám ve zkratce zašifruje data a chce výkupné. Není to samozřejmě dogma, ale průměrné výkupné se pohybovalo v roce 2023 okolo 36 milionů korun. Těchto útoků přibývá a jen samotné výkupné může být dražší než prevence.
• Pokuty? Těmi chceme strašit až naposledy, protože předpokládáme, že cílem nové regulace a postupu NÚKIB není drakonicky trestat. Pokud však budete novou regulaci ignorovat a, nedej bože, se například útok na vás rozšíří na další firmy jako řetězový e‑mail od vaší babičky, nemusíte se vyhnout ani pokutě. Ta může jít do desítek milionů korun, strop je 10 milionů eur nebo 2 % světového obratu.

Jsme menší firma a víme, že na drahý software asi nebudeme mít. Existují nějaká relativně dostupná řešení?

Existují a očekáváme, že vzhledem k „novému trhu“ u mnoha firem do 250 zaměstnanců (které dosud nemusely řešit kybernetickou bezpečnost) jich bude přibývat.

Dobrým příkladem mohou být třeba řešení ochrany síťového perimetru založená na zero trust architecture. Ta se mohou napojit na téměř všechny existující software a nemusíte tedy kvůli kybernetické bezpečnosti hned překopat vše. Takové řešení poskytuje např. náš partner GoodAccess, se kterým vám v oblasti kybernetické bezpečnosti můžeme pomoct.

Musím něco řešit i když už mám bezpečnostní certifikaci ISO 27000 nebo podobnou?

Ano, ISO certifikace ani jiné razítko bohužel neznamenají automatický soulad s NIS2 a novým zákonem. Avšak vzhledem k tomu, že nová regulace stojí samozřejmě na velmi podobných bezpečnostních principech, které jste si museli osvojit v procesu získávání certifikace, budete mít mnohem lehčí spaní než „nováčci“.

Náš odhad je takový, že firmy s certifikací ISO 27000, které spadnou do nižšího režimu, by už nyní měly být cca ze 60–70 % v souladu s připravovaným zákonem.

Kde najdu další dobré podklady k NIS2?

Studnicí výborných podkladů je přímo NÚKIB, který na svém webu a sociálních sítích pravidelně zásobuje jak novinkami z legislativního procesu, tak informacemi a metodikami, které vám určitě pomohou vaše povinnosti lépe pochopit.

Dále můžeme doporučit například obsah na webu NIS2 Ready, vč. záznamů seminářů, které jsme pořádali spolu s CISCO, enovation, KPMG a dalšími partnery.

Určitě však sledujte i náš blog a sociální sítě, kde budeme o kybernetické bezpečnosti pravidelně psát. Máte obavy a respekt z kybernetické bezpečnosti? Můžete nás kontaktovat na napistenam@elegal.cz nebo rovnou zavolejte na 255 758 595.