NIS2 – Regulace pro bezpečnější budoucnost
NIS2 je tzv. celoevropská směrnice o kybernetické bezpečnosti, která vstoupila v platnost v říjnu 2024. Oproti NIS1 zavádí NIS2 významné změny, které zároveň uloží přísnější povinnosti v oblasti kybernetické bezpečnosti většímu počtu organizací. Členské státy budou muset přijmout nová ustanovení obsahující tato přísnější kontrolní a donucovací opatření, aby zajistily soulad s touto směrnicí. NIS2 nahrazuje směrnici NIS1, což má za následek několik významných rozdílů oproti NIS1: NIS2 rozšiřuje oblast působnosti na větší subjekty, jako jsou výrobci chemických látek a zdravotnických prostředků, výrobci potravin a poskytovatelé sociálních sítí, na které se NIS1 dříve nevztahovala. NIS2 nahrazuje rozlišení mezi „provozovatelem základních služeb“ a „poskytovatelem digitálních služeb“ na „základní subjekty“ a „kritické subjekty“, mimo jiné na základě velikosti a odvětví. Ačkoli mají oba typy subjektů podobné povinnosti, klíčové subjekty podléhají přísnějším donucovacím a kontrolním opatřením. Za kontrolní opatření musí odpovídat orgán dohledu nad odvětvím.
NIS2 ukládá „zásadním“ a „kritickým“ subjektům nové povinnosti v oblasti kybernetické bezpečnosti, včetně řízení rizik a dodavatelského řetězce, hlášení kybernetických incidentů a sdílení informací. Splnění těchto požadavků bude vyžadovat, aby subjekty, na které se vztahují, vypracovaly a zavedly nové zásady a postupy. NIS2 vyžaduje, aby členské státy EU zlepšily své vnitrostátní strategie kybernetické bezpečnosti a reagovaly na digitální hrozby, kterým čelí. Je důležité, aby organizace sledovaly budoucí iniciativy členských států v této oblasti.
Zvýšené bezpečnostní požadavky
NIS2 zlepší bezpečnostní požadavky podniků zavedením metodiky řízení rizik a minimálního seznamu základních bezpečnostních prvků. Směrnice také obsahuje mnohem podrobnější ustanovení o hlášení incidentů, včetně například obsahu a časového rozvrhu hlášení. Podle směrnice musí být hlášení provedeno do 24 hodin od vzniku incidentu a musí obsahovat podrobnější postup hlášení. NIS2 rovněž vyžaduje řešení bezpečnosti dodavatelského řetězce. To zahrnuje i rizika, která představují vztahy společného měření. NIS2 rovněž zdůrazňuje odpovědnost managementu za kybernetickou bezpečnost organizace a ukládá jednotlivým řídicím orgánům, jako jsou správní rady a vedení společností, odpovědnost za zajištění účinné implementace požadavků na kybernetickou bezpečnost. Na organizace se mohou vztahovat různé příkazy k vymáhání a jejich nedodržení může vést k uložení značných pokut.
