Aktuální čísloPředplatnéPeníze.czHeroine.czFootballclub.czNewsletter
Registrace
Předplatné časopisu
Finmag do schránkyPředplatit časopisPodnikavé českoMiliardy v pohybu

Obří pokuty a tuna nových povinností. Směrnice NIS2 nemá ve světě obdoby

Pavel Kohout
Pavel Kohout | 7. 9. 2023 | 11 166
byrokraciebyznyskyberbezpečnostkyberzločinnázorNIS2

Směrnice NIS2 je nejnovější politikou EU, jejímž deklarovaným cílem je zlepšit společnou kybernetickou bezpečnost členských států. Vstoupila v platnost v lednu 2023 a očekává se, že všechny příslušné organizace budou muset nové požadavky splňovat od 18. října 2024. Co vlastně směrnice NIS2 znamená a jaké budou její potenciální důsledky?

Obří pokuty a tuna nových povinností. Směrnice NIS2 nemá ve světě obdoby

Cílem evropské směrnice NIS2 je zvýšení ochrany všech součástí kritické infrastruktury před hackerskými útoky (ilustrační foto)

Zdroj: 𐊖hqipon / Midjourney

Směrnice NIS2 (Network and Information Security) ve zkratce uvádí, že dotčené firmy a organizace by měly používat přístup založený na všech rizicích, včetně například rizika lidského faktoru, selhání systému, škodlivých činitelů, přírodních katastrof a fyzického a environmentálního zabezpečení systémů. A zavádí reportovací povinnost ohledně řešení incidentů a osobní zodpovědnost managementu. Další povinností je pak mít připravené záložní plány pro případ kybernetického útoku, aby činnost mohla pokračovat (business continuity).

Všechny tyto povinnosti se mají týkat středních a velkých organizací, především působících v energetice, síťových odvětvích, infrastruktuře, zdravotnictví (včetně například lázeňských zařízení!), státní správě, dopravě a v bankovnictví. Tato odvětví jsou označována za kriticky důležitá. Nekončí ale jen u nich, spadají sem také poštovní a kurýrní služby, zpracování odpadu, chemický, potravinářský i jiný průmysl. A konečně digitální služby a výzkum.

NIS2 se tak ve svém důsledku může týkat i malých organizací s méně než deseti zaměstnanci a s obratem pod dva miliony eur (asi 48.6 milionu Kč) ročně, pokud je jejich činnost jakkoli strategicky důležitá. Zde je deset bodů, které představují minimální bezpečnostní opatření podle NIS2:

  1. Zásady analýzy rizik a bezpečnosti informačních systémů
  2. Řešení incidentů
  3. Kontinuita provozu, například řízení zálohování a zotavení po havárii, a krizové řízení
  4. Bezpečnost dodavatelského řetězce, včetně bezpečnostních aspektů týkajících se vztahů mezi jednotlivými subjekty a jejich přímými dodavateli nebo poskytovateli služeb.
  5. Bezpečnost při pořizování, vývoji a údržbě sítí a informačních systémů, včetně nakládání se zranitelnostmi a jejich odhalování
  6. Zásady a postupy pro hodnocení účinnosti opatření pro řízení rizik v oblasti kybernetické bezpečnosti
  7. Základní postupy kybernetické hygieny a školení v oblasti kybernetické bezpečnosti
  8. Zásady a postupy týkající se používání kryptografie a případně šifrování
  9. Bezpečnost lidských zdrojů, zásady řízení přístupu a správa aktiv
  10. Používání vícefaktorové autentizace nebo řešení průběžné autentizace, zabezpečené hlasové, video a textové komunikace a zabezpečených systémů nouzové komunikace v rámci subjektu tam, kde je to vhodné

Je zřejmé, že seznam je značně obsáhlý – natolik, že bezchybné splnění všech bodů pomocí vlastních personálních zdrojů nemusí být úplně snadné ani pro velké podniky. Především pasáže týkající se počítačových sítí, informačních systémů a kryptografie jsou značně náročné a pro neodborníka neprůhledné. Česká verze návrhu zákona včetně prováděcích předpisů má navíc celkem 151 stran a není to žádné lehké čtení na dovolenou.

Celkové náklady mohou podle velmi hrubého odhadu činit 800 tisíc až 1,5 milionu Kč na jeden zabezpečovaný systém.

NIS2 – kolik to bude stát?

Zde je třeba dodat, že sankce za případné porušení mohou být drakonické: maximální výše správní pokuty může dosáhnout sedmi milionů eur (přes 170 milionů Kč!) anebo 1,4 procenta celkového globálního obratu dané firmy za uplynulý rok. „Podle toho, co je vyšší,“ uvádí návrh zákona.

Proto, když zadáte do Googlu klíčové slovo „NIS2“, ukáže se vám plejáda sponzorovaných odkazů právnických kanceláří a konzultačních společností, které vám rády nabídnou své služby, aby vaše organizace nebyla jednou vystavena masivní pokutě. A aby vaše manažerské křeslo neobsadil někdo jiný.

Kateřina Hůtová
Se souhlasem Kateřiny Hůtové

Směrnice NIS2? Nahlásit se musíte sami, hrozí extrémní pokuty, varuje expertka

Směrnice NIS2 bude velkou změnou, která se dotkne víc než šesti tisíců subjektů v Česku. Po zkušenostech s implementací GDPR se ovšem stát a experti na kybernetickou bezpečnost snaží komunikovat vše potřebné s předstihem. Jednotlivé dopady na firmy vysvětluje v rozhovoru pro Finmag.cz spoluzakladatelka konzultantské společnosti Cybrela Kateřina Hůtová.

A když už jsme zmínili Google: direktivě podléhají všechny firmy působící na území EU, bez ohledu na jejich sídlo.

Vraťme se však do Česka. „Z důvodu rozsahu transponované směrnice dojde k přinejmenším patnáctinásobnému nárůstu regulovaných subjektů, což přinese značné ekonomické a finanční dopady na podnikatelské prostředí v ČR,“ uvádí Závěrečná zpráva hodnocení dopadů regulace (RIA).

Tatáž zpráva nicméně konstatuje, že „absence regulace bezpečnosti dodavatelského řetězce by tak v budoucnu mohla vést ke zhoršení pozice podnikatelských subjektů působících v ČR, neboť by nemohly nabídnout stejnou míru bezpečnosti svého produktu či služby jako subjekty působící ve státech, které obdobnou regulaci přijaly. Nepřijetí předmětné právní úpravy by tedy mohlo vyvolat nucené odmítání dodávek českých společností zahraničními odběrateli kvůli bezpečnostním a strategickým hrozbám plynoucím z dodávek subdodavatelů.“

Na dalším místě zprávy se uvádí, že celkové náklady mohou podle velmi hrubého odhadu činit 800 tisíc až 1,5 milionu Kč na jeden zabezpečovaný systém.

Jinými slovy: bude to sice drahé, ale dělají to všichni, takže je to povinnost.

V USA je kybernetická bezpečnost řešena na různých úrovních vlády a přes různé sektory, ale neexistuje jednotná federální norma.

Potřebujeme NIS2?

Zde vzniká otázka, do jaké míry je direktiva NIS2 (respektive národní zákony vzniklá transpozicí této direktivy) skutečnou nutností. Nejde především o zaměstnanost zákonodárců a o zakázky pro právnicko-konzultační komplex, jak tvrdí někteří cynici?

NIS2
Shutterstock

Obří změna pro tisíce firem. NIS2 je větší než GDPR, varují experti

Na tisíce českých firem čeká už brzy nová povinnost nazvaná NIS2. Široce diskutovaná evropská směrnice má za cíl razantně posílit kybernetickou ochranu podnikatelů i státních organizací v EU. Náklady na její zvýšení ponesou samy firmy, a to skrze potřebná technická, provozní a organizační opatření, které si implementace vyhlášky vyžádá. Na co se tedy připravit?

Kalifornská společnost Cybersecurity Ventures uvádí, že kyberkriminalita bude v roce 2023 stát svět osm bilionů dolarů (přes 181 bilionů Kč). ENISA (Evropská agentura pro kybernetickou bezpečnost) pak uvádí, že objem dat ukradených při kybernetických útocích dosáhl v roce 2021 více než 260 terabytů. A průměrné náklady na jeden případ narušení bezpečnosti dat činí 4,45 milionu dolarů (přes sto milionů Kč), odhaduje IBM.

I kdyby tato čísla byla nadsazená, bezpečnostní opatření se určitě nevyplatí podceňovat. Je ale velkou otázkou, zdali masivní a poněkud těžkopádná direktiva transponovaná ve stylu EU do národních zákonů je tím nejlepším řešením. Spojené státy americké například doposud nemají federální legislativu, která by byla přímo srovnatelná s evropskou direktivou NIS2.

V USA je kybernetická bezpečnost řešena na různých úrovních vlády a přes různé sektory, ale neexistuje jednotná federální norma. Některé federální agentury, jako je například Cybersecurity and Infrastructure Security Agency (CISA), vydávají směrnice a normy, ale ty často nejsou závazné.

Na druhou stranu, existuje zde několik zákonů na federální úrovni, které se věnují kybernetické bezpečnosti v určitých sektorech, jako je zdravotní péče (HIPAA) a finanční služby (GLBA). Některé státy mají také vlastní zákony týkající se kybernetické bezpečnosti, ale ty se mohou lišit od státu k státu.

Direktiva GDPR nijak nepomohla ochránit vaše osobní údaje. Pouze maří váš čas nutností odklikávat ustavičné souhlasy se soubory cookies.

Příslib či hrozba jménem NIS2

Jak bývá obvyklé u složitých zákonů a systémů, ďábel je v detailech. Prozatím nelze určit, zda NIS2 je nepostradatelným nástrojem v boji proti počítačové kriminalitě anebo zda skončí spíše jako formalita, která nepomáhá a jen vytváří dodatečné náklady.

Anketa

Je směrnice NIS2 příliš drakonická?

Zde je nutno zmínit direktivu GDPR. Ta nijak nepomohla ochránit vaše osobní údaje. Pouze maří váš čas nutností odklikávat ustavičné souhlasy se soubory cookies.

To však není to nejhorší. Podstatné je, že z GDPR se stala překážka pokroku ve vývoji nových systémů, zejména umělé inteligence. Běžnému uživateli to nemusí být nijak patrné, pro vývojáře však GDPR představuje seriózní klacek pod nohama. GDPR se tak nakonec stalo opatřením, které zvýšilo náklady firmám a zlikvidovalo polovinu nových aplikací, tvrdí Brian Chau, matematik a výzkumník v oblasti umělé inteligence.

Nezbývá než doufat, že tentokrát tomu bude jinak.

Autor je bývalý člen Národní ekonomické rady vlády, nyní působí v čele investičních fondů Algorithmic SICAV.

Podnikavé ČeskoFinmag.cz

Kam dál? Ekonom Pavel Kohout na Finmagu:

FINMAG V NOVÉM DESIGNU JE TADY. CO SE V NĚM DOČTETE?

„Všechny ty kecy o bohémství jsou na nic. Musíte makat!“ Martin Krajc ve svém vinohradském ateliéru vysvětlil Ireně Jirků, proč s partou výtvarníků založil FIRMU.

Finmag předplatnéZdroj: Finmag

UMĚNÍ JE BYZNYS • „Toho Picassa jsem neměl prodávat,“ říká Patrik Šimon, majitel 20 tisíc artefaktů • Proč jde cena uměleckých děl nahoru? Jaké padají rekordy v aukcích • Dokáže AI malovat jako Monet nebo Mucha?

BYZNYS JE UMĚNÍ • Mléko jako od babičky vyrábí Radim Hrůza z Vysočiny • Pivní sen, ze kterého se zatím neprobudila spolumajitelka Rodinného pivovaru Švihov Anna van der Weerden

STYL JE HRA • Dům architekta Petra Stolína jako způsob poznání • Cestovní kancelář Ježíš Kristus funguje úspěšně už stovky let • Elegie za spalovací motor

HRY, SNY, RADOSTI • „Čekala jsem to horší,“ říká třetí Češka, která vystoupala na Mount Everest • Dunajská delta je zase planetou ptáků • Proč si Martin Vajda, spolumajitel vinařství Sonberk, čte knihy feministek?

Koupit Finmag

Líbil se vám článek?

+
-
+23

Sdílejte, než to smažem

Diskutovat

V diskuzi je celkem 0 komentáře.

Autor článku

Pavel Kohout

Pavel Kohout

Ředitel Algorithmic Investment Management a strůjce investičních fondů Algorithmic SICAV. Dřív pracoval mimo jiné pro PPF investiční společnost, Komero, ING Investment Management a PPF, spoluzakládal finančněporadenskou společnost Partners. V letech 2002 až 2003 působil jako člen sboru poradců ministra financí Bohuslava Sobotky (ČSSD), od roku 2004 do roku 2006 byl členem konzultačního týmu Vlastimila Tlustého (ODS), později byl dlouholetým členem Národní ekonomické rady vlády (NERV). Patří taky mezi zakladatele Institutu pro politiku a ekonomiku a není členem žádné politické strany.

Nejčtenější články autora

Trpí víc Rusko, nebo Evropa? „Fatální“ ruské sankce mají nečekaného vítěze
Politika223 978

Trpí víc Rusko, nebo Evropa? „Fatální“ ruské sankce mají nečekaného vítěze

Pozor, co sdílíte na sociálních sítích. Berňák vám to spočítá
Peníze47 134

Pozor, co sdílíte na sociálních sítích. Berňák vám to spočítá

Všechny články autora