Nařízení o bezpečnosti sítí a informačních systémů (NIS2) představuje klíčový krok k posílení kybernetické bezpečnosti v Evropě. Tato směrnice se vztahuje na široké spektrum sektorů a organizací, které musí přijmout přísnější bezpečnostní opatření a protokoly. V tomto článku se podíváme, koho se týká směrnice NIS2 a zákon o kybernetické bezpečnosti, a jaké povinnosti z této nové legislativy vyplývají.
Koho se týkají povinnosti směrnice NIS2?
Požadavky směrnice NIS2 a souvisejícího zákona o kybernetické bezpečnosti se týkají středních a velkých podniků, které poskytují některou z regulovaných služeb. Pokud se tedy snažíte zjistit, zda se směrnice NIS2 týká i vaší firmy, musíte nejprve definovat její velikost. K tomuto účelu můžete využít například Uživatelskou příručku k definici malých a středních podniků vydanou Evropskou komisí.
Směrnice NIS2 zavádí dva hlavní režimy povinností pro poskytovatele regulovaných služeb: režim vyšších povinností a režim nižších povinností.
Organizace, které spadají do režimu vyšších povinností, zahrnují kritické subjekty a služby, které mají zásadní význam pro fungování společnosti a ekonomiky, jako jsou energetika, doprava nebo zdravotnictví. Tyto organizace musí splnit přísnější bezpečnostní standardy a podléhají důkladnějším kontrolám.
Na druhé straně, režim nižších povinností se týká méně kritických sektorů, které ovšem také hrají důležitou roli v kybernetické bezpečnosti. Tyto organizace mají mírnější požadavky, avšak stále musí dodržovat základní principy ochrany informací a systémů.
NIS2 a režim vyšších a nižších povinností
Rozdělení subjektů do režimu vyšších a nižších povinností plnění požadavků směrnice NIS2 vymezuje vyhláška o regulovaných službách, která obsahuje výčet všech regulovaných služeb, souvisejících podslužeb a také konkrétní specifika, jež se liší v návaznosti na dané odvětví.
Příklad: Jak určit, koho se týká směrnice NIS2
Společnost Alpha s. r. o. poskytuje služby v oblasti energetiky, konkrétně výroby elektřiny a disponuje elektrickým výkonem 120 MW – spadá tedy mezi poskytovatelé regulovaných služeb.
Na základě příručky (viz výše) se identifikuje jako střední podnik.
Její zástupci ve vyhlášce o regulovaných službách (viz výše) naleznou příslušnou službu a podslužbu (v tomto případě str. 7) a projdou si jednotlivá kritéria. I když je subjekt středním podnikem, disponuje vyšším než vymezeným výkonem, proto spadá do režimu vyšších povinností NIS2.
Jak zjistit, koho se týká směrnice NIS2 (ve zkratce)
Proces zjištění, koho se týká směrnice NIS2, lze shrnout následovně:
- Ujistěte se, že spadáte mezi poskytovatele regulovaných služeb.
- Určete velikost svého podniku.
- Pokud patříte mezi střední a velké podniky, zjistěte míru svých povinností ve vyhlášce o regulovaných služeb.
V nastíněném postupu samozřejmě existují i výjimky. Na některé služby (například poskytování služeb DNS) se požadavky NIS2 vztahují ve všech případech. Specifická pravidla se týkají také partnerských a propojených podniků, kdy se k velikosti podniku přičítá také velikost dalších organizací.
Pokud hledáte intuitivní řešení, které vám pomůže splnit všechny požadavky NIS2, zaregistrujte se v naší aplikaci NIS2 OCHRANA. Poskytne vám komplexní přehled o zodpovědných osobách, hlášení kybernetických incidentů a dalších povinnostech vyplývajících z novely kybernetického zákona.
